委派 是 Active Directory 域服务最重要的安全功能之一。 委派使更高的管理机构能够向个人和组授予容器和子树的特定管理权限。 不再需要域管理员,拥有对大量用户的广泛授权。
ACE 可以向用户或组授予容器中对象的特定管理权限。 使用容器 ACL 中的 ACL 对特定对象类的特定作授予权限。 例如,若要使名为“user 1”的用户成为“公司会计”组织单位的管理员,请将 ACL 添加到“公司会计”上的 ACL,如下所示:
“”user 1“;授予;创建、修改、删除;Object-Class 用户“user 1”;授予;创建、修改、删除;Object-Class 组“用户 1”;授予;写;Object-Class 用户;属性密码”
现在,用户 1 可以在公司会计中创建新用户和组,并在现有用户上设置密码,但用户 1 无法创建任何其他对象类,并且不能影响任何其他容器中的用户,当然,除非用户 1 被 ACE 授予在其他容器上的访问权限。