Помогите советом.
Как отменить делегирование управления в домене под управлением Windows Server 2008 R2 Standart?
Правильно ли я понимаю:
- запускаем "Active Directory - пользователи и компьютеры"
- в меню вид выбираем "Дополнительные компоненты"
- открываем свойства требуемой OU (или всего домена), вкладка "Безопасность", "Дополнительно"
- удаляем лишние разрешения (как вариант - если делегирование было создано для нестандартной группы, то просто удаляем все упоминания об этой группе)

При этом делегирования на вложенных OU также сбросятся? Например есть корневая OU1, в ней есть вложенная OU2. В OU1 для группы HelpDesk дано разрешение смены пароля для пользователей, а для OU2 дано разрешение на создание пользователей и смены пароля для пользователей. Если я для OU1 удалю делегирование для HelpDesk, то в OU2 члены группы HelpDesk смогут менять пароли?

Правильно?

И еще - как можно увидеть все сделанные делегирования, при условии, что бумажно они никак не зафиксированы?
Спасибо

Там, где разрешения наследуются, — конечно. Но если были ещё делегирования внутри структуры ОУ, этого сверху не видно.
С просмотром вообще сложновато. Никак?

http://social.technet.microsoft.com/Forums/windowsserver/en-US/41bcf47d-d62c-4f12-8835-63a7fdb898da/is-there-a-tool-to-identify-folder-permission-in-ad?forum=winserverDS

Понятно, спасибо.
По поводу удаления делегирования я правильно расписал схему?
По поводу просмотра - в процессе поисков тоже пришел к выводу, что наглядного ничего нет, но надеялся что просто не смог найти. Получается выход один - все тщательно документировать.
Инструменты по ссылке уже смотрел - не наглядно.
С просмотром вообще сложновато. Никак? »
здесь в конце вопросительный знак или точка?

Ну там ещё есть кнопка "Restore defaults", тоже можно попробовать, если осторожно.
Вопросительный там знак.

Восстанавливать умолчания я как-то совсем опасаюсь

http://social.technet.microsoft.com/wiki/contents/articles/6477.how-to-view-or-delete-active-directory-delegated-permissions.aspx