Active-Directory

刪除管理員、域管理員組的使用者對象的完全控制權限是否有任何後果?

  • July 8, 2016

我正在嘗試在 AD 中創建一個使用者,即使管理員、域管理員也無法刪除、不可修改。

如果我刪除管理員、域管理員組的使用者對象的完全控制權限,是否會出現任何問題?

我想,這會導致使用者只能自己編輯。

不,不會發生任何意外,因為系統使用SYSTEM主體並且您不打算刪除它。

但是,您計劃執行的操作不會阻止管理員修改或刪除對象。管理員始終擁有SeTakeOwnershipPrivilege 權限,這允許他們將任何對象的所有者設置為他們自己(或他們所屬的組)。對象的所有者任意更改訪問列表,例如刪除拒絕條目或允許自己完全控制。因此,一個堅定的管理員會做這樣的事情:

  1. 取得對象的所有權
  2. 使用完全控制重新添加這些訪問規則
  3. 正常訪問或拆除對象

您可能需要在 Active Directory 使用者和電腦中啟用查看高級功能,然後才能看到 AD 對像上的安全選項卡。

管理員可以做任何事情。

引用自:https://serverfault.com/questions/788771