表 4 列出了 GPO 的默认安全权限设置。
表 4. GPO 的默认安全权限
安全组
Authenticated Users
ENTERPRISE DOMAIN CONTROLLERS 备注
由于管理员也属于 Authenticated Users 组,默认情况下,他们将“应用组策略”访问控制项 (ACE) 设置为“允许”。因此,如果他们位于链接了 GPO 的容器中,则也会为其应用策略设置。
读取
权限
读取(从安全筛选)
Domain Admins、Enterprise Admins、Creator Owner、SYSTEM 编辑设置,删除、修改安全性
在站点、域和 OU 上委派组策略任务
可以在 Active Directory 中针对每个容器委派以下三个组策略任务(权限):
? ? ?
将 GPO 链接到 Active Directory 容器(站点、域或 OU) 为该容器(域和 OU)中的对象执行组策略建模分析 为该容器(域和 OU)中的对象读取组策略结果数据
若要委派管理任务,您必须使用 GPMC 授予与相应 Active Directory 容器上的任务对应的权限。 默认情况下,Domain Admins 组的成员具有域和 OU 的 GPO 链接权限,Enterprise Admins 和林根域中的 Domain Admins 组的成员可以管理到站点的链接。您可以使用 GPMC 将权限委派给其他组和用户。
默认情况下,仅限 Enterprise Admins 和 Domain Admins 组具有组策略建模的访问权限以及组策略结果数据的远程访问权限。可通过在 GPMC 中设置相应权限,将此数据的访问权限委派给较低级别的管理员。
以下步骤介绍了如何通过修改 Active Directory 容器的相应权限来委派组策略管理任务。 在站点、域或 OU 上委派组策略管理任务
1. 在 GPMC 中,单击要委派组策略管理任务的站点、域或 OU 的名称。 2. 在站点、域或 OU 的细节窗格中,单击“委派”选项卡。
3. 在“权限”列表中,单击以下选项之一:“链接 GPO”、“执行组策略建模分析”或“读取
组策略结果数据”。请注意,仅“链接 GPO”适用于站点。
4. 若要将任务委派给新用户或组,请单击“添加”,然后指定要添加的用户或组。
5. 若要修改现有权限的“应用于”设置(即,更改为特定用户或组授予的权限所适用的 Active
Directory 容器),请在“用户和组”列表中右键单击该用户或组,然后单击“仅该容器”或“该容器及子项”。
6. 若要从授予了指定权限的组或用户列表中删除现有组或用户,请在“组和用户”列表中单击
该用户或组,然后单击“删除”。请注意,您必须是 Domain Admins 组的成员才能执行此操作。
7. 添加或删除自定义权限:
1. 在“安全”选项卡上单击“高级”。
2. 在“组或用户名”下面,单击要更改权限的用户或组。 3. 在“权限”下面,根据需要修改权限,然后单击“确定”。
委派创建 GPO 的权限
在域中创建 GPO 的功能是一个在每个域上管理的权限。默认情况下,只有 Domain Admins、
Enterprise Admins、Group Policy Creator Owners 和 SYSTEM 组的成员能够创建新的 GPO。 只有 Domain Admins 组的成员可以将 GPO 创建权限委派给任何组或用户。可以使用两种方法为组或用户授予此权限,这两种方法授予完全相同的权限:
?
在 Group Policy Creator Owners 组中添加组或用户。这是在 GPMC 出现之前可以使用的唯一方法。
使用