無需刪除使用者帳戶的 Active Directory 控制委派

在 Windows 2008r2 域和林功能級別中，我試圖將使用者帳戶管理和“密碼重置/強制更改”委派給我的活動目錄中的特定使用者組，但我不想授予他們權限刪除使用者帳戶。有沒有辦法完成這個任務？

請注意：我嘗試了很多方法…使用委託控制嚮導選擇委託常見任務“創建、更改、刪除使用者帳戶”，然後拒絕“刪除”和“刪除子樹”權限；創建一個自定義任務以僅允許創建使用者帳戶對象……但是這些方法都沒有奏效。（我創建了帳戶，但錯誤消息指出我沒有足夠的權限來創建帳戶，因此它將被創建然後禁用……）

有任何想法嗎？

我可以說我已經在另一個 serverfault 問題中找到了答案。很抱歉給您帶來不便，感謝您的幫助。

您需要為此權限創建一個安全組，然後選擇您要委派控制的 OU。

從那裡：

選擇安全組並點擊下一步。

選擇Create a custom task to delegate，然後點擊下一步

選擇以下權限：

• Create User Objects
• Read All Properties
• Write userPassword

這應該為您的使用者提供足夠的權限來創建帳戶、閱讀他們的資訊和設置他們的密碼。

如果您想允許這些使用者設置任何其他欄位，只需選擇Allow該欄位的寫入權限。

引用自：https://serverfault.com/questions/990645