一般預設開啟GPO編輯器的權限是在Domain Admins和Enterprise Admins這兩個群組上
但這兩個群組權限太大了,我只想給編輯GPO的權限就好
查過微軟的官方說明寫Group Policy Creator Owners這個群組也有權限
但我實測這個群組只有連結現有GPO的權限而已,是沒有開啟GPO編輯器權限的(右鍵編輯是灰字)
自己測試在OU右鍵→內容→安全性→進階→新增該使用者→給完全控制權限
結果即使給了完全控制也沒有編輯GPO的權限
後來研究了一下這裡面許多選項
其中gPLink和gPOptions這兩項共有連結現有GPO、禁止繼承、更新群組原則三項權限
但我仍然找不到從哪裡才能給GPO編輯器的權限
請問有辦法單獨給一個使用者權限嗎?
還是就只能加那兩個群組了?
已經Google不少文章,但都沒提到這個權限從哪裡開
建議另建一個新的群組,不要拿系統本身的群組開刀;另建群組功能權限愛怎麼開怎麼放,真有問題時 "一刀砍掉";你拿系統本身群組修改,到時有問題你還要一個個處理修改,萬一漏七遺八的,你的 AD 就指日可待的大亂