Несколько недель назад у меня появилась новая работа, и я заметил, что каким-то образом Active Directory позволяет стандартным пользователям изменять пользователей и группы в Active Directory Users and Computers. Несмотря на то, что стандартным пользователям не было делегировано никакого контроля.
Я создал несколько тестовых учетных записей в нашем домене Active Directory, и все тестовые учетные записи имеют полный доступ к пользователям и компьютерам Active Directory. При условии, что Инструменты удаленного администрирования сервера уже установлены в их клиентской системе.
Я устанавливаю новый тестовый домен на виртуальной машине с помощью Server 2012 R2. Затем я подключил тестовую виртуальную машину Windows 10 к домену, и обычный пользователь не смог внести никаких изменений в Active Directory. Тестовый пользователь может открыть Active Directory - пользователи и компьютеры; но они не могут вносить никаких изменений.
Так что есть что-то в основном неправильно с нашим производственным доменом Active Directory. Я просто не знаю, где искать и как решить эту проблему. Я посмотрел на нашу политику домена по умолчанию, и там не было ничего о предоставлении пользователям доступа к домену.
Это не имеет ничего общего с объектами групповой политики. Это связано с тем, какой доступ был предоставлен принципалам (пользователям или группам) к объектам (в данном случае, как минимум, другим пользователям).
Либо все ваши пользователи являются администраторами домена, либо произошло делегирование (вы говорите, что исследовали это и исключили его), либо доступ был предоставлен более конкретными способами, чем делегирование, что на самом деле является просто некоторой простотой использования, обернутой вокруг ACL. Узнайте, откуда пользователи наследуют разрешения для других пользователей, и удалите их.