A parte do OCD quer excluir todos os grupos que não possuem membros. A parte de mim que não quer quebrar as coisas diz deixá-los sozinhos. Agora eu tenho todos os meus usuários reais em uma OU específica.
Eu deixei essas contas nos Usuários e nos grupos internos até agora - O que quebraria se eu excluir os grupos internos?
Você não faz uma pergunta, mas eu estou supondo que você esteja se perguntando sobre como excluir os grupos internos, como Account Operators .
Em vez de se perguntar "O que vai quebrar se eu fizer isso?" você deveria estar se perguntando "O que eu ganho?" A resposta é que você não ganhará absolutamente nada, então não há razão para fazê-lo. Este é um caso clássico de perguntar "Por que não?" em vez de perguntar "por quê?"
Se você realmente quiser ver o que acontece (ou até mesmo permitir), configure um ambiente de teste e teste. Realisticamente, como outros apontaram, não há nenhum ganho em fazê-lo e eu não posso imaginar sua AD sendo tão inundada com objetos que os poucos grupos / usuários embutidos realmente fazem a diferença. Se você tiver sua configuração do AD com a estrutura da UO adequada, você não deve realmente ver esses objetos regularmente ...
Em relação ao que isso afetará, leia o objeto AdminSDHolder . Existe um processo executado que verifica as ACLs de objetos que são membros de grupos Protegidos (internos) em relação ao objeto AdminSDHolder e sobregrava as alterações feitas nos objetos com o objeto AdminSDHolder. Se você fosse de alguma forma capaz de excluir esses grupos, imagino que você teria problemas em seu suporte de função FSMO de emulador de PDC, onde essa operação em segundo plano é executada (a cada hora).
Além disso, esses grupos internos correspondem logicamente aos grupos internos locais nos seus DCs.
Provavelmente, é melhor que você não tente excluí-los, pois eles estão lá por um motivo.
Tags users active-directory