Введение
Казалось бы, правило простое: делегировать управление (Delegate Control) можно только над организационными единицами (OU), а не над группами. Однако на контроллере домена вы можете видеть пункт Delegate Control и в контекстном меню OU, и для контейнера Groups, например для OU Gazonokosilshiki и группы Computers. Что это значит и как правильно понимать делегирование в Active Directory — разберём подробнее.
Что такое «Delegate Control» в Active Directory?
Пункт Delegate Control — это удобный мастер, который помогает назначать права для управления объектами Active Directory. Он часто используется для передачи ограниченного набора прав над OU, например права на создание пользователей или изменение их атрибутов. Ключевая мысль: делегирование касается управления объектом (delegate control of an OU), а не того, кто именно может быть назначен получателем прав.
Кому можно делегировать: пользователь или группа?
Выдать права делегирования можно только «security principal» — то есть пользователю или группе. Это означает, что получателем прав (grantee) должен быть либо пользователь, либо группа безопасности. Такая формулировка объясняет, почему иногда говорят, что «только OU можно делегировать, а группы — нет»: на самом деле делегируется управление над OU, а права можно назначить группе.
Почему возникает путаница: OU против Groups
Путаница часто связана с терминологией «grant access to» и «delegate control of». Когда говорят «делегировать контроль OUs», имеют в виду объект-цель (OU). Но в списке назначения прав вы указываете пользователей или группы. Кроме того, некоторые встроенные контейнеры, например Computers или сам корень домена, также имеют элементы управления доступом и могут показывать пункт Delegate Control в интерфейсе.
Вкладка «Security» у любого объекта AD
Практически у любого объекта Active Directory есть своя таблица прав в вкладке Security. Это касается не только OU, но и встроенных контейнеров (например, Computers), корневого объекта домена и даже отдельных пользователей, компьютеров, контактов или принтеров. Через вкладку Security можно вручную назначать разрешения для любых объектов, например разрешить группе A менять состав группы B.
Когда стоит использовать вкладку Security
Если нужного действия нет в мастере Delegate Control, то можно задать конкретные права через Security. Это позволяет гибко настроить, кто и какие атрибуты или члены группы может изменять. Однако вручную изменять права на отдельные объекты следует осторожно: при масштабном каталоге множество нестандартных записей контроля доступа быстро становится трудно отслеживать.
Примеры и важные замечания
Например, даже если для групп нет «удобного» пункта Delegate Control, можно предоставить группе A право изменять членство группы B через вкладку Security конкретного объекта группы. В исходном наблюдении упоминались OU Gazonokosilshiki и группа Computers с пунктом Delegate Control в меню — это отражает, что интерфейс показывает такие опции для разных типов контейнеров.
Компьютерные учётные записи как «пользователи»
Важное замечание: термин «пользователь» в более общем смысле включает и учётные записи компьютеров. Компьютерные аккаунты обычно работают подобно пользовательским и также могут получать доступы. Иногда имеет смысл дать доступ учётной записи компьютера, чтобы сервисы, работающие под LocalSystem, могли обращаться к сетевому ресурсу (например, к общей папке).
Выводы
Делегирование контроля в Active Directory — это назначение прав над объектом (чаще всего OU), а получателем является пользователь или группа. При этом любой объект AD имеет вкладку Security, через которую можно детально настроить доступы, в том числе для встроенных контейнеров вроде Computers. Однако массовая ручная настройка прав может привести к сложностям при администрировании директории.
