刪除管理員、域管理員組的使用者對象的完全控制權限是否有任何後果？

我正在嘗試在 AD 中創建一個使用者，即使管理員、域管理員也無法刪除、不可修改。

如果我刪除管理員、域管理員組的使用者對象的完全控制權限，是否會出現任何問題？

我想，這會導致使用者只能自己編輯。

不，不會發生任何意外，因為系統使用SYSTEM主體並且您不打算刪除它。

但是，您計劃執行的操作不會阻止管理員修改或刪除對象。管理員始終擁有SeTakeOwnershipPrivilege 權限，這允許他們將任何對象的所有者設置為他們自己（或他們所屬的組）。對象的所有者任意更改訪問列表，例如刪除拒絕條目或允許自己完全控制。因此，一個堅定的管理員會做這樣的事情：

1. 取得對象的所有權
2. 使用完全控制重新添加這些訪問規則
3. 正常訪問或拆除對象

您可能需要在 Active Directory 使用者和電腦中啟用查看→高級功能，然後才能看到 AD 對像上的安全選項卡。

管理員可以做任何事情。

引用自：https://serverfault.com/questions/788771