委派
委派是 Active Directory 網域服務 最重要的安全性功能之一。 委派可讓較高的系統管理許可權授與容器和子樹的特定系統管理許可權給個人和群組。 已不再需要具有廣泛許可權的用戶區段網域系統管理員。
ACE 可以將容器中物件的特定系統管理許可權授與使用者或群組。 在容器的 ACL 中使用 ACL 中的 ACE,針對特定物件類別的特定作業授與許可權。 例如,若要讓名為 「user 1」 的用戶成為「公司會計」組織單位的系統管理員,請將 ACL 新增至「公司會計」上的 ACL,如下所示:
“”user 1“;授予;建立、修改、刪除;Object-Class User“user 1”;授予;建立、修改、刪除;Object-Class Group“user 1”;授予;寫;Object-Class User;屬性密碼”
現在,使用者 1 可以在公司會計中建立新的使用者和群組,並在現有使用者上設定密碼,但使用者 1 無法建立任何其他物件類別,而且無法影響任何其他容器中的用戶,當然,除非其他容器上授與 ACE 的存取權。