Раздача нужных прав
 

Доброго времени суток!
Проблема в следующем, есть сервер на win2012, на котором поднят Lync, есть сервер на win2008R2, на котором поднят котроллер дома.
Есть скрипт, написанный на powershell, который отключает (удаляет) пользователей находящихся в определённом OU из Lync.
Собственно скрипт, убирая все проверки и прочие вещи, состоит из 2х командлетов:

Так вот проблема в следующем, мне не очень хочется давать учётке, например execScript, права доменного админа, что бы скрипт мог корректно отработать.
Подскажите пожалуйста, какие права (в какие группы) надо добавить учётку, что бы скрипт нормально выполнятся, т.е.
учётка могла обратиться к AD, для просмотра нужного OU и потом в самом Lync выполнить отключение?

Я вначале по логике пробовал добавлять в группы CsUserAdmin и RTCUniversalUserAdmins, но согласно описаниям 1ая группа даёт нам право на управление пользователями в Lync, а 2-ая в AD.
К сожалению это не работает.

В логах появляется такая ошибка: "Active Directory operation failed on "dc.example.ru". You cannot retry this operation: "Insufficient access rights to perform the operation 00002098: SecErr: DSID-03150BB9, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0"

Погуглил ошибку, нашёл примерно следующее, причём на нескольких сайтах:
Посмотрел, у пользователя данная галочка стоит.
Подскажите пожалуйста, как решить данную проблему?

например, делегируйте права этой учётке на нужную вам OU

Можно чуток поподробнее, что кому надо делегировать?

Спасибо.
Хорошо, с делегированием понятно, надо пользователю делегировать права на OU, но тогда такой вопрос, какие права надо делегировать, что бы решить вышеописанную проблему?

хороший вопрос...
Вам нужно только менять статус пользователя.
можно дать права на создание, изменение и удаление уч.записи, но это будет много. но намного меньше чем Domain Admins