Kontrol yetkisi, bir kuruluş birimine (OU) - bir bilgisayar dizinindeki bir nesne veya grup - işlevler üzerinde belirli bir miktarda denetim verildiğinde yapılır. Denetim, göreve kıyasla genellikle en az düzeydedir, böylece kullanıcı yalnızca belirtilen görevi gerçekleştirebilir ve başka bir şey yapamaz. Yöneticiler ve yöneticiler ve mal sahipleri gibi yüksek pozisyondaki kişilere, eylem kısıtlamaları az olan, en yüksek kontrol delegasyonu verilir. Kontrol genellikle bölümlere ayrılır ve yöneticilere yöneticinin kullanıcı eklemesine veya silmesine izin veren tek bir OU'nun kontrolünü verir.
Bir OU bir kullanıcı dizinidir ve çeşitli amaçlara hizmet eder. Aynı adı taşıyan iki kişi gibi farklı bölümlerde gereksiz veriye izin verir. Bu aynı zamanda kullanıcılara çalışanlar ve diğer kullanıcıları departman, çalışan seviyesi ve genel kontrol delegasyonu açısından organize etmenin bir yolunu sunar.
Bir kontrol delegasyonu atamak, kullanıcıya belirli bir miktarda idari güç verir, ancak bu güç kullanıcının bir görevi tamamlaması için gereken minimum miktardır. Örneğin, bir kullanıcıya kayıt yazmaya atanmışsa, kendisine kayıt eklemek için yazma izni verilir. Kullanıcıya OU'ya yeni kullanıcılar ekleme veya kullanıcıları silme yetkisi verilmez, çünkü bu işlevler kullanıcının çalışma alanının dışındadır. Ekstra kontrol vermek güvenlik problemleri yaratabilir, bu yüzden sadece minimum kontrol verilebilir.
Yönetici veya yönetici gibi daha üst pozisyonlardaki kişilere daha yüksek bir kontrol delegasyonu verilir. Yöneticiye genellikle tam kontrol verilir, ancak yalnızca OU’daki bir grup için. Bu, yöneticinin o departman için uygun olduğunu düşündüğü şeyi yapmasına izin verir, ancak yönetici diğer OU gruplarına müdahale edemez. Yöneticiler genellikle tüm OU gruplarına erişebilir, çünkü teknik bir hata meydana gelirse veya yönetici bir işlevi nasıl yerine getirdiğini bilmiyorsa, yönetici yöneticinin yerine hareket edebilir.
OU tipik olarak birkaç bölüme ayrılmıştır. Bu, yöneticileri ve departmanları ayrı tutar, böylece birbirlerine müdahale edemezler, ancak ek kullanımlar da sağlar. Kontrol delegasyonu grup ve kullanıcı erişimine ayrılmıştır. Bu, tüm grubun belirli bir erişim seviyesine sahip olacağı anlamına gelir, ancak gerekli görüldüğü takdirde ayrı kullanıcılara ek erişim hakkı verilebilir. Daha yüksek erişim, genellikle yalnızca kullanıcı terfi ederse veya verilere ek erişim gerektiren bir görevi gerçekleştirmek zorunda kalırsa verilir.
