Quelles sont les autorisations nécessaires pour qu'un administrateur du service d'assistance puisse créer des utilisateurs dans AD ?

Essayez d'utiliser le contrôle de délégation car je pense que c'est la solution pour régler cet accès.

Configurez l'administrateur du helpdesk en tant que groupe de sécurité dans ADUC si ce n'est pas déjà le cas et à partir de là, vous pouvez ensuite aller dans Affichage/Options avancées, faire un clic droit sur une OU pour être plus spécifique ou sur le domaine dans son ensemble, spécifier les droits (ajouter des utilisateurs) et inclure le groupe de sécurité.

Jetez un coup d'œil à http://social.technet.microsoft.com/Forums/en-US/winserverGP/thread/d7ad344d-0fcf-4a80-9fe0-cac802df25bb pour référence.

Il est préférable de le faire au niveau de l'OU en déléguant le contrôle comme l'indique Nicholas. Si vous devez leur donner la possibilité de créer et de gérer des comptes et des groupes d'utilisateurs partout, alors il y a le BUILTIN \Account Groupe d'opérateurs. Ce groupe fonctionne comme il le faisait dans NT4. Pour cette raison, il a probablement trop de droits pour ce que vous recherchez, mais je le mentionne parce que parfois c'est exactement ce que les gens veulent, surtout lorsqu'ils mettent en place des permissions par le biais d'un produit tiers.

La bonne réponse est en fait "Create User Objects" à partir de All Descendant Objects.