Ping-Admin.Ru

Автор Тема: Active Directory Delegate Permission  (Прочитано 498 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн kozb

  • Начинающий
  • *
  • Сообщений: 16
  • Рейтинг: 1
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: Израиль
Active Directory Delegate Permission
« : 09 Мая 2018, 16:39:15 »
Всем привет, нужна помощь понять что я упускаю, ситуация следующая:
Тех. поддержка выполняет много административных функций и исторически так сложилось что они в группе Domain Admins.
Я хочу убрать их из группы и дать им Delegate Permisions на уровне домена.
Создаю новую группу "Security_Helpdesk" и даю делегацию, добавляю людей в группу, убираю из Domain Admins , меняю значение Admin Count с 1 на 0 (иначе защитный механизм AdminSDHolder и SDPROP сбросит изменения ). Все вроде хорошо, но по какой-то причине они всё еще могут сами вернуть себя в группу Domain Admins хотя Delegate Permisisons не распространяются на защищенные группы как Domain Admins и я вижу что нет делегации на  Domain Admins у группы "Security_Helpdesk" .
Но если убираю из "Security_Helpdesk"группы , то не могут. Вот и не пойму в чём дело, что я упускаю ?

Оффлайн microsoftexam

  • Начинающий
  • *
  • Сообщений: 14
  • Рейтинг: 0
    • тургенева 30 к-6
    • spanjokus
    • microsoftexam
    • Просмотр профиля
  • Откуда: Москва
Active Directory Delegate Permission
« Ответ #1 : 13 Июня 2018, 01:03:19 »
Сделайте им полный Deny на уровне OU или контейнера где лежит группа