Есть ли способ разрешить неадминистраторам "читать" (как при просмотре и просмотре настроек) gpo домена?
Я вижу, что в консоли управления групповыми политиками есть возможность разрешить делегирование «Чтение данных результатов групповой политики», но я не уверен, будет ли это обеспечивать требуемый тип доступа. Любой вклад будет оценен.
Спасибо!
Я проверил разрешения на чтение gpo. Я использую gpmc.msc инструмент для предоставления разрешения. Под каждым объектом GP есть вкладка «Делегирование». Я думаю, это то место, где нужно давать разрешения.
Но по умолчанию прошедшие проверку пользователи имеют доступ для чтения ко всем объектам GP, то есть все пользователи во всем лесу AD и доверенных доменах имеют доступ для чтения.