Как дать роль администратора в Active DIrectory внутри отдельной OU?

Question

[Юрий Ерусалимский]

Добрый день. Собственно, есть AD структура, в которой имеется два OU, далее структура:
OU1
* user1_1
* user2_1
* admin1_1
OU2
* user1_2
* user2_2
* admin1_2

Нужно, чтобы admin1_1 обладал этими правами только внутри OU1, в OU2 у него таких прав не было. И наоборот, admin1_2 был бы админом в OU2, а в OU1 таких прав не было бы. Если я дам права доменного админа, то такие права будут в этом домене на все OU разом, как конкретизировать права?

Answer 1

[WSGlebKavash]

Каждый объект в AD имеет собственную систему прав (ACL). OU являются частным случаем.
Соответственно, есть функция делегировать управление OU.
Простым языком
Тут более подробно
Здесь вариант через командную строку
Интересная, но давольно старая статья.

Так что, вполне решаемая задача.

Comments

[MaxKozlov]

Юрий Ерусалимский, только не надо называть это ролью администратора AD. Потому что из администрирования там только управление объектами в соответствующем OU. Администратор AD - это большее. Ваши задачи - account management

[Максим Гришин]

И для полного счастья вынести УЗ админов OU из подведомственных им OU во избежание нарушения ими политики корпоративной бехзопасности (ака смена пароля раз в N, установка ПО итп).

Answer 2

[Alexey Dmitriev]

через стандартный и специально придуманный для вашего вопроса механизм DoC (Delegation of Control).
При правой щелчке на любой OU можно вызвать wizard