Как я могу дать полномочия одной учетной записи для создавания/изменения/удаления OU в Active Directory?
Существует два способа, которыми можно действительно сделать это.
Как Выше, войдите в консоль Active Directory Users And Computers, создайте OU только под Вашим доменом, который окутывает Ваш весь домен, затем используйте Мастер Управления Делегата, чтобы предоставить полномочия пользователям или группам по мере необходимости. Тот инструмент может быть найден путем щелчка правой кнопкой по рассматриваемому OU. Поскольку организационные причины обычно лучше создавать группу и вложенное множество все пользователи в той группе, которая должна администрировать OU и группы. Это означает, что можно добавить и удалить пользователей с теми полномочиями быстро, не имея необходимость далее изменять основное распределение.
Войдите в Меню 'Представления' в Пользователях Active Directory и Компьютерах и включите опцию 'Advanced Features'. Можно затем щелкнуть правой кнопкой по основному домену OU или вторичному OU, который Вы создаете, как я предположил выше, и войдите в свойства. С Усовершенствованным Представлением о каждом OU будет иметь свою собственную вкладку безопасности теперь. Оттуда можно перейти к каждой группе безопасности и детализировано изменить полномочия на тех OUs на основе групп или пользователей. При входе в усовершенствованное представление в безопасности, можно разломать каждое разрешение на каждый компонент и изменить их так конкретно или открыто, как Вы хотели бы.
Взгляните на функцию делегации активного каталога. Я создал бы OU в Вашем домене и затем делегировал бы в этом уровень OU вместо на доменном уровне. Это сохранит Вашего пользователя заблокированным только к созданию OUs в этом OU. Я полагаю, что необходимо будет войти к усовершенствованной части полномочий мастера делегации.
Вы всегда должны пытаться делегировать задачи в Active Directory на основе минимальных прав.
Для задач, которые вы хотите делегировать, вам нужно только предоставить разрешения Create Child - User Objects, Create Child - Group Objects и Create-Child Organizational Unit.
Для этого вам лучше всего создать Подразделение непосредственно под объектом домена, создав группу, которой следует делегировать доступ, а затем предоставить три вышеуказанных разрешения для подразделения, используя шаги, описанные выше Лараностцем.
После того, как вы делегировали эти задачи, вы также должны убедиться, что что вы проверяете свои делегации. Для получения дополнительной информации о том, как проверить делегирование - http://www.activedirsec.com/how_to_verify_delegations.html
Существует также инструмент, который может помочь в проверке делегирования под названием «Золотой палец для AD». Он был разработан бывшим экспертом по безопасности Microsoft , и я считаю, что он также одобрен Microsoft.
Отказ от ответственности: я не связан с поставщиком вышеупомянутого инструмента. Я использовал этот инструмент и высоко о нем думаю, поэтому упоминаю его, потому что это важно для проверки делегаций.