我有一个任务,要删除 adminCount 并恢复所有不再是受保护组成员的用户的权限继承。但是,我们的组织创建了一些组,并且阻止了 adminCount 和权限继承,但这些组未嵌套在任何默认受保护组中。我的问题是 - 是否可以在 AD 中手动创建组并将其设置为受 AdminSDHolder 保护,而无需将其添加到任何其他受保护组?
答案1
在用户或组对象上设置(并阻止权限继承)的事实adminCount仅意味着该对象是受保护组的成员在过去的某个时候。这并不一定意味着该对象现在受到保护。
当然,您可以adminCount手动设置和/或阻止对象的继承,但这样做没有什么用。您查看的对象更有可能曾经是一个或多个受保护组的成员,即使它们不再是。
不管哪种情况,解决方法都是一样的:重新启用继承并(可选)重置adminCount。如果对象实际上是受保护组的成员,那么这些更改将在下次 SDPROP 运行时撤消,如果不是,则不会撤消。
没有将其他组添加到受保护组列表的机制。只有指定为受 Microsoft 保护的组受到 SDPROP 的影响。(有一种机制可以删除这些组中部分组的保护,详见KB817433。
答案2
使用 ADSIEdit 检查 Domain\System 下 AdminSDHolder 的权限