Делегация

делегирование является одним из наиболее важных функций безопасности доменных служб Active Directory. Делегирование позволяет более высокому административному органу предоставлять определенные административные права для контейнеров и поддерев отдельным лицам и группам. Администраторы домена, имеющие широкий авторитет над большими сегментами пользователей, больше не требуются.

ACE может предоставить определенные административные права для объектов в контейнере пользователю или группе. Права предоставляются для конкретных операций с определенными классами объектов с помощью ACL контейнера. Например, чтобы пользователь с именем "1" был администратором подразделения "Корпоративный учет", добавьте acEs в ACL в "Корпоративный учет" следующим образом:

""user 1"; Грант; Создание, изменение, удаление;Object-Class user"user 1"; Грант; Создание, изменение, удаление;Object-Class Group"user 1"; Грант; Писать; пользовательObject-Class; Пароль атрибута"

Теперь пользователь 1 может создавать новых пользователей и группы в корпоративном учете и задавать пароли для существующих пользователей, но пользователь 1 не может создавать другие классы объектов и не может повлиять на пользователей в других контейнерах, если, конечно, пользователь 1 не предоставляет доступ к другим контейнерам.