Я хотел бы делегировать пользователю возможность очищать AD, позволяя ему перемещать пользователей между несколькими подразделениями (и делать только это). Как я могу этого добиться?
Я хочу расширить права пользователя, которые я дал с помощью этого метода Разрешить в Active Directory добавлять пользователей / изменять / изменять пароль / добавлять их в группу, но не удалять их
Обычным способом было бы использовать Мастер «делегирования управления» который является частью Пользователи и компьютеры Active Directory console snapin, чтобы предоставить разрешения для рассматриваемых OU.
Вам нужно будет выбрать типы объектов, на которые вы хотите повлиять. В вашем случае это, очевидно, тип объекта «пользователь». Но разрешения на «перемещение» нет, вместо этого вам придется предоставить права на создание и удаление объектов для рассматриваемых подразделений. Очевидно, что это также позволит удалять объекты пользователя, но это работает так: перемещение - это операция создания / удаления. См. Статью базы знаний Microsoft KB818091 для подробной справки.