Nicht immer muss ein Administrator Domain Admin sein, um die täglichen Aufgaben im AD zu erledigt zu können. Die Konsole „Active Directory Users and Computers“ bietet die Möglichkeit bestimmte Tätigkeiten zu delegieren, jedoch sind die Möglichkeiten hier relativ begrenzt.
Wer eine komplexe Rechte Delegationen vornehmen möchte, muss sich tiefer mit den Sicherheitsberechtigungen auseinandersetzten. Um aber überhaupt erstmal an die Sicherheitseinstellungen zu kommen, müssen in der Konsole die Advanced Features aktiviert werden.
Nach dem aktivieren dieser Option werden weitere Ordner in der AD Konsole angezeigt. In den Eigenschaften der einzelnen Objekte sind nun auch weitere Registerkarten verfügbar, unter anderem die Registerkarte Security.
Innerhalb der Registerkarte Security kommt man über Advanced an die erweiterten Sicherheitsoptionen. Hier kann man nun die Rechte für den ensprechenden Benutzer oder die entsprechende Gruppe einstellen. Nachfolgend drei Beispiele wir eine entsprechende Rechtedelegation aussehen kann.
Kontakte erstellen/löschen
Allow, youruser, Create/Delete Contact Objects, <not inherited>, this object and all child objectsAllow, youruser, Full Control, <not inherited>, Contact objects
Computer Konten erstellen/löschen
Allow, youruser, Write All Properties, <not inherited>, This object and all child objectsAllow, youruser, Write All Properties, <not inherited>, Computer objectsAllow, youruser, Create/Delete Computer Objects, <not inherited>, This object and all child objects
Gruppen erstellen/löschen
Allow, youruser, Create/Delete Group Objects, <not inherited>, this object and all child objectsAllow, youruser, Full Control, <not inherited>, Group objects