答案1
自定义组不会自动添加到 Active Directory 中的 SDProp / AdminSDHolder 进程,只有某些组包含在此进程中(https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-c--protected-accounts-and-groups-in-active-directory#protected-groups)
如果您希望将其他帐户添加到此过程中,我建议(实际上我自己也在使用)执行一个计划任务,该任务枚举我想要包含在该过程中的组成员,并确保这些组及其递归成员的 admin-count 属性设置为1
。
伪代码示例:
'Tier 3 Admins' | ForEach-Object {
Get-AdGroupMember -Identity $_ -Recursive | Set-AdObject -Replace @{adminCount=1}
Get-AdGroup -Identity $_ | Set-AdGroup -Replace @{adminCount=1}
}
其他想法和考虑:
- 我真的很讨厌带空格的组名(但这纯粹是主观的,没有意义)
- 您正在使用特权帐户 1) 使用 Invoke-Expression,2) 在连接到互联网的机器上,3) 在没有明确定义执行策略的机器上,以及 4) 直接从互联网执行未签名的脚本 - 对于任何想在家尝试此操作的人来说,这都是“不要这样做”的终极目标。