Active-Directory
刪除管理員、域管理員組的使用者對象的完全控制權限是否有任何後果?
我正在嘗試在 AD 中創建一個使用者,即使管理員、域管理員也無法刪除、不可修改。
如果我刪除管理員、域管理員組的使用者對象的完全控制權限,是否會出現任何問題?
我想,這會導致使用者只能自己編輯。
不,不會發生任何意外,因為系統使用
SYSTEM
主體並且您不打算刪除它。但是,您計劃執行的操作不會阻止管理員修改或刪除對象。管理員始終擁有
SeTakeOwnershipPrivilege
權限,這允許他們將任何對象的所有者設置為他們自己(或他們所屬的組)。對象的所有者任意更改訪問列表,例如刪除拒絕條目或允許自己完全控制。因此,一個堅定的管理員會做這樣的事情:
- 取得對象的所有權
- 使用完全控制重新添加這些訪問規則
- 正常訪問或拆除對象
您可能需要在 Active Directory 使用者和電腦中啟用查看→高級功能,然後才能看到 AD 對像上的安全選項卡。
管理員可以做任何事情。