Является ли единственная причина группы владельцев-создателей групповой политики просто предоставить другим пользователям разрешения на создание (а затем изменение только своих) объектов групповой политики в домене?
Есть ли другой способ сделать это через Powershell или эта группа - единственный способ? то есть просто выдать разрешения, не являясь членом указанной группы.
Есть такой командлет PS: Set-GPPermission например и т. д. Хотя, согласно их технике в статье, это не совсем применимо.
Из TechNet:
Возможность создавать объекты групповой политики в домене - это разрешение, которым управляют для каждого домена. По умолчанию только администраторы домена, администраторы предприятия, владельцы-создатели групповой политики и SYSTEM могут создавать новые объекты групповой политики. Если администратор домена хочет, чтобы неадминистративная или неадминистративная группа могла создавать объекты групповой политики, этот пользователь или группа могут быть добавлены в группу безопасности «Владельцы-создатели групповой политики». Кроме того, вы можете использовать вкладку «Делегирование» в контейнере объектов групповой политики в консоли управления групповыми политиками, чтобы делегировать создание объектов групповой политики.
Итак, да, если вы хотите, чтобы кто-то создавал объекты групповой политики, либо поместите их в группу владельцев-создателей GP, либо делегируйте разрешение на создание и привязку объектов групповой политики к другой группе по вашему выбору.
Set-GPPermission вас не особо беспокоит. Этот командлет предназначен для таргетинга, поэтому вы можете предотвратить применение объекта групповой политики к определенным участникам, даже если их расположение в структуре подразделения в противном случае подпадало бы под действие этого объекта групповой политики.