域管理员委派普通用户管理OU

本例中，域管理员委托班长管理本班成员账户的增加、删除操作。

（1）在DC上，用本班班长的账户登录，测试是否成功。

 （2）在DC上，用域管理员的账户登录，在“运行”中输入gpmc.msc打开管理工具中的组策略管理，并修改默认的DC策略，将班长的账户添加到“允许本地登录”中，完成后在命令行输入“gpupdate /force”刷新策略，再次用班长账户测试是否登录成功。（注意，实际的应用中，一般不允许普通用户直接在DC上登录，而是在客户机上使用服务器远程管理工具包完成域管理员委派的管理任务）

 （3）用班长账户登录后检查AD用户和计算机控制台是否能打开。

 （4）重新在DC上切换到管理员账户登录，在AD用户和计算机控制台中，找到班级的OU，并右键选择委派控制，将用户的创建、删除等权利委派给班长账户。

（5）权限委派完成后，在DC上再次切换到班长账户，检查AD用户和计算机控制台是否能打开。在命令行下，输入下面两条命令（例子中以网络1班为例，如是3班，需将两条命令调换顺序），分析执行结果及其原因。

本文出自 “网络蜗牛” 博客，谢绝转载！

Windows Server 2012活动目录基础配置与应用（新手教程）之7---OU的管理权利委派