Разграничение прав в AD
 

Ситуация такая: Есть домен (контроллеры под Win2003 R2). Поднята в нем AD. Необходимо некоторым пользователям дать возможность смены пароля для определенных контенейров (пользователей которые там находятся), но при этом нельзя чтобы была возможность удаления или создания пользователей в AD. Подскажите, где копать. Через делегирование управления такое не получается.

Думаю надо всё таки хорошо покопаться в закладке безопасности, в свойствах конкретной OU (контейнера) -> дополнительно -> добваить/изменить -> разварачиваем список apply onto/применить к:, ищем нужный параметр (в вашем случае account или что то подобное) выставляем соответствующие разрешения. А настройки делегирования - это всего лиш мастер, для "вкручивания" прав безопасности. В самой закладке безопасности можно более расширенно всё настроить и как то превычнее (мне, по крайней мере).

Всё. Задача решена. Всё это можно сделать через безопасность в свойствах контейнера OU.

это можно выполнить более правильно и изящно, используя dsa.msc здесь тема с решением

Ок. Спасибо за ссылку. Посижу почитаю.