几个星期前我刚刚find了一份新工作,我注意到Active Directory允许标准用户修改Active Directory用户和计算机中的用户和组。 即使标准用户没有被委任任何控制权。
我在Active Directory域中创build了一些testing帐户,所有testing帐户都可以完全访问Active Directory用户和计算机。 如果远程服务器pipe理工具已经安装在他们的客户端系统上。
我使用Server 2012 R2在虚拟机中设置了一个新的testing域。 然后,我join了testingWindows 10 vm的域名,标准用户无法对Active Directory进行任何更改。 testing用户可以打开Active Directory用户和计算机; 但是他们不能做任何改变。
所以我们的生产Active Directory域有一些主要的错误。 我只是不知道在哪里看或如何解决这个问题。 我查看了我们的默认域策略,没有任何关于让用户访问域的信息。
它与GPO无关。 它与主体(用户或组)相对于对象(在这种情况下,至less是其他用户)授予的访问权限有关。
无论你的用户是所有的域pipe理员,或代表团已经发生(你说你已经调查了,并排除),或通过比代表团更具体的手段授予访问,这实际上只是一些易于使用的包装访问控制列表。 找出用户从哪里inheritance其他用户的权限,并将其删除。