委托
委派是 Active Directory 域服务最重要的安全功能之一。 委派使更高的管理机构能够向个人和组授予容器和子树的特定管理权限。 不再需要对大量用户拥有广泛权限的域管理员。
ACE 可以向用户或组授予容器中对象的特定管理权限。 使用容器 ACL 中的 ACE 对特定对象类的特定操作授予权限。 例如,若要使名为“user 1”的用户成为“公司会计”组织单位的管理员,请将 ACE 添加到“公司会计”上的 ACL,具体如下:
""user 1";Grant ;Create, Modify, Delete;Object-Class User"user 1";Grant ;Create, Modify, Delete;Object-Class Group"user 1";Grant ;Write;Object-Class User; Attribute Password"
现在,用户 1 可以在“公司会计”中创建新用户和组,并设置现有用户的密码,但用户 1 无法创建任何其他对象类,并且不能影响任何其他容器中的用户,当然,除非用户 1 被其他容器上的 ACE 授予该等访问权限。