Я создал группу безопасности Active Directory.
Я хотел бы настроить разрешения безопасности, чтобы у группы были следующие разрешения. Указанная группа должна иметь возможность добавлять объекты-компьютеры в группу безопасности, но не должна иметь возможность удалять объект-компьютер из группы безопасности.
Я могу настроить разрешения безопасности, чтобы пользователь мог добавлять / удалять из группы безопасности. Я не могу найти соответствующий атрибут, который нужно отклонить, чтобы пользователь не мог удалять объекты компьютера.
Практически то же самое можно добиться с помощью запланированной задачи.
Создайте 2 группы. Первый - это тот, который у вас уже есть, а второй должен быть настроен таким образом, чтобы соответствующие пользователи не могли управлять участниками.
Запланированная задача выполняет эти 2 шага по порядку:
Поэтому, когда член удаляется из первой группы, запланированная задача добавляет этого члена обратно, потому что он находится во второй группе.
Чтобы действительно удалить участника из группы, он должен быть удален из обеих групп одновременно.
Вы не можете защитить операции по отдельности, поскольку нет разницы между «добавить» и «удалить»; обе операции составляют записывать на члены атрибут объекта.