Делегирование административных полномочий в Active Directory

[STALKER_SLX]

Доброго времени суток, уважаемые форумчане!
Появилась необходимость делегировать часть административных полномочий «младшему» администратору в нашей компании для того, чтобы он мог в определённом контейнере (OU) Active Directory самостоятельно: создавать новых пользователей, их редактировать, блокировать, разблокировать, сбрасывать пароли. Но при этом ему запрещено УДАЛЯТЬ учётные записи.

1. За основу взял вот эту статью:
http://winitpro.ru/index.php/2018/12/29/active-directory-delegirovanie-admin-prav/
2. Создал НОВУЮ группу безопасности «Delegate_priv_AD» и поместил в неё пока только одну учётную запись «младшего» администратора, которому и планирую делегировать часть полномочий.
3. Правой кнопкой мыши щёлкнул на нужном контейнере «Office_users» - «Делегирование управления» - добавил сюда группу «Delegate_priv_AD» - «Создать особую задачу для делегирования» - «Только следующим объектам в этой папке» - «User объектов» - «Создать в этой папке выбранные объекты»...

А дальше у меня просто не хватает знаний – какие галочки нужно отметить, чтобы делегировать часть админских прав группе «Delegate_priv_AD», чтобы она смогла: создавать новых пользователей, их редактировать, блокировать, разблокировать, сбрасывать пароли, но при этом ей запрещено УДАЛЯТЬ учётные записи.

Прошу Вас помочь разобраться в решении этой задачи!

[Уваров А.С.]

А дальше смотрите что вам нужно. Можно смело давать практически все на чтение, нужные опции на запись, забрав только удаление. Можно попробовать сначала дать все и только явно забрать удаление.