none
Права на изменение групповых политик RRS feed

  • Общие обсуждения

  • А можно ли сделать так, чтобы определенная группа пользователей могла менять только некоторые разделы групповой политики?!

    Так как если хочется, чтобы Help Desk мог редактировать например параметры интерфейса пользователя или принтеры, то это также дает право настроить скрипты запуска и другие критичные настройки.

    24 ноября 2013 г. 21:33

Все ответы

  • насколько память не изменяет, если одна GPO настроена и находится по иерархии выше чем другая, применяться на одинаковые ветки политики будет именно та что выше. поэтому можете сделать так, создать группу пользователей, создать новую gpo, задать этой группе пользователей права на редактирование это gpo, та gpo что выше, будет настроена вами, и разрешения у них будет только на чтение, выставив нужные параметры, оставьте неизменными те, которые хотите чтобы правили ваши юзеры, вроде так, по другому не знаю, т.к. в gpo нет такого на каждую ветку свои права. да еще одно, НО, в gpo ветка локальный компьютер, имеет приоритет над пользователем, не забудьте об этом когда будете делать. лучше ту политику что будут делать юзеры сделать на применение только для пользователя.

    Идти туда, где не ждут, Атаковать там, где не подготовились.

    25 ноября 2013 г. 6:05
  • если прописывать все параметры политики выше, то во-первых это несколько сотен параметров если не 1000, а во вторых скорость применения таких политик будет очень долгой.

    В групповой политике есть возможность отключать некоторые разделы политики, но как сделать, чтобы только включенные могли редактироваться?!-Тогда б можно было отключить всё что не нужно для настройки и оставить только то что нужно. Но есть ли такой тонкий тюнинг разрешений на политики...

    Стандартными средствами есть только делегирование разрешения редактирования в целом.

    25 ноября 2013 г. 20:22
  • Сделать буквально то, что вы хотите, на мой взгляд, нельзя. Однако существует средство Advanced Group Policy Management, входящее в состав Microsoft Desktop Optimization Pack for Software Assurance, с помощью которого можно выстроить бизнес-процессы по управлению групповыми политиками. Так, сотрудники Help Desk смогут редактировать объекты групповых политик, но применяться они будут только после одобрения пользователем с ролью Approver или Administrator.
    25 ноября 2013 г. 21:26
    Модератор