As permissões de negação explícita sempre têm precedência sobre permissões de concessão explícitas ou herdadas, portanto, sim, uma negação fará o que você pedir; no entanto, um usuário com direitos administrativos efetivos poderá alterar forçosamente essas permissões assumindo a propriedade de objetos e redefinindo as ACLs, portanto, uma negação só bloqueará um usuário administrativo, desde que ele / ela não queira realmente combatê-lo. / p>
Exemplo: em ambientes Exchange, os grupos "Admins. do domínio" e "Administradores de empresa" têm uma ACL explicitamente negada para permissões "Receber como" e "Enviar como" em todos os objetos de usuário, para que usuários administrativos não possam abrir caixas de correio de outras pessoas; no entanto, sendo usuários administrativos, eles podem remover essas permissões sempre que quiserem e, portanto, podem perfeitamente abrir qualquer caixa de correio, se realmente quiserem.
Uma abordagem muito mais simples e eficaz seria não dar direitos administrativos à conta do usuário, mas dar a ela permissões de Controle Total na OU que gerenciará e em todos os seus objetos filhos.
BTW, você não pode colocar uma conta de usuário externo de um domínio confiável em um grupo global de domínio, como "Admins. do domínio"; você só pode colocá-lo em um grupo local de domínio, como "Administradores", ou em um grupo local em computadores membros.