С помощью подразделений можно делегировать отдельным пользователям и группам администрирование таких объектов, как пользователи и компьютеры. Для этого создайте специальную группу, участникам которой будет делегировано администрирование, создайте из подконтрольных объектов отдельное подразделение, после чего делегируйте созданной группе задачи по администрированию подразделения.
Доменные службы Active Directory позволяют управлять административными задачами, доступными для делегирования, с высокой степенью гибкости. Например, одной группе можно предоставить все возможности управления всеми объектами подразделения, другой группе – предоставить только право создавать и удалять учетные записи в подразделении, а также управлять ими, а третьей – только право восстанавливать пароли учетных записей. Можно сделать так, чтобы эти разрешения передавались по наследству, то есть, чтобы они распространялись на подразделения, дочерние по отношению к исходному.
Некоторые подразделения и контейнеры создаются по умолчанию при установке доменных служб Active Directory, и ими управляют администраторы служб. Лучше всего, если администраторы продолжают управлять этими контейнерами. Если нужно передать управление объектами в каталоге, создайте из таких объектов дополнительные подразделения. Затем передайте управление этими подразделениями соответствующим администраторам данных. Благодаря этому появится возможность передать управление объектами в каталоге, не меняя возможностей по управлению, предоставленных администраторам служб.
Уровень полномочий, делегированных владельцу подразделения, устанавливает владелец леса. Диапазон этих полномочий может изменяться от возможности создавать объекты в подразделении и манипулировать ими до таких ограниченных полномочий, как право на управление одним атрибутом объектов одного типа в подразделении. Вместе с предоставленной ему возможностью создавать объекты в подразделении пользователь автоматически получает возможность изменять любой атрибут любого созданного им объекта. Кроме того, если созданный объект является контейнером, пользователь автоматически получает возможность создавать в этом контейнере любые объекты и управлять ими.
В этом разделе