向 Active Directory/任務板中的管理員委派權限

我正在嘗試向少數管理員提供任務板，以便在 OU 級別對委託給他們的少數任務進行操作。我遇到了以下問題；

假設我將訪問權限委託給 OU X 上的管理員，並且能夠修改範例組 X1 等組，他必須能夠將 OU X 中的任何使用者添加到組 X1。

這裡的問題是在測試時我發現管理員可以執行上述操作，但也可以將來自 OU Y 的使用者 Y1（他沒有委派權限）添加到組 X1。我錯過了什麼？如何限制管理員將 OU 中的使用者添加到他具有修改權限的組中？

請詢問我是否需要更多詳細資訊/說明。

你真的不能這樣做。如果您授予使用者將使用者添加到組的能力，他們可以添加其帳戶可以讀取的任何使用者。由於您需要從根本上更改 AD 權限的佈局方式以限制受限使用者帳戶讀取其他使用者的基本屬性，因此它通常是一個不受支持的配置，它會破壞很多您不想破壞的東西。

簡而言之，沒有真正的功能可以說“您可以添加

$$ user $$只要到這個組$$ user $$存在於這個 OU 中”，無需對預設 AD 權限佈局進行重大修改。

引用自：https://serverfault.com/questions/448680