我们团队在管理Active Directory域的时候，为了限制普通用户查看或修改AD对象，已经在AD Users and Computers里禁用了他们的相关权限。现在我们想进一步收紧权限——只让特定账户拥有修改权限，但卡在了SYSTEM账户这里：不确定能不能移除它的权限。

之前查过官方文档，里面明确说不要移除SYSTEM账户的权限，因为Windows操作系统的大量服务和核心进程都依赖它才能正常运行，但这些说明都是针对本地计算机环境的，完全没提到Active Directory相关的场景。

我现在有两个困惑：一是为什么SYSTEM账户需要在Active Directory中拥有完全控制权限；二是最关键的问题：

• 要是真把SYSTEM账户在AD Users and Computers里的权限移除了，会带来哪些具体后果？

备注：内容来源于stack exchange，提问作者Research Guy IT