La délégation

La délégation est l’une des fonctionnalités de sécurité les plus importantes de services de domaine Active Directory. La délégation permet à une autorité administrative supérieure d’accorder des droits d’administration spécifiques pour les conteneurs et les sous-arborescences aux individus et aux groupes. Les administrateurs de domaine, disposant d’une large autorité sur de grands segments d’utilisateurs, ne sont plus nécessaires.

Un ACE peut accorder des droits d’administration spécifiques pour les objets d’un conteneur à un utilisateur ou à un groupe. Des droits sont accordés pour des opérations spécifiques sur des classes d’objets spécifiques à l’aide d’AES dans la liste de contrôle d’accès du conteneur. Par exemple, pour permettre à un utilisateur nommé « utilisateur 1 » d’être administrateur de l’unité d’organisation « Comptabilité d’entreprise », ajoutez des AES à la liste de contrôle d’accès sur « Comptabilité d’entreprise » comme suit :

« "user 1 »; Subvention; Create, Modify, Delete;Object-Class User"user 1 »; Subvention; Create, Modify, Delete;Object-Class Group"user 1 »; Subvention; Write;Object-Class User; Mot de passe de l’attribut »

À présent, l’utilisateur 1 peut créer des utilisateurs et des groupes dans La comptabilité d’entreprise et définir les mots de passe sur les utilisateurs existants, mais l’utilisateur 1 ne peut pas créer d’autres classes d’objets et ne peut pas affecter les utilisateurs dans d’autres conteneurs, sauf, bien sûr, si l’utilisateur 1 se voit accorder cet accès par les ACÉ sur les autres conteneurs.