Часть меня ОКР хочет удалить все группы, в которых нет участников. Та часть меня, которая не хочет ломать вещи, говорит, оставь их в покое. Прямо сейчас у меня есть все мои настоящие пользователи в определенном OU.
Я оставил эти учетные записи в «Пользователи» и во встроенных группах - что сломается, если я удалю встроенные группы ?.
На самом деле вы не задаете вопрос, но я предполагаю, что вам интересно удалить встроенные группы, такие как Account Operators.
Вместо того, чтобы спрашивать себя: «Что сломается, если я сделаю это?» вы должны спросить себя: «Что я получу?» Ответ заключается в том, что вы ничего не получите, поэтому нет никаких причин для этого. Это классический случай вопроса «Почему бы и нет?» вместо того, чтобы спрашивать «почему?»
Если вы действительно хотите увидеть, что произойдет (или даже если это позволит вам), настройте тестовую среду и выполните тестирование. На самом деле, как указывали другие, от этого нет никакой выгоды, и я не могу представить, чтобы ваш AD был настолько завален объектами, что несколько встроенных групп / пользователей действительно имеют значение. Если у вас есть настройка AD с правильной структурой OU, вы не должны регулярно видеть эти объекты ...
Что касается того, на что это повлияет, читайте в Объект AdminSDHolder. Выполняется процесс, который проверяет списки управления доступом объектов, которые являются членами защищенных (встроенных) групп, на соответствие объекту AdminSDHolder и перезаписывает изменения, внесенные в объекты, с изменениями объекта AdminSDHolder. Если бы вы каким-то образом смогли удалить эти группы, я полагаю, у вас были бы проблемы с вашим держателем роли FSMO эмулятора PDC, где эта фоновая операция выполняется (каждый час).
Кроме того, эти встроенные группы логически соответствуют локальным встроенным группам на ваших контроллерах домена.
Вероятно, лучше не пытаться удалить их, поскольку они существуют по какой-то причине.