Eu preciso permitir que pessoas de RH editem alguns atributos para todos os usuários do Active Directory (números de telefone, endereço e informações de contato semelhantes), sem dar a eles direitos administrativos completos. Eles precisarão do direito de editar esses atributos em todas contas de usuário, independentemente da UO em que estiverem, e essa configuração de segurança também deve ser aplicada automaticamente a novas contas de usuário quando elas forem criadas.
Como posso conseguir isso?
Você deseja usar a opção Permissões de delegação em Usuários e computadores do Active Directory. Você pode aplicar a delegação a qualquer unidade organizacional desejada, incluindo a raiz do domínio.
Isso permitirá que você delegue quaisquer permissões de nível de atributo que desejar para os usuários / grupos que você definir.
Estas permissões aplicam-se como qualquer outra e respeitam a herança.
No ADUC, o assistente de Delegação de Controle permitirá que você faça isso, usando uma tarefa personalizada para delegação. Escolha apenas os campos que você deseja que eles tenham acesso de gravação.