У меня есть задача удалить adminCount и восстановить наследование разрешений для всех пользователей, которые больше не являются членами защищенных групп. Однако есть несколько групп, которые были созданы нашей организацией и у которых adminCount вместе с наследованием разрешений заблокировано, но эти группы не вложены ни в одну из защищенных групп по умолчанию. Мой вопрос: можно ли просто вручную создать группу в AD и настроить ее для защиты с помощью AdminSDHolder, не добавляя ее в какие-либо другие защищенные группы?
Дело в том, что adminCount
установлен (и наследование разрешений заблокировано) для объекта пользователя или группы означает только то, что объект был членом защищенной группы в какой-то момент в прошлом. Это не обязательно означает, что объект сейчас защищен.
Вы, конечно, могли бы установить adminCount
и / или вручную заблокировать наследование для объекта, но это не принесет никакой пользы. Более вероятно, что объект (ы), на который вы смотрите, раньше был членом одной или нескольких защищенных групп, даже если они больше не являются.
В любом случае разрешение одно и то же: повторно включить наследование и (необязательно) сбросить adminCount
. Если объект (ы) на самом деле являются членами защищенной группы, то эти изменения будут отменены при следующем запуске SDPROP, а если нет, они не будут.
Механизма добавления других групп в список защищенных групп нет. Только члены группы, обозначенные как защищенные Microsoft подвержены SDPROP. (Существует механизм снятия защиты с подмножества этих групп, описанный в KB817433.)
Проверьте разрешения AdminSDHolder в Домене \ Система с помощью ADSIEdit