几周前我刚找到一份新工作,我注意到 Active Directory 以某种方式允许标准用户修改 Active Directory 用户和计算机中的用户和组。即使标准用户没有被委派任何控制权。
我在我们的 Active Directory 域中创建了一些测试帐户,并且所有测试帐户都具有对 Active Directory 用户和计算机的完全访问权限。前提是远程服务器管理工具已安装在他们的客户端系统上。
我使用 Server 2012 R2 在虚拟机中设置了一个新的测试域。然后我将测试 Windows 10 虚拟机加入到该域,标准用户无法对 Active Directory 进行任何更改。测试用户可以打开 Active Directory 用户和计算机;但他们无法进行任何更改。
所以有些事情主要地我们的生产 Active Directory 域出了问题。我只是不知道在哪里查找或如何解决这个问题。我查看了我们的默认域策略,那里没有任何关于授予用户访问域的权限的内容。
答案1
它与 GPO 无关。它与授予主体(用户或组)对对象(在本例中至少是其他用户)的访问权限有关。
要么您的所有用户都是域管理员,要么已经发生授权(您说您已经调查过并排除了这种可能性),要么是通过比授权更具体的方式授予访问权限,这实际上只是一些围绕 ACL 的易用性。找出用户从哪里继承了针对其他用户的权限,并将其删除。