我正在尝试在 AD 中创建一个用户,即使管理员、域管理员也无法删除、不可修改。
如果我删除管理员、域管理员组的用户对象的完全控制权限,是否会出现任何问题?
我想,这会导致用户只能自己编辑。
AskOverflow.Dev
我正在尝试在 AD 中创建一个用户,即使管理员、域管理员也无法删除、不可修改。
如果我删除管理员、域管理员组的用户对象的完全控制权限,是否会出现任何问题?
我想,这会导致用户只能自己编辑。
不,不会发生任何意外,因为系统使用
SYSTEM主体并且您不打算删除它。但是,您计划执行的操作不会阻止管理员修改或删除对象。管理员始终拥有
SeTakeOwnershipPrivilege权限,这允许他们将任何对象的所有者设置为他们自己(或他们所属的组)。对象的所有者任意更改访问列表,例如删除拒绝条目或允许自己完全控制。因此,一个坚定的管理员会做这样的事情:您可能需要在 Active Directory 用户和计算机中启用查看→高级功能,然后才能看到 AD 对象上的安全选项卡。
管理员可以做任何事情。