Active Directory 权限:删除与移动
Fëa*_*nor 5 permissions active-directory delegation
我希望我们的帮助台能够移动用户帐户但不能删除它们。以下是我们在受影响的 OU 上设置的当前权限的摘要(这确实允许他们删除用户帐户):
- 允许 - 完全控制 - 后代用户对象
- 允许 - 创建/删除用户对象 - 此对象和所有后代对象
如果我通过编辑 ACE 并取消选中“删除”框来更改第一行,我会得到我想要的帮助台无法删除用户对象的结果。但是,当他们尝试在 OU 之间移动用户时,他们会收到拒绝访问错误。
我想要的可能吗?微软真的没有区分移动和删除吗?
vor*_*aq7 10
从逻辑上讲,“移动”是一个副本(或用文件系统的说法是硬链接),然后是删除:如果无法将其从原始位置删除,则无法移动它。
所以不,微软不区分“移动”和“删除”,因为为了做前者,你必须,必须,做后者。
如果您想防止意外删除 AD 中的用户帐户/对象,您可以"Protect object from accidental deletion"在 ADUC 中用户的“对象”选项卡上手动将它们设置为:
或者您可以一次性为 AD 中的每个用户对象编写脚本:
Get-ADObject -filter {(ObjectClass -eq "user")} | Set-ADObject -ProtectedFromAccidentalDeletion:$true
- 这里有必要的委托参数的一个很好的总结:http://social.technet.microsoft.com/wiki/contents/articles/20747.delegate-moving-user-group-and-computer-accounts-between-organizational-units -in-active-directory.aspx (2认同)
| 归档时间: |
|
| 查看次数: |
3714 次 |
| 最近记录: |