Estamos acostumados a configurar permissões (ACL's - Access Control List) geralmente em pastas e arquivos armazenados em volumes NTFS.

É possível também configurar permissões do mesmo modo em objetos do Active Directory (OU's, usuários, grupos, etc). Por exemplo, você pode querer que o grupo "HELPDESK" consiga apenas trocar a senha da OU "FilialBH". Isto é feito através das ACL's.

Podemos fazer via GUI (gráfico, AD Users and Computers ou AD Sites and Services) ou via linha de comando, através do DSACLS.EXE, o que facilita o trabalho em lote.

A referência inicial é o site: http://www.microsoft.com/technet/prodtechnol/exchange/guides/E2k3ADPerm/4463de38-620a-4457-8824-5fe2e2f7a4fb.mspx?mfr=true

Existem alguns exemplos e outros links para quem quer se aprofundar no assunto.

 

See ya