有效权限似乎隐藏了 AO 可以删除对象的事实。我真的不明白这一点。

我喜欢这个安全身份发布了很多关于这个主题的帖子，我想我会参考并引用其中的相关部分，因为它与您的问题具体相关。

我认为这是一个好问题，一旦人们意识到这一点，他们就会想知道，如果使用帐户操作员是 AD 域环境中的标准做法 - 我当然从未尝试过使用帐户操作员删除域管理员成员 AD 帐户，但我过去曾支持过使用帐户操作员的环境，当时我是域管理员。

现在，如果我们查看有关删除 Active Directory 中的对象的选项，您可能已经看到有三种不同类型的删除：

• 删除（DELETE 访问掩码）
• 删除子项（ADS_RIGHT_DS_DELETE_CHILD 访问掩码）
• 删除子树（ADS_RIGHT_DS_DELETE_TREE 访问掩码）

这里就变得有趣了。执行删除操作时，系统会先验证对象及其父对象的安全描述符，然后再允许或拒绝删除。

如果用户对父级具有删除子级访问权限，则明确拒绝用户删除子级访问权限的 ACE 将不起作用。同样，如果允许对象本身的删除访问权限，则可以覆盖拒绝父级删除子级访问权限的 ACE。

来源： 访问控制和对象删除

删除和删除子项的示例：

示例一：

我的管理员用户 Tony 没有 ACE：允许删除名为 Hank 的域管理员用户的访问权限。如果 Tony 在父 OU 上有 ACE：允许删除子用户，他仍然可以删除该帐户。

示例二：

如果在 Hank 上设置了显式 ACE：拒绝删除访问权限。如果 Tony 在父 OU 上具有 ACE：允许删除子用户，他仍然可以删除该帐户。

如果我们反转它：Tony 最终进入 ACE：在父 OU 上拒绝删除子用户，如果他在用户对象的 ACE 中具有明确允许删除，他仍然可以删除它。

因此，我们可以看出，它AdminSDHolder Security Descriptor并不能在所有情况下真正保护管理员或嵌套组。如果您回顾有效权限图，您会发现 Tony 没有权限删除该用户。但他拥有父 OU 上的 ACE：允许删除子用户，因此可以删除属于域管理员组的 Hank。

默认权利

现在，当我们讨论删除访问权限时，最好考虑一下在 Active Directory 中谁默认拥有这些权力？除了管理员、域管理员、企业管理员等显而易见的权限之外，我们当然还有众所周知的 帐户操作员组。

帐户操作员对用户、计算机、组和 InetOrgPerson 对象具有默认的显式完全控制权。他们没有在 AdminSDHolder 安全描述符上授予该显式访问权限，但他们在组织单位上具有显式创建/删除子用户、组、计算机和 InetOrgPerson 的权限。如果域管理员的父 OU 没有明确的拒绝删除子用户，AO 将能够删除域管理员用户。

（如果您能胜任这项任务，可以从 Schema 中定义的对象类的 defaultSecurityDescriptor 属性中删除它）

另一个角度是针对群组嵌套，如果用户通过群组嵌套拥有 DA 成员资格，则只需删除该群组，他们就不再是 DA。

这些就是我希望将管理 OU 分离为根 OU 以最大限度地降低错误委派风险的几个原因。

来源

支持资源

• 安全身份
• 访问控制和对象删除

我认为您的误解来自于这样的假设：由于域管理员是一个受保护的组，因此其所有成员也受到保护。但事实并非如此。因此 AdminSDHolder 不适用于这些帐户。

文档从未明确说明这一点，但也没有说明域管理员成员被视为受保护。也没有说明帐户操作员不能删除域管理员组成员

参考：

• 受保护的帐户和组列表
• 帐户操作员组描述