Пользовательские объекты, защищенные AdminSDHolder
У меня есть задача удалить adminCount и восстановить наследование разрешений для всех пользователей, которые больше не являются членами защищенных групп. Однако, есть несколько групп, которые были созданы нашей организацией и которым adminCount наряду с наследованием разрешений заблокирован, но эти группы не вложены ни в одну из защищенных групп по умолчанию. У меня вопрос - возможно ли просто создать вручную группу в AD и настроить ее защиту AdminSDHolder, не добавляя ее в какие-либо другие защищенные группы?
2 ответа
Дело в том, что adminCount Установлено (и наследование разрешений заблокировано) для объекта пользователя или группы означает только то, что объект был членом защищенной группы в некоторый момент в прошлом. Это не обязательно означает, что объект сейчас защищен.
Вы могли бы, конечно, установить adminCount и / или блокировать наследование вручную для объекта, но это не имеет большого значения. Скорее всего, объект (ы), на который вы смотрите, раньше входил в одну или несколько защищенных групп, даже если они больше не являются.
В любом случае разрешение одинаково: повторно включить наследование и (необязательно) сброс adminCount, Если объект (ы) фактически являются членами защищенной группы, то эти изменения будут отменены при следующем запуске SDPROP, а если нет, то не будут.
Механизм добавления других групп в список защищенных групп отсутствует. SDPROP влияет только на членов групп, которые определены как защищенные Microsoft. (Существует механизм снятия защиты с подмножества этих групп, описанный в KB817433.)
Проверьте разрешения AdminSDHolder в домене \ системе с помощью ADSIEdit