Eu tenho um grupo de usuários, vamos chamá-los de DOMAIN \ MyPowerUsers; Gostaria de dar a todos neste grupo a capacidade de criar, editar e excluir usuários no DOMAIN e de modificar a associação de grupos de usuários no domínio. Isso é possível?
Você precisa delegar o controle para esse grupo. Nos usuários e computadores do AD:
Clique com o botão direito no seu domínio DOMAIN.LOC
selecione Delegate Control
Próxima
Clique em Adicionar e selecione o grupo
Selecione as permissões que você deseja conceder aos usuários (no seu caso, Criar, Excluir, Gerenciar Contas de Usuário e Modificar as Associações de Grupos )
Clique em Próximo
Clique em Concluir
Você pode fazer isso delegando o controle. Se você abrir o ADUC e, em seguida, clicar com o botão direito do mouse no nível da sua árvore que deseja delegar o controle a eles (Raiz do domínio, OU, etc), haverá uma opção para delegar o controle. Percorra o assistente e ele perguntará para quem você deseja delegar o controle e, em seguida, o que você deseja que possa fazer. No botão de opções Tarefas comuns, há uma opção para "Criar, excluir e gerenciar usuários" e "Modificar o membro de um grupo "Isso vai te levar aonde você quer estar.