1. Для того чтобы пользователь мог перемещать объекты в определенное подразделение и создавать объекты без возможности их удаления, можно выполнить следующие шаги:
- Откройте Active Directory Users and Computers, найдите нужное подразделение и выберите его свойства.
- Перейдите на вкладку "Security" и нажмите "Add" для добавления пользователя или группы, которой нужно предоставить права.
- Выберите нужные разрешения (например, "Create All Child Objects" и "Delete Child Objects"). Для перемещения объектов также необходимо выбрать разрешение "Move Tree".
- Убедитесь, что у пользователя или группы также есть разрешение на чтение и запись в данном подразделении.
2. Для предоставления группе прав на создание подразделений, пользователей и организационных единиц (OU) без возможности удаления, можно использовать аналогичные шаги, добавив соответствующие разрешения для создания объектов. Чтобы избежать проблемы перемещения объектов, можно также предоставить разрешение на перемещение (Move Tree) на уровне OU.
3. Чтобы члены группы, обладающей правами на сброс, смену и разблокировку паролей, могли изменить свой пароль или пароль членам той же группы, необходимо убедиться, что у них есть разрешение на изменение своего собственного пароля. Для этого можно использовать групповые политики паролей или дополнительно делегировать права на изменение паролей на уровне конкретных пользователей или групп. В случае проблем с изменением пароля рекомендуется также проверить наличие ограничений или наследования разрешений на уровне OU или домена.