21.5 AD域2019：取消Enterprise Admins管理子域的权限, 让根域管理员不可以管理子域，子域由子域管理员管理

21.5 AD域2019：取消Enterprise Admins管理子域的权限, 让根域管理员不可以管理子域，子域由子域管理员管理

备注：

林根域administrator帐号默认可以管理所有域。

子域administrator帐号只能管理本域。

根域的administrator默认属于根域的Enterprise Admins组（只有林的根域有这个组）。

Enterprise Admins组默认属于林中其他域的administratos组。

取消根域administrator对子域的管理权限（取消后，只有子域的管理员才能权限调回根administrator管理子域的权限）

（1）根域管理员可以登录子域控制器

（2）根域的管理员可以管理子域的原因：根域的Enterprise Admins组默认加入到了子域的Administrators组中。

（3）重启后，根域管理员已经不可以登录子域控制器

重启子域控制器后，进行测试：

使用根域管理员帐号在子域控制器上登录，结果：登录不成功

（4）在根域控制器系统上远程连接子域控制器，结果：还是可以控制子域控制器的，如删除子域控制器的用户

所有的域控制器全部重启：

删除成功：

重新创建一个用户也是可以的：

（5）在子域控制器登录配置拒绝Enterprise Admins

根域管理员还是可以删除子域的用户等，因为在安装子域使用的是就根域管理员，所以还要配置：

勾选上高级功能：

配置Enterprise Admins

配置Enterprise Key Admins

（6）测试：

根域管理器上远程子域，还是有权限，新建用户与删除用户等操作。

（7）配置“拒绝”

（8）再测试，连z组织单元都没有方法显示了，所以自然也不能创建用户了。

AD域活动目录服务（列表、list、全）adlist
http://www.zh-cjh.com/wenzhangguilei/2468.html
WindowsServer2019 AD域服务（列表、list、全）adlist
http://www.zh-cjh.com/wenzhangguilei/2085.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html