PnP*_*PnP 3 powershell active-directory group-policy
Group Policy Creator Owner 组的唯一原因是向其他用户提供在域中创建(然后仅修改他们自己的)GPO 的权限吗?
是否有另一种方法可以通过 Powershell 执行此操作,还是该组是唯一的方法?即只是抛出权限而不是所述组的成员。
有一个 PS cmdlet,例如:Set-GPPermission例如等。尽管根据文章中的技术网,它并不真正适用。
来自TechNet:
在域中创建 GPO 的能力是在每个域的基础上管理的权限。默认情况下,只有域管理员、企业管理员、组策略创建者所有者和系统可以创建新的组策略对象。如果域管理员希望非管理员或非管理组能够创建 GPO,则可以将该用户或组添加到 Group Policy Creator Owners 安全组。或者,您可以使用 GPMC 中组策略对象容器上的委派选项卡来委派 GPO 的创建。
因此,是的,如果您希望某人创建 GPO,请将其置于 GP Creator Owners 组中,或者将创建 GPO 的权限委托给您选择的另一个组并将其链接。
Set-GPPermission与您无关。该 Cmdlet 与目标有关,因此您可以防止 GPO 应用于某些主体,即使它们在 OU 结构中的位置将属于该 GPO 的范围。
| 归档时间: |
|
| 查看次数: |
4182 次 |
| 最近记录: |