Мне нужно было обратиться к клиенту с двусторонним доверием (компания-источник не хочет, чтобы мы имели полные права администратора, поэтому у нас много проблем с разрешениями).
Нам действительно нужны права администратора домена, но только для одного подразделения.
Явные разрешения на отказ всегда имеют приоритет перед явными или унаследованными разрешениями на предоставление, так что да, отказ будет делать то, что вы просите; тем не менее, пользователь с эффективными административными правами сможет принудительно изменить эти разрешения, приняв право владения объектами и сбросив списки управления доступом, поэтому отказ заблокирует пользователя с правами администратора только до тех пор, пока он / она не хочет фактически бороться с ним.
Показательный пример: в средах Exchange группы «Администраторы домена» и «Администраторы предприятия» имеют явное запрещение ACL для разрешений «Получить как» и «Отправить как» для всех пользовательских объектов, так что административные пользователи не могут открывать чужие почтовые ящики; однако, будучи администраторами, они могут удалить эти разрешения, когда захотят, и, таким образом, могут открыть любой почтовый ящик, если они действительно этого хотят.
Гораздо более простым и эффективным подходом было бы не предоставлять административные права учетной записи пользователя, а предоставить ей разрешения полного доступа к подразделению, которым оно будет управлять, и ко всем его дочерним объектам.
Кстати, вы не можете поместить внешнюю учетную запись пользователя из доверенного домена в глобальную группу домена, такую как «Администраторы домена»; вы можете поместить его только в локальную группу домена, такую как «Администраторы», или в локальную группу на рядовых компьютерах.