您正在寻找Active Directory用户和计算机中的 Delegation of Control功能.我不喜欢@Harry Johnston的答案,因为虽然技术上有效,但你真的应该使用“向导”,这样你就不必捣乱你试图访问控制列表(ACL)中的特定条目了.管理.

假设目录看起来如下：

[domain]  ad.company.com
   |
   |-- [OU]  Sales
   |     |
   |   [user]  Bob,Sales Manager
   |
   |-- [OU]  Service
   |     |
   |   [user]  Jane,Service Manager
   |
   |-- [OU]  Security Groups
   |     |
   |     |-- [OU]  Groups Managed by Delegates
   |     |     |
   |     |   [group]  Sales Gerbils
   |     |     |
   |     |   [group]  Service Technicians
   |     | 
   |   [group]  Delegated Sales Managers
   |     |
   |   [group]  Delegated Service Managers
   |     |
  ...   ...

假设您希望Bob能够创建新的Sales用户,并且Jane能够创建新的Service用户,您可以：

>让Bob成为“委派销售经理”组的成员
>让Jane成为“Delegated Service Managers”组的成员
>使用“Sales”OU中的“控制委派”向导为“委派销售经理”组授予“创建,删除和管理用户帐户”权限
>使用“服务”OU中的“控制委派”向导为“委派的服务管理器”组授予“创建,删除和管理用户帐户”权限

这将允许Bob和Jane在适当的OU中创建用户帐户,但不允许他们使用户成为组的成员.通过放置允许Bob和Jane管理“代理人管理的组”OU下的成员资格的组,并使用控制委派向导授予“委派销售经理”和“委派服务管理员”“修改成员资格”组“在代表管理的组”右侧“OU允许Bob和Jane将用户(他们创建的用户或目录中已存在的其他用户！)添加到此OU内部和下方的组.

如果您想阻止Bob将用户添加到“Service Technicians”组并将Jane添加到“Sales Gerbils”组,您可以在“由代理人管理的组”OU下创建子OU并在那里委托控制(“销售组” OU和“服务组”OU,例如).

不错的是,您可以在目录中创建测试OU,创建一些测试帐户和组,并使用此功能,而不会影响目录的其余部分.在向用户推出解决方案之前先试一试并测试一下您的解决方案.