“组策略创build者所有者”组的唯一原因是为了向其他用户授予在域中创build(然后仅修改其自己的)GPO的权限?
是否有另一种方式通过Powershell来做到这一点,或者这个组是唯一的方法吗? 即只是在没有成为该组的成员的情况下取消权限。
有一个PS cmdlet,例如: Set-GPPermission等等。虽然根据他们的technet文章它并不真正适用。
来自TechNet :
在域中创buildGPO的权限是以域为单位pipe理的权限。 默认情况下,只有域pipe理员,企业pipe理员,组策略创build者和SYSTEM可以创build新的组策略对象。 如果域pipe理员希望非pipe理员组或非pipe理组能够创buildGPO,则可以将该用户或组添加到“组策略创build者所有者”安全组。 或者,也可以使用GPMC中的“组策略对象”容器上的“委派”选项卡来委派创buildGPO。
因此,如果您希望某人创buildGPO,请将其置于GP Creator所有者组中,或者委托创buildGPO并将其链接到您select的另一组。
Set-GPPermission并不真的关心你。 这个Cmdlet是关于目标的,所以你可以阻止一个GPO应用到特定的主体,即使他们在OU结构中的位置不属于那个GPO的范围。