Eu queria criar um novo domínio com uma abordagem um pouco plana. Em vez de ter várias OUs com sub-ou's e sub ou's dependendo do projeto, localização do usuário, eu queria criar grupos e colocar usuários em grupos.
Por exemplo, todos os usuários seriam colocados em alguns OU=Users em DC=DOM,CN=LOC e, em seguida, vários grupos seriam criados:
- GRP-LOC-Varsóvia
- GRP-LOC-Nova York
No entanto, acabo pensando em como delegar permissões a esses grupos para que eu possa redefinir as senhas do gerente (ou fazer outras ações em Varsóvia).
Como parece que a delegação é feita apenas por UO, ainda estou preso às UOs se quiser ter um controle granular (por projeto, local, sublocal, etc.)? Ou alguém fez isso e eu simplesmente estou perdendo alguma coisa?
O gerenciamento de senhas só pode ser delegado a OUs porque as entradas de ACL em OUs são passadas por herança para o objeto de usuário. Os grupos não alteram as ACLs dos usuários que eles contêm.
Você deve repensar seu plano para achatar seu AD.
Aconselho o seguinte:
1: Construa um programa que seja executado como um serviço do Windows que possa redefinir senhas e execute o grupo apropriado e a verificação do usuário de chamada. O programa pode obter o usuário chamador pelo uso apropriado de pipes nomeados. Consulte https://stackoverflow.com/questions/12026971/get-client-user-token-from-named-pipe .
2: Implante seu programa como runas com uma conta de serviço de administrador de domínio.
A resposta de Longneck está correta no que diz respeito ao estoque do Windows.