Пока решение такое
1. Проверяем какие группы защищены AdminSDHolder
открываем PowerShell и выполняем
Код:
get-adgroup -ldapfilter "(objectcategory=group) (admincount=1)"
В результатах должны быть только следующие группы:
Account Operators,
Administrator,
Administrators,
Backup Operators,
Domain Admins,
Domain Controllers,
Enterprise Admins,
Krbgt,
Print Operators,
Read-only Domain Controllers,
Replicator,
Schema Admins,
Server Operators
2. Если Domain Users в защищенных группах, то сбрасываем admincount в ноль у группы
3. Проверяем какие пользователи защищены AdminSDHolder
В PowerShell и выполняем
Код:
get-aduser -ldapfilter "(objectcategory=person) (admincount=1)"
4. Если там есть обычные пользователи, то сбрасываем в 0 admincount у всех пользователей. Руками или скриптом.
5. Проверяем, что наследование разрешений у пользователей включено
6. Проверяем, атрибут dsHeuristics. (Выполнить adsiedit - Configuration - Services - Windows NT - Directory Service - Properties). Для вывода всех операторов из под защиты ввести 000000000100000f. У меня был <not set>.
7. Принудительно запускаем SDProp (или ждем 1 час): LDP - Bind, Browse - Modify - Edit Entry Attribute=FixUpInheritance, Values=Yes - Run
