管理组策略的组权限？

Question

考虑以下情况：

客户工程部负责管理用户以交互方式登录的所有系统，包括大多数公司台式机和膝上型计算机，以及RDS服务器和一些应用服务器。他们拥有对所有这些系统的本地管理权限，并完全有权就如何配置这些系统、在其上安装了哪些软件以及允许谁访问这些系统作出操作决定。

为此，客户端工程团队需要能够控制其职权范围内的系统的组策略。因此，客户端工程安全组已被授权访问GPMC中的组策略对象容器，以及将GPO链接和断开到它们管理的OU之间的能力。

问题是：

Bob (客户端工程团队的成员)创建一个GPO来测试他正在从事的项目的一些应用程序设置，并将其链接到OU以测试功能。因为Bob创建了GPO，他可以根据需要编辑、删除、链接、取消链接和委托GPO。但是Bob没有权限来管理其他团队创建的GPO，也没有权限将他的新GPO链接到委托OU树之外的容器。到目前为止，还不错，这正是我们想要的。

不幸的是，当Bob创建新的GPO时，Windows将他的用户帐户添加到GPO的ACL中，而不是GPMC的组策略对象委托选项卡中指定的客户端工程组。团队的其他成员可以将其链接/取消链接到其他of (因为该委托是从ADUC完成的，而不是从GPMC完成的)，但是Bob是唯一能够编辑、删除或更改该GPO权限的人。客户端工程团队的任何其他成员都不能管理此策略，除非Bob记得显式地将权限授予客户端工程组，否则Bob也不能管理其团队其他成员创建的策略，除非他们也这样做过。这很糟糕-完全不是我们想要的。

如何在AD中正确设置权限，以便客户端工程安全组的成员可以创建、编辑、删除和委托他们创建的组策略对象？

Answer 1

您很可能无法在GPMC上做到这一点。

Microsoft在桌面优化包(MDOP)中提供了Microsoft高级组策略管理(AGPM)。

关于https://docs.microsoft.com/en-us/microsoft-desktop-optimization-pack/agpm/index的更多信息