Delegacja kontroli ma miejsce, gdy jednostka organizacyjna (OU) i mdash;obiekt lub grupa w katalogu komputerowym mdash;otrzymuje pewną kontrolę nad funkcjami.Kontrola jest zwykle minimalna w porównaniu z zadaniem, więc użytkownik może wykonywać tylko określone zadanie i nic więcej.Administratorzy i ludzie na wysokich stanowiskach, takich jak menedżerowie i właściciele, mają najwyższą delegację kontroli, z kilkoma ograniczeniami działań.Kontrola jest zwykle podzielona na działy, co daje menedżerom kontrolę jednego OU, który pozwala menedżerowi dodawać lub usuwać użytkowników.

OU jest katalogiem użytkowników i służy kilku celom.Umożliwia zbędne dane, takie jak dwie osoby o tej samej nazwie, ale w różnych działach.Daje to również użytkownikom sposób organizowania pracowników i innych użytkowników pod względem działu, poziomu pracowników i ogólnej delegacji kontroli.

Przypisanie delegacji kontroli daje użytkownikowi określoną siłę administracyjną, ale ta moc jest minimalną potrzebną ilościąaby użytkownik wykonał zadanie.Na przykład, jeśli użytkownik zostanie przypisany do pisania rekordów, otrzyma dostęp do zapisu do dodania rekordów.Użytkownik nie otrzymałby możliwości dodawania nowych użytkowników do OU lub usuwania użytkowników, ponieważ funkcje te wykraczają poza linię pracy użytkownika.Dawanie dodatkowej kontroli może powodować problemy z bezpieczeństwem, dlatego przyznawana jest tylko minimalna kontrola.

Osoby na wyższych stanowiskach, takich jak administrator lub menedżer, mają wyższą delegację kontroli.Menedżer ma zazwyczaj pełną kontrolę, ale tylko dla grupy w OU.To pozwala menedżerowi robić wszystko, co według niego jest odpowiednie dla tego działu, ale menedżer nie może zakłócać innych grup OU.Administratorzy zazwyczaj mają dostęp do wszystkich grup OU, ponieważ jeśli wystąpi błąd techniczny lub jeśli menedżer nie wie, w jaki sposób wykonanie funkcji, administrator może działać w miejscu menedżera.

OU jest zwykle podzielone na kilka działów.To sprawia, że menedżerowie i działy się oddzielają, więc nie mogą się ze sobą zakłócać, ale zapewnia również dodatkowe zastosowania.Delegacja kontroli jest podzielona na grupy i dostęp użytkownika.Oznacza to, że cała grupa uzyska określony poziom dostępu, ale oddzielnym użytkownikom można przyznać dodatkowy dostęp, jeśli zostanie uznany za konieczny.Wyższy dostęp jest zazwyczaj przyznawany tylko wtedy, gdy użytkownik jest promowany lub musi wykonać zadanie wymagające dodatkowego dostępu do danych.