В консоли управления групповой политикой я пытаюсь делегировать право «Связать объекты групповой политики», но после выбора группы для делегирования доступа и параметра «Этот контейнер и все дочерние контейнеры» я получаю сообщение об ошибке «Запрос не поддерживается".
Вот скриншот той же ошибки на форумах Microsoft. В этом случае пользователь пытался удалить делегирование.
Что вызывает эту ошибку и как ее решить?
Эта ошибка возникает, когда у пользователя есть существующие разрешения в подразделении Active Directory, с которыми консоль управления групповой политикой (GPMC) не знает, как справиться. Следует отметить, что делегирование групповой политики - это на самом деле просто разрешения для OU, а GPMC просто предоставляет упрощенный интерфейс, чтобы упростить изменение необходимых разрешений.
Вы можете использовать Active Directory - пользователи и компьютеры для проверки разрешений в подразделении. Вам нужно будет включить «Расширенные функции» в меню «Просмотр», чтобы увидеть вкладку «Безопасность» для объекта подразделения, и вам нужно будет выбрать «Дополнительно», чтобы просмотреть подробный список разрешений.
В моем случае рассматриваемой группе был явно предоставлен доступ «на чтение» к OU, который должен был быть добавлен по ошибке в какой-то момент, поскольку он является избыточным. В связанном вопросе на форумах Microsoft пользователь пытался изменить делегирование для группы администраторов домена, которая по умолчанию имеет полный доступ ко всем подразделениям.
В моем случае, поскольку существующего разрешения на чтение не было необходимости, я удалил его с помощью Active Directory Users and Computers. Затем я смог использовать консоль управления групповыми политиками, чтобы добавить желаемое делегирование.
Пользователь в связанном вопросе на форумах Microsoft мог удалить разрешение «Полный доступ» для администраторов домена таким же образом, что также привело бы к удалению делегирования групповой политики в качестве побочного эффекта. (Разумно ли это изменение - другой вопрос!)
В других случаях, если дополнительные разрешения не могут быть удалены, вы можете предоставить необходимое делегирование непосредственно в Active Directory - пользователи и компьютеры, а не через консоль управления групповой политикой. Если вы хотите предоставить делегирование «Link GPOs», тогда необходимые разрешения доступа: «Чтение gPLink», «Запись gPLink», «Чтение gPOptions» и «Запись gPOptions». После внесения изменения обновление представления в консоли управления групповой политикой должно отобразить только что созданное делегирование.