Делегирование административных задач в Active Directory (c) hb860
Копия статьи скопированная отсюда автора hb860 , сохранена на случай исчезновения на оригинальном хосте. Мне нравится полнота изложения как для начинающих сисадминов, так и сисадмино-самоучек ;) Делегирование объектов Active Directory Более чем очевидно, что практически в каждой организации ИТ-подразделение включает в себя нескольких администраторов, и различные административные задачи должны быть распределены среди администраторов, либо, скажем, среди членов службы поддержки. Например, как в данном примере, скажем сотрудники подразделения поддержки должны вносить компьютеры в домен. Однако такая группа пользователей не должна иметь возможности выполнять остальные операции, помимо тех, которые вы хотите им разрешить. А вот те разрешения, которые можно назначать пользователям, группам или компьютерам, иначе говоря принципалам безопасности, называются записями контроля доступа (Access Control Entry, ACE). Следовательно, с помощью ACL модифицируются разрешения до