.. :validated: 2.4.1

Инструкция по выдаче ограниченных прав на управление паролями пользователей в домене MS AD
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Для работы модуля синхронизации учетная запись домена MS AD, под которой устанавливаются отношения синхронизации, должна обладать правами на управление паролями пользователей, которые, по умолчанию, имеются у администраторов домена. В случае невозможности или нежелательности работы модуля синхронизации под учетной записью администратора домена допускается выдача ограниченных прав на учетную запись. Для этого:

1. На контроллере домена MS AD необходимо запустить оснастку “Active Directory - пользователи и компьютеры”.

.. figure:: images/limited_rights_1.png
   :name: 1

2. Выбрать OU корень домена и открыть “Делегирование управления”.

.. figure:: images/limited_rights_2.png
   :name: 2

3. В открывшемся окне “Мастер делегирования управления”, после нажатия кнопки **[Далее]** необходимо указать учетную запись пользователя, которой выдаются права.

.. figure:: images/limited_rights_3.png
   :name: 3

.. figure:: images/limited_rights_4.png
   :name: 4

.. figure:: images/limited_rights_5.png
   :name: 5

.. figure:: images/limited_rights_6.png
   :name: 6

4. Выбрать права для делегирования: Создание, удаление и управление учетными записями пользователей.

.. figure:: images/limited_rights_7.png
   :name: 7

5. Нажать кнопку [Готово].

.. figure:: images/limited_rights_8.png
   :name: 8

Права выданы.

.. note:: 

   В зависимости от версии домена MS AD набор делегируемых задач может отличаться.