Você removeu Usuários Autenticados do Acesso Compatível com Antes do Windows 2000 para impedir que os usuários leiam os outros hashes de senha do UNIX. Acesso compatível anterior ao Windows 2000 tem direitos para ler quase todas as propriedades da maioria dos objetos e é como a maioria das entidades de segurança não administrativas leem as propriedades do objeto. A associação do grupo é determinada para um usuário lendo o atributo memberOf
e, como unixUserPassword
, a capacidade de lê-lo pela maioria dos usuários é removida. A razão pela qual os usuários que estão em grupos protegidos NÃO estão quebrados, mas usuários que NÃO estão em grupos protegidos estão quebrados porque, curiosamente, o AdminSDHolder concede mais direitos permissivos para ler propriedades de objetos protegidos do que objetos desprotegidos.
Não há uma resposta "correta" para corrigir o problema, pois geralmente não é uma boa ideia armazenar dados confidenciais no AD (é exatamente esse o motivo). Você pode olhar para definir o bit de confidencialidade. Eu nunca fiz isso, mas este artigo da KB entrou em detalhes: Como marcar um atributo como confidencial no Windows Server 2003 Service Pack 1