我正在尝试在 AD 中创建一个不可删除、甚至管理员、域管理员都无法修改的用户。
如果我删除管理员、域管理员组的用户对象上的完全控制权限,是否会出现什么问题?
我想,这会导致用户只能自己进行编辑。
答案1
不会,不会发生任何意外,因为系统使用了主体SYSTEM并且您不打算删除它。
但是,您计划执行的操作不会阻止管理员修改或删除该对象。管理员始终拥有SeTakeOwnershipPrivilege 特权,这允许他们将任何对象的所有者设置为他们自己(或他们所属的组)。对象的所有者可以任意更改访问列表,例如删除拒绝条目或允许自己完全控制。因此,一个坚定的管理员会做这样的事情:
- 取得对象的所有权
- 使用“完全控制”功能重新添加这些访问规则
- 正常进入或拆除物体
您可能需要启用看法→高级功能在 Active Directory 用户和计算机中,您才能看到 AD 对象上的“安全”选项卡。
管理员可以做任何事情。