Delegierung
Die Delegierung ist eines der wichtigsten Sicherheitsfeatures von Active Directory Domain Services. Die Delegierung ermöglicht es einer höheren Verwaltungsbehörde, Einzelpersonen und Gruppen bestimmte Administratorrechte für Container und Unterstrukturen zu gewähren. Domänenadministratoren mit umfassender Autorität über große Benutzersegmente sind nicht mehr erforderlich.
Ein ACE kann einem Benutzer oder einer Gruppe bestimmte Administratorrechte für die Objekte in einem Container erteilen. Rechte werden für bestimmte Vorgänge für bestimmte Objektklassen mithilfe von ACEs in der ACL des Containers gewährt. Um beispielsweise einen Benutzer namens "Benutzer 1" als Administrator der Organisationseinheit "Unternehmensbuchhaltung" zu aktivieren, fügen Sie acEs der ACL für "Unternehmensbuchhaltung" wie folgt hinzu:
"Benutzer 1"; Gewähren; Create, Modify, Delete;Object-Class User"user 1"; Gewähren; Create, Modify, Delete;Object-Class Group"user 1"; Gewähren; Schreiben;Objektklassenbenutzer; Attributkennwort"
Benutzer 1 kann jetzt neue Benutzer und Gruppen in der Unternehmensbuchhaltung erstellen und die Kennwörter für vorhandene Benutzer festlegen, aber Benutzer 1 kann keine anderen Objektklassen erstellen und kann sich nicht auf Benutzer in anderen Containern auswirken, es sei denn, Benutzer 1 erhält diesen Zugriff von ACEs auf die anderen Container.