我的强迫症部分想删除所有没有任何成员的群组。我不想破坏事物的部分说别管他们。现在我把所有真实用户都放在一个特定的 OU 中。
到目前为止,我已将这些帐户保留在用户和内置组中 - 如果我删除内置组,会发生什么情况?
答案1
您实际上并没有提出问题,但我假设您想知道如何删除内置组,例如Account Operators。
你不应该问自己“如果我这样做会有什么后果?”而应该问自己“我会得到什么?”答案是,你绝对不会得到任何好处,所以没有理由这样做。这是一个典型的问“为什么不?”而不是问“为什么?”的例子。
答案2
如果您真的想看看会发生什么(或者它是否允许您这样做),请设置一个测试环境并进行测试。实际上,正如其他人指出的那样,这样做没有任何好处,我无法想象您的 AD 会被对象淹没,以至于少数内置组/用户真的会产生影响。如果您的 AD 设置了正确的 OU 结构,那么您实际上不应该经常看到这些对象……
至于它会产生什么影响,请阅读AdminSDHolder 对象。有一个进程会根据 AdminSDHolder 对象检查受保护(内置)组成员的对象的 ACL,并用 AdminSDHolder 对象的更改覆盖对这些对象所做的更改。如果您能够以某种方式删除这些组,我想您的 PDC Emulator FSMO Role Holder 上会遇到问题,因为这个后台操作会每小时运行一次。
此外,这些内置组在逻辑上对应于 DC 上的本地内置组。
最好不要尝试删除它们,因为它们的存在是有原因的。