允许用户更改文件夹的权限，但不删除/更改域pipe理员访问？

这很容易。 作为一个例子：做一个名为“足球”的子文件夹，并build立一个匹配组。 然后，委派田径中的某个人将用户添加或移除到足球安全组。 只要足球组在足球文件夹的NTFS ACL上有足够的访问权限，他们根本不需要触及文件权限。

足球组中的人将能够看到足球子文件夹。

最简洁的答案是不。 如果用户可以更改权限，则可以更改所有权限。 但是，如果你相信这个人首先要编辑权限，那么你不能相信他们不会通过删除重要的东西来搞砸他们吗？ 或者更好的是，你如何相信他们，直到他们搞砸了。 然后重新评估情况。

解决这个问题的唯一技术方法是提供某种前端来改变权限。 前端具有更改权限的“真实”访问权限，但只允许用户更改应该可编辑的权限。 对于这样的事情是有点矫枉过正的，但从理论上讲，这是行得通的。

*编辑：我应该指出，即使他们从文件夹中删除域pipe理员权限，并不意味着你永远失去访问权限。 这只是意味着你的应用程序是坏的，直到有人意识到发生了什么事情，并重新build立正确的权限。 作为域pipe理员，您将始终能够重置文件夹的所有权并重新添加权限。

没有。

如果您有权访问更改权限，则可以更改权限，包括pipe理员和特殊帐户的权限。

另一种可能适用于您的替代方法是将该文件夹设置为从父文件夹inheritance权限，以使其无法更改权限。 定义您不希望他能够在那里更改的权限，并向下传播这些权限。 当然，他可以禁用可inheritance的权限并删除这些权限，但是除了告诉他不要这么做外，其实你可以做的不多，并且警告他，如果他这么做的话，你会撤销他的改变权限的访问权限，以及从那时起应用你认为合适的权限。

（我发现这个效果非常好 – “这是你的访问权限，不要这样做，或者一般地使用它，因为如果你这样做的话，我会抽出它，你会发现自己受到我的时间表的影响，心血来潮和普遍的恶意。“）

编辑：我实际上有一个可能的解决scheme的另一个想法，因为我分配了一个AdminSDHolder问题。 您可以随时编写一个脚本来定期检查目录树上的权限（比如说每小时），如果有必要的话可以夺取所有权，然后重新应用您希望/需要存在的权限以及教练需要的权限。

老实说，看起来更麻烦，而不是它对我来说是值得的，因为更容易警告/威胁用户，而不是YMMV。 现在我想到了，这也许是我的环境中的一个问题的解决scheme…所以谢谢你的问题，并带我去想一想。

为Athletic Department设置一个组，并为其提供必要的权限（如果您想支持不同的权限configuration文件，例如只读，读写等，可能需要多个组）。 然后委派在Active Directory中的组的控制，以便教练可以添加/删除该组中的用户。

Google在AD中委派群组控制的第一个结果： http : //codeidol.com/active-directory/active-directory/Groups/Delegating-Control-for-Managing-Membership-of-a-Group/

编辑：我想清楚地说明，您正在创build专门用于授予权限的组，因此您不希望使用任何现有的运动部门组。