Принципал безопасности
 

Что, на самом деле, означает принципиал безопасности?
Читаю такой момент:
" Причина различия функций подразделений и групп в том, что подразделения не обеспечивают такую гибкость, как группы. Пользователь, компьютер или другой объект может существовать только в контексте отдельного подразделения, в принципал безопасности может принадлежать ко многим группам. Поэтому группы используются для объединения объектов идентификации, обеспечивая возможности, необходимые этим объектам идентификации. "
По ходу делегировать полномочия можно, как для OU, так и для группы какому -нить пользователю. Тогда какая разница?

Есть два понятия - объект и субъект безопасности. Principal - является субъектом безопасности. Т. е. сущностью, которая может выполнять какое-то действие над объектом безопасности. В данном примере OU является объектом безопасности. То есть мы не можем дать права для OU, выполнять какие-то действия над другими объектами. В отличие от объекта, субъекту безопасности мы такие права выдать можем.
Делегировать права на OU - выдать какому-либо субъекту безопасности (пользователю или группе), определенные права на управление этой OU. Если говорить о делегировании прав на группу или юзера, то в данном случае субъект безопасности будет выступать также и в роли объекта безопасности.