我想要在本地计算机的本地系统环境中运行一个计划任务,从 AD 中删除其自己的计算机帐户。
我可以授予计算机对象删除自身的权限吗?
我的所有计算机都位于一个顶级 OU 下。我需要在此 OU 上设置哪些特定 ACL,以允许其中的计算机删除自身(且只能删除自身)。
答案1
是的。这是可能的。只需授予 SELF 对计算机对象的“删除”权限即可。这意味着计算机帐户将有权删除自己的计算机对象。如果计算机帐户有子对象,您可能还需要“删除子树”,但它们通常没有子对象。
这当然意味着计算机与域的信任关系已破裂,但您已经知道这一点。