Delegación
La delegación es una de las características de seguridad más importantes de Servicios de dominio de Active Directory. La delegación permite a una autoridad administrativa superior conceder derechos administrativos específicos para contenedores y subárboles a individuos y grupos. Los administradores de dominio, con una amplia autoridad sobre grandes segmentos de usuarios, ya no son necesarios.
Una ACE puede conceder derechos administrativos específicos para los objetos de un contenedor a un usuario o grupo. Se conceden derechos para operaciones específicas en clases de objetos específicas mediante ACL del contenedor. Por ejemplo, para permitir que un usuario denominado "usuario 1" sea administrador de la unidad organizativa "Contabilidad corporativa", agregue ACA a la ACL en "Contabilidad corporativa" como se indica a continuación:
""usuario 1"; Conceder; Create, Modify, Delete;Object-Class User"user 1"; Conceder; Create, Modify, Delete;Object-Class Group"user 1"; Conceder; Write;Object-Class User; Contraseña de atributo"
Ahora, el usuario 1 puede crear nuevos usuarios y grupos en contabilidad corporativa y establecer las contraseñas en los usuarios existentes, pero el usuario 1 no puede crear ninguna otra clase de objeto y no puede afectar a los usuarios de ningún otro contenedor, a menos que, por supuesto, se conceda al usuario 1 ese acceso mediante AEC en los demás contenedores.