什么用户能够修改 msDS-AllowedToActOnBehalfOfOtherIdentity 属性 将主机加入域的用户 (账户中有一个 mSDS-CreatorSID 属性,用于标记加入域时使用的用户的SID值) Account Operator 组成员 该主机的机器账户 Ref https://zhuanlan.zhihu.com/p/549838653 基于资源的约束委派-rbcd-利用总结