Расширенное управление групповой политикой (AGPM) и производственное делегирование. Производственное делегирование должно устанавливать разрешения делегирования для GPO, то есть чтение, редактирование или редактирование, удаление и изменение безопасности. В нашей новой установке (4.3.160) оно также создает ложное разрешение «Применить» для политики для того же доверенного лица. Это, очевидно, неправильно. То, что группа администраторов домена имеет разрешения GpoEditDeleteModifySecurity, не означает, что мы хотим, чтобы политика применялась к администраторам домена. Есть ли у кого-нибудь текущий сервер AGPM, где можно было бы проверить это поведение? Похоже на дефект.