Передача полномочий (Delegation) – одно из наиболее важных средств защиты данных в Active Directory. Передача полномочий позволяет администратору системы, имеющему более высокий приоритет, передавать определенные права по управлению контейнерами и поддеревьями отдельным пользователям или группам пользователей. Благодаря такому распределению полномочий исчезает необходимость в “администраторах доменов” (Domain Administrators), передающих полномочия излишне большому числу пользователей.

Записи ACE могут предоставлять четко определенные права по управлению объектами в контейнере одному или нескольким пользователям. Эти права распространяются на определенные операции над определенными классами объектов через записи ACE, хранящиеся в списке ACL, относящемся к тому контейнеру, к которому принадлежат эти объекты. Например, чтобы передать пользователю с именем “James Smith” права администрирования в отношении организационной единицы “Corporate Accounting”, в список контроля доступа ACL контейнера “Corporate Accounting” нужно добавить следующие записи:

“James Smith”;Grant ;Create, Modify, Delete;Object-Class User
“James Smith”;Grant ;Create, Modify, Delete;Object-Class Group
“James Smith”;Grant ;Write;Object-Class User; Attribute Password

Теперь пользователь James Smith может создавать бюджеты новых пользователей и новые группы в контейнере Corporate Accounting и устанавливать пароли для уже зарегистрированных пользователей. Однако, он не может создавать другие классы и изменять параметры пользователей в других контейнерах (если, конечно, дополнительные записи не разрешают ему доступ к другим контейнерам).