Хм, подборка ссылок хороша. Но за 8 лет работы в этой отрасли вроде всю эту информацию я уже знаю. Наверно неправильно описал задачу.
Дубль 2:
Есть Лес, в нём домен, больше в лесу доменов нет.
Есть глобальная группа безопасности, например Inet, в ней учётки людей, и админов тоже. Для выполнения повседневных задач админы состоят в группе domain admins. Но! Нужно запретить этим самым доменным админам, либо просто отдельным учёткам, добавляться в эту группу. Т.е. я пытаюсь найти что-то вроде acl для этой группы безопасности.
Приведу аналогию: если в домен 2003 засунуть Exchange, то схема AD будет расширена; при желании получить доступ ко всем почтовым ящикам в домене необходимо делегировать себе это право, а именно добавить нужные атрибуты прав к своей учётке, делается как раз через "Delegate Control..."
Или, к примеру, есть политики безапосности, коими можно делать много чего, но в них можно настроить, кто именно может изменять эту политику. Вот и мне нужно найти где выставить, кто может изменять состав конкретной группы безопасности.
Делегирование прав в домене ковырял, но там задаются разрешения на какие-либо действия, а как наоборот поставить запрет, не знаю. Надеюсь теперь понятней. Есть мысли?