Доменные службы Azure Active Directory (AD DS) изменяют разрешения для контейнеров ADSI без прав администратора предприятия или домена.

Мне нужно изменить права доступа в доменных службах Azure Active Directory (AD DS) для определенного контейнера в ADSI.

Обычно в локальной Active Directory это возможно при наличии правильных прав доступа к объекту и изменении права доступа (ACE) в списках управления доступом (ACL) объекта. Обычно это означает, что мне нужны права администратора предприятия/домена в первом дворце для изменения прав объекта.

В доменных службах Azure Active Directory (AD DS) Microsoft ограничивает среду следующим образом: права администратора домена и администратора предприятия недоступны. Единственный способ администрирования домена — использование пользователей в группе «Администраторы контроллера домена AAD», у которых нет доступа к правам на контейнер: Снимок экрана списка управления доступом к контейнеру

Есть ли способ как-то изменить разрешение на объект ADSI без прав администратора предприятия/домена? Или есть способ установить дополнительные разрешения непосредственно через Azure?

Azure AD DS предлагается как PaaS, поэтому вполне естественно, что Microsoft блокирует все, что вы можете с ним делать. Если у вас нет разрешения, то нет, это невозможно.

Если это то, что вам действительно нужно, выберите DS внутри виртуальной машины.