Разрешить пользователю изменять разрешения для папки, но не удалять / изменять доступ администраторов домена?

Это просто. В качестве примера: создайте подпапку "Футбол" и создайте подходящую группу. Затем делегируйте кому-нибудь в легкой атлетике возможность добавлять или удалять пользователей в группу безопасности Soccer. Пока группа Soccer имеет достаточный доступ к списку ACL NTFS для папки Soccer, ей вообще не нужно трогать права доступа к файлам.

Люди в группе "Футбол" смогут видеть подпапку "Футбол".

Краткий ответ: нет. Если пользователь может изменить разрешения для чего-либо, он может изменить все разрешения. Но если вы доверяете человеку в первую очередь редактировать разрешения, разве вы не можете доверять им, чтобы они не испортили их, удалив важные части? Или еще лучше, как насчет того, чтобы доверять им, пока они не облажались. Затем переоцените ситуацию.

Единственный технический способ обойти это - предоставить какой-нибудь интерфейс для изменения разрешений. Внешний интерфейс имеет "реальный" доступ для изменения разрешений, но только позволяет пользователю изменять разрешения, которые должны быть доступны для редактирования. Это слишком излишне, но теоретически это сработает.

* Редактировать: я должен отметить, что даже если они удаляют привилегии администратора домена из папки, это не означает, что вы потеряете доступ навсегда. Это просто означает, что ваше приложение не работает, пока кто-то не поймет, что произошло и не восстановит правильные разрешения. Как администратор домена, вы всегда сможете изменить владельца папки и заново добавить разрешения.

Нет.

Если у вас есть доступ для изменения разрешений, вы можете изменить разрешения, включая разрешения администраторов и специальных учетных записей.

Альтернатива, которая может работать для вас, - настроить папку для наследования разрешений из родительской папки, для которой он не может изменять разрешения. Определите разрешения, которые вы не хотите, чтобы он мог там изменить, и распространите эти разрешения вниз. Конечно, он сможет отключить наследуемые разрешения и удалить эти разрешения, но на самом деле вы ничего не можете с этим поделать... кроме как сказать ему не делать этого и предупредить его, что если он это сделает, вы отзовете его изменяющий права доступа и применяющий те разрешения, которые вы считаете подходящими с тех пор.

(Я нашел, что это довольно эффективно - "Вот ваш доступ, не делайте [бла] с этим, или вообще облажайтесь с этим, потому что если вы это сделаете, я дерну его, и вы окажетесь под моим графиком" капризы и недоброжелательность.")

РЕДАКТИРОВАТЬ: У меня на самом деле была другая мысль о возможном решении, так как мне назначили проблему AdminSDHolder. Вы всегда можете написать скрипт для проверки разрешений в этом дереве каталогов через регулярные промежутки времени (скажем, каждый час), захватить владение, если необходимо, и затем повторно применить разрешения, которые вы хотите / должны присутствовать в дополнение к тому, что хочет тренер.

Честно говоря, мне кажется, что это больше хлопот, чем оно того стоит, когда гораздо проще предупредить / угрожать пользователю против тупицы, но YMMV. И теперь, когда я думаю об этом, это может быть решением проблемы в моей среде тоже... так что спасибо, что спросили и заставили меня подумать об этом.

Настройте группу для спортивного отдела и предоставьте ему необходимые разрешения (или, возможно, несколько групп, если вы хотите поддерживать разные профили разрешений, такие как "Только чтение", "Чтение-запись" и т. Д.). Затем делегируйте управление группой в Active Directory, чтобы тренер мог добавлять / удалять пользователей из этой группы.

Первый результат в Google для делегирования группового контроля в AD: http://codeidol.com/active-directory/active-directory/Groups/Delegating-Control-for-Managing-Membership-of-a-Group/

Редактировать: я хотел прояснить, что вы создаете группы специально для предоставления разрешений, поэтому вы не хотели бы использовать какие-либо существующие группы Athletic Dept.