Group Policy Creators Owners

Algunos datos que pueden ayudarte :-)

El grupo Group Policy Creator Owners, contrariamente a lo que está escrito
en muchos lados (la ayuda inclusive) NO da permisos para modificar las GPOs.
Está más que nada por compatibilidad con W2000, ya que en esta versión era
la única forma para que un usuario pudiera CREAR GPOs.
Esto tiene una consecuencia, el que crea una GPO es el Propietario (Owner) y
por lo tanto tiene Control Total, pero sólo de las GPOs que él crea

En W2003, esto se puede otorgar a nivel dominio con GPMC, no hace falta usar
el mencionado grupo :-)

Los permisos sobre GPOs, ya lo habrás sentido :-), son bastante complicados,
porque en realidad hay 3 lugares para darlos. Poder crear: en el dominio,
poder enlazar: en el contenedor (OU, Dom, o Sitio), poder modificar: en la
propia: GPO

Luego, la conclusión es que si quieres que un grupo pueda modificar GPOs, no
tiene más remedio que asignarlo GPO por GPO, o aunque nunca lo he probado,
pero supongo que esto lo puedes delegar a nivel de dominio con delegación.
No tengo ahora ningún DC a la mano para probarlo


Guillermo Delprato
MVP - MCT - MCSE
Buenos Aires, Argentina
http://w2k8-server.spaces.live.com/

Este mensaje se proporciona "como está" sin garantías de ninguna clase,y no
otorga ningún derecho. Ud. asume los riesgos
This posting is provided "AS IS" with no warranties, and confer no rights.
You assume all risk for your use.



"Francisco Cangrejo" wrote in message
news:

Gente del Grupo:

Tengo en mi dominio una buena cantidad de politicas de grupo. Ahora bien,
he distribuido los grupos de usuarios de acuerdo a las tareas
administrativas que necesitan especificamente. Asi elimino el uso
indiscriminado de la cuenta de Administrador y toda cuenta de usuario
perteneciente a Enterprise Admins o a Domain Admins.

He creado un grupo de usuarios cuya funcion es administrar politicas de
dominio. He delegado a ese grupo la habilidad de crear GPOs, administrar
vinculos, links, hacer modeling y results. Pero mi inconveniente esta en
que ninguno de los usuarios pertenecientes a ese grupo pueden modificar
las politicas ya creadas a menos que especifique en delegacion de cada
objeto al grupo en cuestion. En adicion, si un usuario (pongamosle A) crea
una directiva, el usaurio B (ambos pertenecientes al grupo de
administracion de GPO), no puede modifiacar dicha politica y si veo el ACL
de la directiva creada no encuentro ni GPO Creator owners ni el gruop que
yo cree, sino el usuario A (a parte de los administradores). Mi pregunta
es como hacer que cada politica nueva que se cree incluya al grupo de
administradores de GPO que yo cree o al grupo "Group POolicy Creator
Owners"??????

Puedo hacerlo manualmente en las ya creadas, pero hay alguna forma de que
estas hereden los permisos otorgados a estos nuevos grupos de
administracion????

Saludos y gracias de antemano.