iT邦幫忙

1

請問有辦法在AD網域中給單一使用者使用GPO編輯器的權限嗎?

一般預設開啟GPO編輯器的權限是在Domain Admins和Enterprise Admins這兩個群組上
但這兩個群組權限太大了,我只想給編輯GPO的權限就好
查過微軟的官方說明寫Group Policy Creator Owners這個群組也有權限
但我實測這個群組只有連結現有GPO的權限而已,是沒有開啟GPO編輯器權限的(右鍵編輯是灰字)

自己測試在OU右鍵→內容→安全性→進階→新增該使用者→給完全控制權限
結果即使給了完全控制也沒有編輯GPO的權限
後來研究了一下這裡面許多選項
其中gPLink和gPOptions這兩項共有連結現有GPO、禁止繼承、更新群組原則三項權限

但我仍然找不到從哪裡才能給GPO編輯器的權限
請問有辦法單獨給一個使用者權限嗎?
還是就只能加那兩個群組了?
已經Google不少文章,但都沒提到這個權限從哪裡開

royhutw iT邦新手 4 級 ‧ 2021-08-21 07:54:00 檢舉
https://www.youtube.com/watch?v=f2Zu_0UmwjU
感謝,嘗試後可以正常給一個使用者權限了
抱歉最近比較忙回覆有點晚。
royhutw iT邦新手 4 級 ‧ 2021-08-25 14:47:18 檢舉
google時的關鍵字應該是gpo management delegation, Server相關的東西儘量以英文下去搜尋比較能夠找到你要找的東西

1 個回答

1
國際 IT 人
iT邦高手 1 級 ‧ 2021-08-20 16:25:13

建議另建一個新的群組,不要拿系統本身的群組開刀;另建群組功能權限愛怎麼開怎麼放,真有問題時 "一刀砍掉";你拿系統本身群組修改,到時有問題你還要一個個處理修改,萬一漏七遺八的,你的 AD 就指日可待的大亂

沒關係,現在我是在VMware裡面做LAB而已,測試好才正式上。
但我目前卡在新建不管是使用者還是群組給完全控制都一樣不能編輯GPO,找不到從哪裡開啟這個權限。

我要發表回答

立即登入回答