[KatAst]

WindowsNT, если стоит задача, чтобы конкретный пользователь домена(с обычной учётной записью) мог вводить в домен и выводить из домена машины, учётные записи которых находятся в определённом OU, без возможности добавлять или удалять из этого OU объекты, какой минимум прав ему необходим? К остальным OU у него никакого доступа быть не должно.

[WindowsNT]

Делайте по моей схеме.

[KatAst]

WindowsNT, по вашей схеме, сотрудник сможет удалять и добавлять учётные записи. А необходимо, чтобы данная возможность у него отсутствовала.
Плюс, необходимо, чтобы данный сотрудник мог работать только с теми машинами, чьи учётные записи были созданы в определённом, конкретном OU.

[WindowsNT]

Смотрю, делегировать вы не попробовали.

[KatAst]

Пробовал. Только задачи иные были.

Вы предложили делать по Вашей схеме. Я и написал, что такой вариант не подойдёт, исходя из вашего же описания(если говорить о конкретной схеме, которую вы предложили). А просто так экспериментировать, чтобы узнать, что будет в той или иной ситуации, у меня желания нет. Если бы мне хотелось экспериментировать(была бы возможность) я не стал бы задавать здесь вопросов, а просто попробовал различные варианты. Мне просто интересно - раздел-то "Хочу всё знать". Если учётная запись компьютера заведена заранее, то кому удастся ввести в домен машину под тем же именем? Не кому попало ведь?

Так же вы писали, что если необходимы права просто для чтения, то ничего делегировать не нужно. Тогда будет возможность под стандартной доменной учётной записью ввести машину в домен(вариант с 10 машинами не рассматривается)? Мне всегда казалось, что нет.

И да, то что необходимо входить в группу локальных администраторов на машине - это понятно. К этому можете не возвращаться.