<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=koi8-r">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:Wingdings;
        panose-1:5 0 0 0 0 0 0 0 0 0;}
@font-face
        {font-family:SimSun;
        panose-1:2 1 6 0 3 1 1 1 1 1;}
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:Verdana;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
@font-face
        {font-family:"\@SimSun";
        panose-1:2 1 6 0 3 1 1 1 1 1;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
p.MsoListNumber, li.MsoListNumber, div.MsoListNumber
        {mso-style-priority:99;
        margin-top:0in;
        margin-right:0in;
        margin-bottom:0in;
        margin-left:.25in;
        margin-bottom:.0001pt;
        text-indent:-.25in;
        mso-list:l1 level1 lfo1;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p
        {mso-style-priority:99;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:12.0pt;
        font-family:"Times New Roman","serif";}
pre
        {mso-style-priority:99;
        mso-style-link:"HTML Preformatted Char";
        margin:0in;
        margin-bottom:.0001pt;
        font-size:10.0pt;
        font-family:"Courier New";}
p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph
        {mso-style-priority:34;
        margin-top:0in;
        margin-right:0in;
        margin-bottom:8.0pt;
        margin-left:.5in;
        mso-add-space:auto;
        line-height:106%;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
p.MsoListParagraphCxSpFirst, li.MsoListParagraphCxSpFirst, div.MsoListParagraphCxSpFirst
        {mso-style-priority:34;
        mso-style-type:export-only;
        margin-top:0in;
        margin-right:0in;
        margin-bottom:0in;
        margin-left:.5in;
        margin-bottom:.0001pt;
        mso-add-space:auto;
        line-height:106%;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
p.MsoListParagraphCxSpMiddle, li.MsoListParagraphCxSpMiddle, div.MsoListParagraphCxSpMiddle
        {mso-style-priority:34;
        mso-style-type:export-only;
        margin-top:0in;
        margin-right:0in;
        margin-bottom:0in;
        margin-left:.5in;
        margin-bottom:.0001pt;
        mso-add-space:auto;
        line-height:106%;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
p.MsoListParagraphCxSpLast, li.MsoListParagraphCxSpLast, div.MsoListParagraphCxSpLast
        {mso-style-priority:34;
        mso-style-type:export-only;
        margin-top:0in;
        margin-right:0in;
        margin-bottom:8.0pt;
        margin-left:.5in;
        mso-add-space:auto;
        line-height:106%;
        font-size:11.0pt;
        font-family:"Calibri","sans-serif";}
span.EmailStyle18
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle19
        {mso-style-type:personal;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
span.EmailStyle21
        {mso-style-type:personal-reply;
        font-family:"Calibri","sans-serif";
        color:#1F497D;}
p.NumberedList1, li.NumberedList1, div.NumberedList1
        {mso-style-name:"Numbered List 1\,nl1";
        margin-top:9.0pt;
        margin-right:0in;
        margin-bottom:9.0pt;
        margin-left:13.7pt;
        text-indent:-13.7pt;
        mso-list:l1 level1 lfo1;
        font-size:9.0pt;
        font-family:"Verdana","sans-serif";}
span.Bold
        {mso-style-name:"Bold\,b";
        font-weight:bold;}
span.HTMLPreformattedChar
        {mso-style-name:"HTML Preformatted Char";
        mso-style-priority:99;
        mso-style-link:"HTML Preformatted";
        font-family:"Courier New";}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
/* List Definitions */
@list l0
        {mso-list-id:-2;
        mso-list-type:simple;
        mso-list-template-ids:1148644508;}
@list l0:level1
        {mso-level-start-at:0;
        mso-level-number-format:bullet;
        mso-level-text:*;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        margin-left:0in;
        text-indent:0in;}
@list l1
        {mso-list-id:1908110580;
        mso-list-type:simple;
        mso-list-template-ids:1925234984;}
@list l1:level1
        {mso-level-style-link:"Numbered List 1";
        mso-level-tab-stop:.25in;
        mso-level-number-position:left;
        margin-left:.25in;
        text-indent:-.25in;}
@list l0:level1 lfo2
        {mso-level-numbering:continue;
        mso-level-text:\F0B7;
        mso-level-tab-stop:none;
        mso-level-number-position:left;
        mso-level-legacy:yes;
        mso-level-legacy-indent:.25in;
        mso-level-legacy-space:0in;
        margin-left:0in;
        text-indent:-.25in;
        font-family:Symbol;}
ol
        {margin-bottom:0in;}
ul
        {margin-bottom:0in;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal">Nadia,<span style="font-size:11.0pt"><o:p></o:p></span></p>
<p class="MsoNormal">It was nice working with the team at the IO lab. Please find the references and explanation as follows.
<o:p></o:p></p>
<p class="MsoNormal">Your observation is correct. The restriction is relevant as specified in MS-ADTS. The Delete Operation constraints ([MS-ADTS] 3.1.1.5.5) has a clause on SAM-specific objects.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">After reviewing the source code and documents, I have opened a technical document issue to request further details regarding the 1000 value. Well-known accounts have a RID value that is less than 1000. Consequently SAMR uses 1000 as the
 minimum domain RID for rIDAvailablePool. <o:p></o:p></p>
<p class="MsoNormal">The builtin account RID check applies to SamrDeleteAlias(), SamrDeleteGroup() and SamrDeleteUser.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Let’s me know whether this helps!<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">[MS-ADTS]<o:p></o:p></p>
<p class="MsoNormal">3.1.1.5.5   Delete Operation<o:p></o:p></p>
<p class="MsoNormal">3.1.1.5.5.5   Constraints<o:p></o:p></p>
<p class="MsoNormal"><a href="http://msdn.microsoft.com/en-us/library/cc223485.aspx">http://msdn.microsoft.com/en-us/library/cc223485.aspx</a><o:p></o:p></p>
<p class="MsoListParagraph" style="text-indent:-.25in;mso-list:l0 level1 lfo2"><![if !supportLists]><span style="font-family:Symbol"><span style="mso-list:Ignore">ž<span style="font:7.0pt "Times New Roman"">       
</span></span></span><![endif]><span lang="EN">If the object being deleted is a SAM-specific object (section
<a href="http://msdn.microsoft.com/en-us/library/cc223445.aspx">3.1.1.5.2.3</a>), additional constraints apply (see [MS-SAMR] section
<a href="http://msdn.microsoft.com/en-us/library/cc245800.aspx">3.1.5.7</a>).</span><o:p></o:p></p>
<p class="MsoNormal"><span lang="EN">3.1.1.5.2.3 Special Classes and Attributes</span><o:p></o:p></p>
<p class="MsoNormal"><a href="http://msdn.microsoft.com/en-us/library/cc223445.aspx">http://msdn.microsoft.com/en-us/library/cc223445.aspx</a><o:p></o:p></p>
<p class="MsoNormal">This section defines three sets of object classes: LSA-specific object classes, SAM-specific object classes, and schema object classes. These sets are mentioned elsewhere in the specification, because special processing is applied to instances
 of these classes.<o:p></o:p></p>
<p class="MsoNormal">Each set includes both the specific object classes mentioned here and any subclasses of these object classes.<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:0in;margin-right:0in;margin-bottom:8.0pt;margin-left:.5in;text-indent:-.25in;line-height:106%;mso-list:l0 level1 lfo2">
<![if !supportLists]><span style="font-family:Symbol"><span style="mso-list:Ignore">ž<span style="font:7.0pt "Times New Roman"">       
</span></span></span><![endif]>LSA-specific object classes: <a href="http://msdn.microsoft.com/en-us/library/cc221792.aspx">
secret</a>, <a href="http://msdn.microsoft.com/en-us/library/cc221820.aspx">trustedDomain</a> (originating updates only, in AD DS only).<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:0in;margin-right:0in;margin-bottom:8.0pt;margin-left:.5in;text-indent:-.25in;line-height:106%;mso-list:l0 level1 lfo2">
<![if !supportLists]><span style="font-family:Symbol"><span style="mso-list:Ignore">ž<span style="font:7.0pt "Times New Roman"">       
</span></span></span><![endif]>SAM-specific object classes: <a href="http://msdn.microsoft.com/en-us/library/cc221861.aspx">
group</a>, <a href="http://msdn.microsoft.com/en-us/library/cc221779.aspx">samDomain</a>,
<a href="http://msdn.microsoft.com/en-us/library/cc221789.aspx">samServer</a>, <a href="http://msdn.microsoft.com/en-us/library/cc221822.aspx">
user</a> (originating updates only, in AD DS only).<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:0in;margin-right:0in;margin-bottom:8.0pt;margin-left:.5in;text-indent:-.25in;line-height:106%;mso-list:l0 level1 lfo2">
<![if !supportLists]><span style="font-family:Symbol"><span style="mso-list:Ignore">ž<span style="font:7.0pt "Times New Roman"">       
</span></span></span><![endif]>Schema object classes: <a href="http://msdn.microsoft.com/en-us/library/cc221662.aspx">
attributeSchema</a>, <a href="http://msdn.microsoft.com/en-us/library/cc221755.aspx">
classSchema</a> (originating and replicated updates).<o:p></o:p></p>
<p class="MsoNormal">This section also defines one set of attributes: <a href="http://msdn.microsoft.com/en-us/library/b645c125-a7da-4097-84a1-2fa7cea07714#fpo">
foreign principal object (FPO)</a>-enabled attributes. This set is mentioned elsewhere in the specification, because special processing is applied to instances of these attributes.<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:0in;margin-right:0in;margin-bottom:8.0pt;margin-left:.5in;text-indent:-.25in;line-height:106%;mso-list:l0 level1 lfo2">
<![if !supportLists]><span style="font-family:Symbol"><span style="mso-list:Ignore">ž<span style="font:7.0pt "Times New Roman"">       
</span></span></span><![endif]>FPO-enabled attributes: <a href="http://msdn.microsoft.com/en-us/library/cc220525.aspx">
member</a>, <a href="http://msdn.microsoft.com/en-us/library/cc220305.aspx">msDS-MembersForAzRole</a>,
<a href="http://msdn.microsoft.com/en-us/library/cc220317.aspx">msDS-NeverRevealGroup</a>,
<a href="http://msdn.microsoft.com/en-us/library/cc220319.aspx">msDS-NonMembers</a>,
<a href="http://msdn.microsoft.com/en-us/library/cc220364.aspx">msDS-RevealOnDemandGroup</a>,
<a href="http://msdn.microsoft.com/en-us/library/cc221226.aspx">msDS-ServiceAccount</a>.
<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">[MS-SAMR]<o:p></o:p></p>
<p class="MsoNormal"><span lang="EN">3.1.5.7 Delete Pattern<o:p></o:p></span></p>
<p class="MsoNormal"><a href="http://msdn.microsoft.com/en-us/library/cc245800.aspx">http://msdn.microsoft.com/en-us/library/cc245800.aspx</a><o:p></o:p></p>
<p class="MsoNormal">3.1.5.7.1   SamrDeleteGroup (Opnum 23)<o:p></o:p></p>
<p class="NumberedList1" style="mso-list:none">5.  If the RID of G's <span class="Bold">
objectSid</span> attribute is less than 1000, an error MUST be returned.<o:p></o:p></p>
<p class="MsoNormal">3.1.5.7.2   SamrDeleteAlias (Opnum 30)<o:p></o:p></p>
<p class="NumberedList1" style="mso-list:none">5.  If the RID of A's <span class="Bold">
objectSid</span> attribute value is less than 1000, an error MUST be returned.<o:p></o:p></p>
<p class="MsoNormal"><span lang="EN">3.1.5.7.3 SamrDeleteUser (Opnum 35)</span><o:p></o:p></p>
<p class="MsoNormal"><span lang="EN">5. If the RID of U's <strong>objectSid</strong> attribute value is less than 1000, an error MUST be returned.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN">[MS-DRSR]<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN">4.1.10.5.12 ProcessFsmoRoleRequest<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN"><a href="http://msdn.microsoft.com/en-us/library/dd207744.aspx">http://msdn.microsoft.com/en-us/library/dd207744.aspx</a><o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN">…<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">  /* Locate or create the RID Set object for the client DC. */<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">  serverObj := clientDsaObj!parent<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">  clientComputerObj := serverObj!serverReference<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">  if clientComputerObj!rIDSetReference = null then<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">    clientRidSetObj := An implementation defined DSName in the<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">        default NC such that not ObjExists(clientRidSetObj)<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">    Create object with DSName clientRidSetObject such that<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">        rIDSet in clientRidSetObject!objectClass<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">    /* Windows Behavior: Windows sets clientRidSetObj to be a child<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">     * of clientComputerObj. */<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">    clientComputerObj!rIDSetReference := clientRidSetObj<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">  else<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">    clientRidSetObj := clientComputerObj!rIDSetReference<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">  endif<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">  /* Get the current RID allocation for the client DC. */<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">  ridAllocLoHi := clientRidSetObj!rIDAllocationPool<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">  ridAvailHi := most significant 32 bits of ridAvailLoHi<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">  ridReqHi := most significant 32 bits of msgIn.liFsmoInfo<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">  if ridAllocLoHi = 0 or ridAvailHi = 0 or ridReqHi ™ ridAvailHi then<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">    /* The client DC has indeed exhausted its current allocation,<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">     * according to our records. */<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New""><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">    /* Get the range of RIDs that have not yet been allocated to any<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">     * DC. */<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">    ridAvailLoHi := fsmoObj!rIDAvailablePool<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">    ridAvailLo := least significant 32 bits of ridAvailLoHi<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">    ridAvailHi := most significant 32 bits of ridAvailLoHi<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New""><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">    /* Select a subset of the unallocated RIDs and allocate them to<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">     * the client. */<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">    Assign a value to ridAllocHi according to any implementation-<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">       defined policy such that ridAvailLo < ridAllocHi < ridAvailHi.<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">    /* Windows Behavior: By default, Windows sets ridAllocHi to<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">     * ridAvailLo + 500. */<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">    ridAllocLoHi := ridAvailLo as least significant 32 bits and<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">        ridAllocHi as most significant 32 bits<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">    ridAvailLo := ridAllocHi + 1<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">    ridAvailLoHi := ridAvailLo as least significant 32 bits and<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">        ridAvailHi as most significant 32 bits<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">    fsmoObj!rIDAvailablePool := ridAvailLoHi<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">    clientRidSetObj!rIDAllocationPool := ridAllocLoHi<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">    msgOut.liFsmoInfo := ridAllocLoHi<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">  endif<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN">…<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN"><o:p> </o:p></span></p>
<p class="MsoNormal"><span lang="EN">Thanks,<o:p></o:p></span></p>
<p class="MsoNormal"><span lang="EN">Edgar</span><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> Edgar Olougouna
<br>
<b>Sent:</b> Monday, October 07, 2013 11:37 AM<br>
<b>To:</b> Nadezhda Ivanova<br>
<b>Cc:</b> cifs-protocol@samba.org; MSSolve Case Email<br>
<b>Subject:</b> RE: [REG113100710843173]: Question about LDAP delete operation on Administrator and other built-in accounts<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Nadia,<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I will investigate this and follow-up.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Regards,<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Edgar<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<div>
<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif""> Bryan Burgin
<br>
<b>Sent:</b> Monday, October 07, 2013 11:25 AM<br>
<b>To:</b> Nadezhda Ivanova<br>
<b>Cc:</b> <a href="mailto:cifs-protocol@samba.org">cifs-protocol@samba.org</a>; MSSolve Case Email<br>
<b>Subject:</b> [REG113100710843173]: Question about LDAP delete operation on Administrator and other built-in accounts<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">[-dochelp; +casemail]<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Hi Nadezhda,<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Thank you for your question.  We created SR 113100710843173 to track this issue.  An engineer from the Protocols will contact you soon.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">Bryan<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">From:</span></b><span style="font-size:11.0pt;font-family:"Calibri","sans-serif"">
<a href="mailto:nivanova.samba@gmail.com">nivanova.samba@gmail.com</a> [<a href="mailto:nivanova.samba@gmail.com">mailto:nivanova.samba@gmail.com</a>]
<b>On Behalf Of </b>Nadezhda Ivanova<br>
<b>Sent:</b> Monday, October 7, 2013 5:55 AM<br>
<b>To:</b> Interoperability Documentation Help<br>
<b>Cc:</b> <a href="mailto:cifs-protocol@samba.org">cifs-protocol@samba.org</a><br>
<b>Subject:</b> Question about LDAP delete operation on Administrator and other built-in accounts<o:p></o:p></span></p>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<div>
<p class="MsoNormal">Hi,<o:p></o:p></p>
</div>
<p class="MsoNormal">At the I/O Lab we asked about the restrictions that apply on performing a delete operation on built-in accounts. To explain the correct behavior, Edgar kindly supplied the following references:
<br>
"<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN">3.1.1.5.5.1.1 Tombstone Requirements</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><a href="http://msdn.microsoft.com/en-us/library/cc223481.aspx" target="_blank">http://msdn.microsoft.com/en-us/library/cc223481.aspx</a><o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN">A protected object may not be deleted and transformed into a tombstone (see
<a href="http://msdn.microsoft.com/en-us/library/cc223483.aspx" target="_blank">Protected Objects (section
</a><a href="http://msdn.microsoft.com/en-us/library/cc223483.aspx" target="_blank">3.1.1.5.5.3</a><a href="http://msdn.microsoft.com/en-us/library/cc223483.aspx" target="_blank">)</a>).</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN">3.1.1.5.5.3 Protected Objects</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN"><a href="http://msdn.microsoft.com/en-us/library/cc223483.aspx" target="_blank">http://msdn.microsoft.com/en-us/library/cc223483.aspx</a></span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN">3.1.1.6.1.2 Protected Objects</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><a href="http://msdn.microsoft.com/en-us/library/dd240058.aspx" target="_blank">http://msdn.microsoft.com/en-us/library/dd240058.aspx</a><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">…<o:p></o:p></p>
<p style="margin-left:1.0in"><span lang="EN" style="font-size:10.0pt;font-family:"Courier New"">o</span><span lang="EN" style="font-size:7.0pt">  
</span><span lang="EN">well-known security principals:</span><o:p></o:p></p>
<p class="MsoNormal" style="margin-bottom:12.0pt"><span lang="EN" style="font-size:10.0pt;font-family:Wingdings">§</span><span lang="EN" style="font-size:7.0pt"> 
</span><span lang="EN">of class <a href="http://msdn.microsoft.com/en-us/library/cc221822.aspx" target="_blank">
user</a> with RID = DOMAIN_USER_RID_ADMIN</span><br>
<br>
"<o:p></o:p></p>
</div>
<p class="MsoNormal" style="margin-bottom:12.0pt">However, some testing revealed that the last reference which we hoped would explain why the Administrator should not be deleted, appears to not be relevant to the case. Delete operation on any built-in account
 or predefined domain rid returns LDAP error 80, and the group membership does not really affect the deletion of users or groups.<o:p></o:p></p>
</div>
<p class="MsoNormal" style="margin-bottom:12.0pt">So after some digging, I found this:<br>
<br>
<br>
<a href="http://msdn.microsoft.com/en-us/library/cc245803.aspx">http://msdn.microsoft.com/en-us/library/cc245803.aspx</a><o:p></o:p></p>
</div>
<p class="MsoNormal" style="margin-bottom:12.0pt">Namely: If the RID of U's <strong>
objectSid</strong> attribute value is less than 1000, an error MUST be returned.<o:p></o:p></p>
</div>
<p class="MsoNormal" style="margin-bottom:12.0pt">Could you please confirm that this is indeed the only restriction relevant to the case?<o:p></o:p></p>
</div>
<p class="MsoNormal">Best Regards,<o:p></o:p></p>
</div>
<p class="MsoNormal">Nadezhda Ivanova<o:p></o:p></p>
</div>
</div>
</body>
</html>