AD запрет на добавление в группу. Как реализовать?

Question

[Дмитрий Шумов]

Коллеги, хочу странного, прошу подсказать и направить.
Есть задача - создать группу в AD на подобии группы Domain Admins. Т.е. группу ну почти-почти Domain Admins но не совсем :) Группу создал, права все выдал, делегирование для нее сделал. Осталось одна маленькая деталюшка - сделать так, что бы члены новой группы не могли себя добавить в группу Domain Admins. Пробовал делать так:

добавил новую группу на вкладке безопасность и дал ей Deny на Add/remove self as member
Но это не прокатывает. И я задумался, а возможно ли такое вообще? Или нужно было "отселять" группу Domain Admins в отдельную OU и запретить на эту OU делегирование новой группы и после этого уже давать ей Deny на Add/remove self as member?
В общем help me///

Answer 1

[Максим Гришин]

Надо было делегацию новой группе не на весь домен выдать, а на OU с пользователями, и проблем бы не было.

Comments

[Дмитрий Шумов]

Да, здравая идея. Но тут такая штука - в Domain Admins будет входить только один "виртуальный" пользователь, пароль от этой УЗ будет надежно спрятан :) Все те, кто сейчас Domain Admins перейдут в новую группу. Задача - не потерять чего-то важного, и не дать лишнего.
Если я делегирую права только на OU с пользователями и компьютерами - как понять что остальные OU "вдруг" не потребуются?

[Максим Гришин]

Дмитрий Шумов, с таким подходом я бы честно запилил два домена - корневой с группами domain admins, enterprise admins, и листовой со всеми пользователями, ПК итэдэ, и уже в его группе domain admins держал всех админов. И если вдруг ч0, вытаскивается enterprise admin верхнего домена и фиксит.

[Дмитрий Шумов]

Максим Гришин, не, не вариант

Answer 2

[Дмитрий]

Есть ещё такая штука как restricted groups

Comments

[Дмитрий Шумов]

Использую их, но как то нераздупляю, как это можно в моей ситуации применить.