No Console de Gerenciamento de Diretiva de Grupo, estou tentando delegar o direito "Vincular GPOs", mas depois de selecionar o grupo para delegar o acesso e a opção "Este contêiner e todos os contêineres filho", estou recebendo a mensagem de erro "A solicitação é não suportado".
Aqui está uma captura de tela do mesmo erro nos fóruns da Microsoft. Nesse caso, o usuário estava tentando remover uma delegação.
O que causa esse erro e como o problema pode ser resolvido?
Este erro ocorre quando o usuário tem permissões existentes na UO do Active Directory com as quais o Console de Gerenciamento de Diretiva de Grupo (GPMC) não sabe como lidar. Deve-se notar que as delegações de política de grupo são realmente apenas permissões na OU, o GPMC apenas fornece uma interface simplificada para facilitar as alterações de permissões necessárias.
Você pode usar Usuários e Computadores do Active Directory para verificar as permissões na UO. Você precisará habilitar "Recursos avançados" no menu Exibir para ver a guia Segurança de um objeto OU e precisará escolher "Avançado" para ver a lista detalhada de permissões.
No meu caso, o grupo em questão recebeu explicitamente acesso "Ler" à OU, que deve ter sido adicionado por engano em algum momento, pois é redundante. Na pergunta vinculada nos Fóruns da Microsoft, o usuário estava tentando alterar a delegação do grupo Administradores de Domínio que, por padrão, tem controle total em todas as UOs.
No meu caso, como a permissão de leitura existente não precisava estar lá, eu a removi usando usuários e computadores do Active Directory. Consegui então usar o GPMC para adicionar a delegação que eu queria.
O usuário na pergunta vinculada dos Fóruns da Microsoft poderia ter removido a permissão de controle total para administradores de domínio da mesma maneira, o que também removeria a delegação de política de grupo como um efeito colateral. (Se esta é uma mudança sensata é outra questão!)
Em outros casos, se as permissões extras não puderem ser removidas, você poderá conceder a delegação necessária diretamente em Usuários e Computadores do Active Directory, em vez de pelo Console de Gerenciamento de Diretiva de Grupo. Se você deseja conceder a delegação "Link GPOs", as permissões de acesso necessárias são "Ler gPLink", "Gravar gPLink", "Ler gPOptions" e "Gravar gPOptions". Depois que a alteração for feita, a atualização da exibição no Console de Gerenciamento de Diretiva de Grupo deve mostrar a delegação recém-criada.