В. Что представляет собой группа Group Policy Creator Owners?

О. они могут лишь редактировать или удалять созданные объекты. Группа Group Policy Creator Owners также не имеет разрешения для привязки объектов GPO к такому контейнеру, как домен или организационная единица (OU); это разрешение должно быть предоставлено вручную. Чтобы добавить пользователя или группу, достаточно открыть группу Group Policy Creator Owners, которая находится в контейнере Users домена, и произвести требуемое действие.

Эта группа -- простой и корректный способ позволить обычным пользователям создавать объекты GPO. Существует и другой способ: если выбрать контейнер Group Policy Objects для домена в консоли GPMC и перейти на вкладку Delegation в панели сведений, то можно увидеть список всех пользователей и групп в домене, имеющих право создавать объекты GPO. Обратите внимание на группу Group Policy Creator Owners.

Чтобы добавить других пользователей и группы, щелкните на кнопке Add и введите имя пользователя/группы. Существует опасность, что делегированные пользователи создадут много объектов GPO. Возможно, администраторам лучше создать специальный объект GPO для OU (например, JLeague_GPO_Custom), а затем делегировать администраторам Justice League GPO право редактировать этот объект.