Всем привет, нужна помощь понять что я упускаю, ситуация следующая:
Тех. поддержка выполняет много административных функций и исторически так сложилось что они в группе Domain Admins.
Я хочу убрать их из группы и дать им Delegate Permisions на уровне домена.
Создаю новую группу "Security_Helpdesk" и даю делегацию, добавляю людей в группу, убираю из Domain Admins , меняю значение Admin Count с 1 на 0 (иначе защитный механизм AdminSDHolder и SDPROP сбросит изменения ). Все вроде хорошо, но по какой-то причине они всё еще могут сами вернуть себя в группу Domain Admins хотя Delegate Permisisons не распространяются на защищенные группы как Domain Admins и я вижу что нет делегации на Domain Admins у группы "Security_Helpdesk" .
Но если убираю из "Security_Helpdesk"группы , то не могут. Вот и не пойму в чём дело, что я упускаю ?