Você está procurando a funcionalidade Delegação de controle em Usuários e Computadores do Active Directory. Eu não prefiro a resposta de @Harry Johnston porque, embora tecnicamente válido, você realmente deveria usar o "Wizard" para que você não precise se preocupar com as entradas específicas nas listas de controle de acesso (ACLs) que você está tentando gerenciar.
Assuma um diretório com a seguinte aparência:
[domain] ad.company.com
|
|-- [OU] Sales
| |
| [user] Bob, Sales Manager
|
|-- [OU] Service
| |
| [user] Jane, Service Manager
|
|-- [OU] Security Groups
| |
| |-- [OU] Groups Managed by Delegates
| | |
| | [group] Sales Gerbils
| | |
| | [group] Service Technicians
| |
| [group] Delegated Sales Managers
| |
| [group] Delegated Service Managers
| |
... ...
Supondo que você gostaria que Bob pudesse criar novos usuários de vendas e Jane para poder criar novos usuários do serviço, você poderia:
- Torne Bob um membro do grupo "Gerentes de vendas delegados"
- Transforme Jane em um membro do grupo "Gerentes de serviços delegados"
- Use o assistente "Delegação de controle" na unidade organizacional "Vendas" para conceder permissões "Criar, excluir e gerenciar contas de usuários" ao grupo "Gerentes de vendas delegadas"
- Use o assistente "Delegação de controle" na UO "Serviço" para conceder permissões "Criar, excluir e gerenciar contas de usuário" ao grupo "Gerentes de serviço delegados"
Isso permitiria que Bob e Jane criassem contas de usuário nas UOs apropriadas, mas não permitiria que eles tornassem os usuários membros de grupos. Colocando grupos que Bob e Jane têm permissão para gerenciar a associação sob a UO "Grupos Gerenciados por Representantes" e usando o assistente de Delegação de Controle para conceder "Gerentes de Vendas Delegados" e "Gerentes de Serviços Delegados" o "Modificar a associação de um group "à direita dos" Grupos Gerenciados por Representantes "UO Bob e Jane teriam permissão para adicionar usuários (usuários que eles criam ou outros usuários que já existem no Diretório!) aos grupos dentro e abaixo dessa UO.
Se você quisesse impedir que Bob adicionasse usuários ao grupo "Técnicos de serviço" e Jane ao grupo "Gerbils de vendas", você poderia criar sub-unidades organizacionais na unidade organizacional "Grupos gerenciados por delegados" e delegar o controle lá (a " Grupos de Vendas "UO e UO" Grupos de Serviço ", por exemplo).
O interessante é que você pode criar uma UO de teste no seu Diretório, criar algumas contas e grupos de teste e brincar com essa funcionalidade sem afetar o restante do seu Diretório. Dê um tiro e teste sua solução antes de distribuí-la para os usuários.