删除管理员、域管理员组对用户对象的完全控制权限会有什么后果吗?

删除管理员、域管理员组对用户对象的完全控制权限会有什么后果吗?

我正在尝试在 AD 中创建一个不可删除、甚至管理员、域管理员都无法修改的用户。

如果我删除管理员、域管理员组的用户对象上的完全控制权限,是否会出现什么问题?

我想,这会导致用户只能自己进行编辑。

答案1

不会,不会发生任何意外,因为系统使用了主体SYSTEM并且您不打算删除它。

但是,您计划执行的操作不会阻止管理员修改或删除该对象。管理员始终拥有SeTakeOwnershipPrivilege 特权,这允许他们将任何对象的所有者设置为他们自己(或他们所属的组)。对象的所有者可以任意更改访问列表,例如删除拒绝条目或允许自己完全控制。因此,一个坚定的管理员会做这样的事情:

  1. 取得对象的所有权
  2. 使用“完全控制”功能重新添加这些访问规则
  3. 正常进入或拆除物体

您可能需要启用看法高级功能在 Active Directory 用户和计算机中,您才能看到 AD 对象上的“安全”选项卡。

管理员可以做任何事情。

相关内容