我想在本地计算机的本地系统上下文中运行一个计划任务,该计算机从AD删除自己的计算机帐户。
我可以给计算机对象访问权限来删除自己吗?
我有我所有的电脑在一个顶级OU。 我需要在此OU上设置哪些特定的ACL,以允许其中的计算机自行删除(并且只有它们自己)。
是。 这是可能的。 只需授予SELF对计算机对象的“删除”权限。 这意味着计算机帐户将有权删除自己的计算机对象。 如果计算机帐户有子对象,也可能需要“删除子树”,但通常没有子对象。
这当然意味着计算机与域名之间的信任关系被打破了,但是你已经知道了。