委任
委任は、Active Directory Domain Servicesの最も重要なセキュリティ機能の1つです。 委任により、上位の管理権限を使用して、コンテナーとサブツリーの特定の管理権限を個人やグループに付与できます。 大規模なユーザーセグメントに対して広範な権限を持つドメイン管理者は不要になりました。
ACEは、コンテナー内のオブジェクトに対する特定の管理権限をユーザーまたはグループに付与できます。 権限は、コンテナーのACLでAceを使用して、特定のオブジェクトクラスに対する特定の操作に対して付与されます。 たとえば、 「user 1」 という名前のユーザーを 「Corporate Accounting」 組織単位の管理者にできるようにするには、次のように 「Corporate Accounting」 のACLにAceを追加します。
「user 1」;付与;作成、変更、削除;オブジェクトクラスユーザー 「user 1」 付与作成、変更、削除;付与;オブジェクトクラスグループ 「user 1」 付与書き込みオブジェクトクラスユーザー;属性 「Password」 付与;付与;書き込み;オブジェクトクラスユーザー;属性パスワード"
ここで、ユーザー1はCorporate Accountingで新しいユーザーとグループを作成し、既存のユーザーにパスワードを設定できますが、ユーザー1は他のオブジェクトクラスを作成できず、他のコンテナのユーザーに影響を与えることはできません。もちろん、ユーザー1が他のコンテナのACEによってアクセスを許可されている場合を除きます。