Что касается учетных записей AD, я считаю (поправьте меня, если я ошибаюсь), можно создать учетную запись, которая имеет разрешение на создание, изменение и отключение / включение учетных записей и сброс паролей без возможности входа этой конкретной учетной записи в сам контроллер домена.
Я просто хочу спросить, какие разрешения для этого нужны? в основном я хочу, чтобы к серверу имели доступ только определенные люди, но некоторые люди должны иметь возможность создавать и изменять учетные записи. Верно ли я считаю, что это возможно с разрешениями учетной записи? или мне нужно настроить что-то с GPO самого сервера? Спасибо.
Найдите «мастер делегирования активного каталога». Вы можете создать учетную запись AD и делегировать эти разрешения. Google - ваш друг.