Делегирование управления объектами групповой политики
С помощью инструментов управления Active Directory администратор может делегировать другим пользователям и группам право управления частью каталога.
Это в полной мере относится и к объектам групповой политики, в отношении которых могут быть, в частности, делегированы следующие права.
Управление связями GPO с сайтом, доменом или подразделением (OU).
Для этого с помощью инструмента управления Active Directory укажите сайт, домен или OU и щелкните правой кнопкой мыши. В появившемся контекстном меню выберите команду Делегирование управления (Delegate Control). Запустится Мастер делегирования управления (Delegation of Control Wizard). С его помощью можно выбрать объект групповой политики, группу или пользователя, которому должны быть делегированы права, а также и само право (в данном случае Управление ссылками групповой политики (Manage Group Policy links)).
Создание и удаление всех дочерних объектов групповой политики.
По умолчанию правом создания объектов в GPO обладают администраторы домена (Domain Admins) и администраторы предприятия (Enterprise Admins), а также операционная система. Для делегирования пользователю права управления объектами групповой политики домена необходимо включить его в группу Создатели-владельцы групповой политики (Group Policy Creator Owners).
Редактирование свойств объектов групповой политики.
По умолчанию правом редактирования GPO обладают администраторы домена, администраторы предприятия и операционная система. Для делегирования пользователю права редактирования объекта групповой политики необходимо включить его в одну из указанных групп безопасности.