Да, возможно сделать этот использующие мелкомодульные полномочия в Active Directory. Однако существует серьезное основание, это обычно не делается.
Если Вы даете человеку права управлять учетными записями пользователей и взять резервные копии, который подразумевает определенное количество доверия. Если Вы только даете им половину прав, им нужно, она похожа на высказывание, "Я не доверяю Вам, чтобы сделать это задание, но я заставляю Вас сделать это так или иначе".
Как альтернатива, Вы могли делегировать управление единственной организационной единицей. Таким образом, потенциальный ущерб все еще ограничен, но теперь у Вас есть шанс оценить административную способность этого человека. Для получения дополнительной информации попытайтесь искать, Google для "Делегата Active Directory управляют организационной единицей".
Если Вы будете абсолютно установлены при предоставлении пользователю способности создать другие учетные записи пользователей, но не удалить их, то необходимо будет вручную отредактировать ACLs на организационной единице и допустить, что пользователь "Создает Пользовательские объекты" полномочие.
Ваши действия должны выглядеть примерно так:
Однако намеренная работа только с одним контроллером домена заставляет меня нервничать. Я настоятельно рекомендую вам запустить третий контроллер домена, по крайней мере, временно, если не постоянно. Если вы решите запустить его временно, возможные варианты включают виртуальную машину (на существующем хосте виртуализации или машине с Windows 8 или даже что-то вроде VirtualBox) или просто временное использование настольного компьютера.
Поскольку PDC больше не существуют, каждый DC, который у вас есть, является «первичным» для всех намерений и целей. То есть, если вы отключите один из них, все, что вам нужно сделать, это понизить его и удалить должным образом из AD (метаданные и т. Д.). Вам следует выполнить эти шаги, чтобы избежать головной боли в будущем.
Как уже говорили другие, роль PDC больше не существует. Однако существует роль PDCe .
Вы захотите передать роль PDCe и любые другие роли, которые выполняются на DC1, в DC2.
Чтобы передать роль PDCe через графический интерфейс :
Здесь
Здесь - это статья из TechNet о передаче всех ролей FSMO. После перемещения роли PDCe (и любых других ролей), вы можете понизить статус DC . После переустановки Windows и повторного повышения уровня DC1 выполните те же действия для DC2.