Delega dell'amministrazione tramite oggetti unità organizzative
È possibile usare le unità organizzative per delegare l'amministrazione di oggetti, ad esempio utenti o computer, all'interno dell'unità organizzativa a un singolo o gruppo designato. Per delegare l'amministrazione tramite un'unità organizzativa, inserire il singolo o il gruppo a cui si stanno delegando i diritti amministrativi in un gruppo, posizionare il set di oggetti da controllare in un'unità organizzativa e quindi delegare le attività amministrative per l'unità organizzativa a tale gruppo.
Active Directory Domain Services consente di controllare le attività amministrative che possono essere delegate a un livello molto dettagliato. Ad esempio, è possibile: assegnare a un gruppo il controllo completo di tutti gli oggetti in un'unità organizzativa; assegnare a un altro gruppo solo i diritti di creazione, eliminazione e gestione di account utente nell'unità organizzativa; e quindi assegnare a un terzo gruppo solo il diritto di reimpostare le password degli account utente. È possibile rendere ereditabili queste autorizzazioni in modo che vengano applicate a tutte le unità organizzative inserite in sottoalberi dell'unità organizzativa originale.
Le unità organizzative e i contenitori predefiniti vengono creati durante l'installazione di Active Directory Domain Services e sono controllati dagli amministratori del servizio. È consigliabile che gli amministratori del servizio continuino a controllare questi contenitori. Se è necessario delegare il controllo sugli oggetti nella directory, creare unità organizzative aggiuntive e inserire gli oggetti in queste unità organizzative. Delegare il controllo su queste unità organizzative agli amministratori di dati appropriati. In questo modo è possibile delegare il controllo sugli oggetti nella directory senza modificare il controllo predefinito assegnato agli amministratori del servizio.
Il proprietario della foresta determina il livello di autorità delegato a un proprietario dell'unità organizzativa. Ciò può variare dalla possibilità di creare e modificare oggetti all'interno dell'unità organizzativa alla sola autorizzazione a controllare un singolo attributo di un solo tipo di oggetto nell'unità organizzativa. Se si concede a un utente la possibilità di creare un oggetto nell'unità organizzativa, si concede in modo implicito la possibilità di modificare qualsiasi attributo di qualsiasi oggetto creato dall'utente. Inoltre, se l'oggetto creato è un contenitore, l'utente può creare e modificare in modo implicito tutti gli oggetti inseriti nel contenitore.