Делегирование
Делегирование является одним из наиболее важных функций безопасности служб домен Active Directory. Делегирование позволяет более высокому административному органу предоставлять определенные административные права для контейнеров и поддерев отдельным лицам и группам. Администраторы домена, имеющие широкий авторитет над большими сегментами пользователей, больше не требуются.
ACE может предоставить определенные административные права для объектов в контейнере пользователю или группе. Права предоставляются для конкретных операций с определенными классами объектов с помощью ACL контейнера. Например, чтобы пользователь с именем "1" был администратором подразделения "Корпоративный учет", добавьте acEs в ACL в "Корпоративный учет" следующим образом:
""user 1"; Предоставить; Создание, изменение, удаление; Пользователь класса Object-Class"1"; Предоставить; Создание, изменение, удаление; Группа класса object-class"user 1"; Предоставить; Написать; Пользователь класса object; Пароль атрибута"
Теперь пользователь 1 может создавать новых пользователей и группы в корпоративном учете и задавать пароли для существующих пользователей, но пользователь 1 не может создавать другие классы объектов и не может повлиять на пользователей в других контейнерах, если, конечно, пользователь 1 не предоставляет доступ к другим контейнерам.