Иногда нужно кому то дать права администратора в Active Directory, но на какое то время, для этого начиная с 2003 сервера есть динамические обьекты, создать из gui их не получится, но можно через консоль.
Создаем файл с таким содержанием
dn: cn=Temp, cn=Users, dc=domain, dc=local <- имя вашего домена
changeType: add
objectClass: group
objectClass: dynamicObject
entryTTL: 86400 <-время в секундах (24 часа)
SAMAccountName: Temp <-название группы безопасности
В консоли делаем ldifde -i -f C:\имя вашего файла.ldf (рекомендуется именно такое расширение, но спокойно сьест и txt)
Для Power shell
$OU = [adsi]″LDAP://cn=users,DC=domain,DC=local″
$Group = $OU.Create(″group″,″cn=Temp″)
$Group.PutEx(2,″objectClass″,@(″dynamicObject″,″group″))
$Group.Put(″entryTTL″,″86400″)
$Group.SetInfo()
В лесу 2016 домена это можно делать уже через gui, но нужно включать PAM, а по скольку выключить его после включения нельзя, то далеко не всем это подойдет, через консоль как то проще.
