Квота и делегирование в AD. Две задачки. - Компьютерный форум OSzone.net

Вообщем цель такая! Хочу в некоторой организации развернуть контроллер домена. Создать учетку, наделить ее необходимыми админскими полномочиями (не всеми) и разрешить ему создавать не более 500 объектов в Active Directory, а так же всем остальным учеткам которые он может создать сделать тот же лимит в 500 записей.

Алгоритм у меня такой:
- Захожу на свеженький контроллер домена, создаю от имени администратора предприятия учетку DCAdmin.
- Делегирую ему права на подразделение Company
(А именно: 1) Заводить РС пользователей в домен
2) Менять и сбрасывать пароли юзерам
3) Чтение инфы о юзерах, редактирование, создание НОВЫХ юзеров)

Вроде бы все хорошо, но нужно решить 2 задачи!!!
1) Учетке DCAdmin и всем остальным сделать ограничение в создании не более 500 компонентов в AD
2) При делегировании прав на сброс пароля админ получил право сбрасывать пароли ВСЕМ, но есть условие что User1, User5, User10 нельзя сбрасывать пароли!!! Их нельзя перенести в другое подразделение, а нужно оставить тут. И учесть что при ЛЮБОМ следующем делегировании прав на смену пароля ЛЮБОЙ новой учетке админа, на: User1, User5, User10 снова делегирование не применилось.

Мануалы в инете описывают в основном работу с Quota в Windows Server 2003. И то что создание квот можно осуществлять только с помощью консольных утилит Dsadd и прочих.
У меня 2008 R2. Как с этим обстоит дело в новой серверной платформе? Так же через консоль?

Еще, также, в контейнере NTDS Quotas есть различные аттрибуты, такие как:
msDS-DefaultQuota
msDS-QuotaEffective
msDS-QuotaUsed
msDS-TombstoneQuotaFactor
msDS-TopQuotaUsage
которым можно задавать различные значения, которые будут по умолчанию, но что бы я не менял я не вижу никакой разницы. Каким образом они применяются? Или все-таки надо через dsadd?
Вообщем подскажи кто что знает на эту тему по моим двум вопросам.