Можно ли добавить пользователей в группу за пределами управляемого OU?

Question

[Nat Pch.]

Здравствуйте!

Имеется такая структура.


1) Администратор АС Петров 0 (красный) создает и назначает остальных Петров 1-6 "Администраторами OU", делегирует им права на управление ТОЛЬКО своего OU.
2) Каждый Петров 1-6 создает своего Сидорова 1-6.

Вопрос: могут ли Петровы 1-6 включить своих Сидоровых в группу "Пользователи" из контейнера Пользовательский персонал?
Или это противоречит условию "управление ТОЛЬКО своего OU" и значит, чтобы Сидоровы 1-6 стали членами группы "Пользователи", нужно создать в каждом OU группы "Пользователи-1 (2, 3, 4, 5, 6)", вложенными в общую группу Пользователи?

upd:
Есть так же идея создать для учетных записей атрибут "area", уникальный для каждого OU. И устроить так, чтобы Петровы 1-6 имели права на группу Пользователи, но могли изменять только тех, чьи значения атрибута "area" совпадают с их.

Answer 1

[mumische]

Могут включать, если на группу "Пользователи" будут выданы соответствующие разрешения.