AD LDS - LDAP - Как установить права группы для контейнера

Я установил AD LDS на W2012R2. Все работает нормально. Теперь я хочу создать новые роли, чтобы предоставить группам разрешения на создание / изменение / удаление пользователей в определенном контейнере. (Я использовал эту статью)

Например, это мой экземпляр:

OU = экстра,DC= домен,DC= локальный
| --CN = LostAndFound
| --CN = Роли
| -|----CN= Администраторы (Создано по умолчанию)
| -|----CN=Readers (Создано по умолчанию)
| -|----CN=Users (Создано по умолчанию)
| -|----CN=AdminGroupCustomer1 (Создано мной)
| --OU = Users (Создано по умолчанию, я просто выбрал имя и тип)
| -|----CN= customer1
| - |----|--CN= Пользователи
| - | ---- | - | --CN = user1
| - |----|--CN= Группы
| - | ---- | - | --CN = group1
| - |----|--CN= Администраторы
| - | ---- | - | --CN = Admin1
| -|----CN= Customer2
| - | ------ |...

Я хочу разрешить AdminGroupCustomer1 группировать разрешения на изменение чего-либо в OU=Customer1, но ничего в Customer2.

Вот что я сделал:

1 °) Добавьте AdminCustomer1 (который на самом деле является пользователем AD) в группу AdminGroupCustomer1. Хорошо
2°) Добавьте AdminGroupCustomer1 (который является ролью группы) в групповую роль Readers. ОК (это действительно нужно? ... Я так не думаю).
3 °) Выполните следующую команду DSACLS.EXE, чтобы предоставить разрешение для контейнера Customer1 для группы AdminGroupCustomer1:

dsacls.exe "\\server:port\CN=Customer1,OU=Users,OU=extra,DC=domain,DC=local" /I:T /G "CN=AdminGroupCustomer1,CN=Roles,OU=extra,DC=domain,DC=local:GW" 

Где /I:T здесь для применения прав на объекты и подобъекты. И /G для прав GRANT. GW - общие разрешения на запись.

Но я все еще не могу изменить пароль user1 при подключении к экземпляру с пользователями AD, которые являются членами AdminGroupCustomer1. Я попытался: WP = Write Property и WD = Write Security Change безуспешно, поэтому я не совсем понимаю.

Информация о разрешениях может быть найдена в следующей статье technet.

Я что-то пропустил?

Нужно ли мне устанавливать разрешение на запись для специфических свойств, которые мне нужно изменить? например, установить WP в свойстве пароля, чтобы можно было сбросить / изменить пароль пользователя?

Редактировать: я должен переместить этот вопрос в SuperUser?