Delegação
A delegação é um dos recursos de segurança mais importantes dos Serviços de Domínio Active Directory. A delegação permite que uma autoridade administrativa superior conceda direitos administrativos específicos para contêineres e subárvores a indivíduos e grupos. Administradores de domínio, com ampla autoridade sobre grandes segmentos de usuários, não são mais necessários.
Uma ACE pode conceder direitos administrativos específicos para os objetos em um contêiner a um usuário ou grupo. Os direitos são concedidos para operações específicas em classes de objeto específicas usando ACEs na ACL do contêiner. Por exemplo, para permitir que um usuário chamado "usuário 1" seja um administrador da unidade organizacional "Contabilidade corporativa", adicione ACEs à ACL em "Contabilidade corporativa" da seguinte maneira:
""usuário 1"; Subvenção; Criar, Modificar, Excluir; usuário de classe de objeto"usuário 1"; Subvenção; Criar, Modificar, Excluir; Grupo de classe de objeto"usuário 1"; Subvenção; Escrever; Usuário de classe de objeto; Senha de atributo"
Agora, o usuário 1 pode criar novos usuários e grupos na Contabilidade Corporativa e definir as senhas em usuários existentes, mas o usuário 1 não pode criar nenhuma outra classe de objeto e não pode afetar os usuários em nenhum outro contêiner, a menos, é claro, que o usuário 1 tenha acesso concedido por ACEs nos outros contêineres.