无法删除 Active Directory 对象
jes*_*var 3 permissions active-directory access-control-list
几天来我一直试图解开这个谜团,但我想我已经走到了尽头。
我们已将用户创建和管理委托给一个组。此权限应用于祖父 OU 并继承到父 OU 和子 OU,它们包括除完全控制和删除之外的所有内容(尽管标记了删除子树)。
组中的用户可以在所有 OU 上创建和修改用户,但是,他们只能从子 OU(最后一级)中删除用户。如果他们尝试从其他 OU 中删除用户,则会收到拒绝访问错误。
我已经检查过的事情:
- 未选中“保护对象免受意外删除”。
- 使用来自不同OU的对象的有效权限进行比较,它们是相同的,不包括删除权限,但包括删除子树权限。
- 使用dsacls.exe导出来自不同 OU 的用户的 ACL 。这些文件是相同的。
到目前为止我见过的奇怪的事情:
- 在根 OU 上有一个明确的拒绝删除(适用于后代用户对象)。这不应该也阻止从子 OU 中删除用户吗?
我猜这与删除子树权限有关,但我没有找到太多关于它的信息。再多一点,域功能级别是 2008 R2,如果有帮助的话。
您的问题是Deny delete“根”(正确称为“祖父”)OU 中明确定义的权限,删除它应该可以解决您的问题。很难遵循确切的 OU 结构,哪些权限是明确的,哪些权限是从您的描述中继承而来的(一张图片值一千字),但对我来说,这听起来像:
Deny delete根/祖父 OU 中有一个显式。它仅对根中的对象起作用,并且向下一级。
这将是因为:
- 该
Denydelete只适用于子对象的第一级(所以它是由父OU继承,但不是子OU),或 - 第二级后代对象(在子 OU 中)具有
Allowdelete更高优先级的权限。
要解决此问题并允许您的组删除您要删除的对象,请Deny delete在根 OU 中删除权限,或将其设置为仅应用于 OU 对象(而非其后代对象)。
这是有关 NTFS 中权限优先级信息的便捷链接(也适用于 AD 权限):
以下是解决权限冲突的一些规则:
- “拒绝”权限通常优先于“允许”权限。
- 直接应用于对象的权限(显式权限)优先于从父级(例如从组)继承的权限。
- 从近亲继承的权限优先于从远亲继承的权限。因此,从对象的父文件夹继承的权限优先于从对象的“祖父”文件夹继承的权限,依此类推。
- 来自同一级别的不同用户组的权限(直接设置或继承,以及“拒绝”或“允许”)是累积的。因此,如果用户是两个组的成员,其中一个具有“读取”的“允许”权限,另一个具有“写入”的“允许”权限,则该用户将同时具有读取和写入权限——取决于当然,上述其他规则。
尽管拒绝权限通常优先于允许权限,但情况并非总是如此。明确的“允许”权限可以优先于继承的“拒绝”权限。
权限的优先级层次可以总结如下,较高优先级的权限列在列表的顶部:
- 明确拒绝
- 明确允许
- 继承拒绝
- 继承允许
也是真的:
除非已向文件夹授予完全控制权限,否则文件权限会覆盖文件夹权限。
| 归档时间: |
|
| 查看次数: |
11994 次 |
| 最近记录: |