Comments
Спасибо! Дмитрий, напишите еще о том как делегировать права на создание учетных_записей+почтовых_ящиков (Exchange)
Для полного раскрытия темы стоит упомянуть AdminSDHolder, который умеет «срывать» делегированные права и «ломать» их наследование.
А также про редактирование delegwiz.inf, которое может упростить выполнение типовых операций делегирования.
В принципе, если данная тема будет интересна многим, можно будет сделать большой обучающий вебкаст, где я мог бы в более подробной форме показать, какие есть методы при использовании штатных средств, сторонних утилит, как можно скрыть от пользователей из конкретных групп определенные подразделения Active Directory и многое другое…
Данная тема в первую очередь интересна начинающим администраторам Acrive Directory, а поломанное SDPROP'ом наследование дескрипторов безопасности — та ещё ловушка — я сам на этом не раз прокалывался. Плюс есть несколько тонких моментов:
  1. В домене contoso.com y вас есть группа peronal, которой вы хотите делегировать возможность правки определённого атрибута у ВСЕХ пользователей (например кадровикам дать право заполнять подразделение (department) сотрудника)
  2. Вы делегируете полномочия этой группе права на аттрибут department у всех объектов пользователей от корня домена (буду приводить примеры для dsacls — он мне больше нравится):
    dsacls "dc=contoso,dc=com" /A /I:S /G "CONTOSO\personal;RPWP;department;user"
    

    ("/I:T" задать не получится, потому как объект «dc=contoso,dc=com» не user, а в правиле доступа явно сказано, что оно для объекта user)
  3. Через время вам звонят из персонала и жалуются, что не могут обновить название вашего подразделения.
  4. Вы вспоминаете про AdminADHolder и выполняете:
    dsacls "cn=AdminSDHolder,cn=System,dc=contoso,dc=com" /A /I:S /G "CONTOSO\personal;RPWP;department;user"
    
  5. И опять у персонала не хватает прав на обновление атрибута department на вашей учётной записи. Ведь списке контроля доступа вы задали наследование «на все дочерние объекты». Правило было скопировано на ваш объект пользователя и применяется… к дочерним объектам вашего объекта пользователя
  6. Разгадав эту загадку, вы исправляете ситуацию:
    dsacls "cn=AdminSDHolder,cn=System,dc=contoso,dc=com" /A /I:T /G "CONTOSO\personal;RPWP;department;user"
    
  7. И тут опять звонят из персонала — у них та же проблема, но уже с Василием П., перешедшим недавно из администраторов в программисты (и лишённым недавно прав администратора домена)
  8. Тут вы для себя находите некоторое множество учётных записей со сломанным наследованием, которые вам достались от коллег/предшественников.

Данный «квест» обычно занимает у людей с ним никогда не сталкивающихся не один час.
P.S. В синтаксисе правила dsacls мог немного ошибиться — пишу по-памяти и нет под рукой DC, чтобы проверить. Но на суть особенности с наследованием это не влияет.
UFO landed and left these words here
Мне кажется во 2 пункте в начале про GPMC незаконченное действие.
Просто, один тег в html-коде зарезал целый абзац. Спасибо, что заметили, все исправлено.
Only those users with full accounts are able to leave comments. Log in, please.