Ситуация такая: Есть домен (контроллеры под Win2003 R2). Поднята в нем AD. Необходимо некоторым пользователям дать возможность смены пароля для определенных контенейров (пользователей которые там находятся), но при этом нельзя чтобы была возможность удаления или создания пользователей в AD. Подскажите, где копать. Через делегирование управления такое не получается.

Думаю надо всё таки хорошо покопаться в закладке безопасности, в свойствах конкретной OU (контейнера) -> дополнительно -> добваить/изменить -> разварачиваем список apply onto/применить к:, ищем нужный параметр (в вашем случае account или что то подобное) выставляем соответствующие разрешения. А настройки делегирования - это всего лиш мастер, для "вкручивания" прав безопасности. В самой закладке безопасности можно более расширенно всё настроить и как то превычнее (мне, по крайней мере).

Всё. Задача решена. Всё это можно сделать через безопасность в свойствах контейнера OU.

это можно выполнить более правильно и изящно, используя dsa.msc здесь тема с решением (http://social.technet.microsoft.com/Forums/ru-RU/windowsserverru/thread/93e51922-05bb-44d7-bfb2-77ad8874a733)

Ок. Спасибо за ссылку. Посижу почитаю.