无法在 Active Directory 中移动 OU（访问被拒绝）

Question

背景

我今天尝试在 Active Directory 中移动 OU 并收到拒绝访问错误。 进一步检查我的 AD 用户帐户后，我获得了移动对象的必要权限（我对正在使用的一组 OU 拥有完全权限），并且在我的 IT 职业生涯中，我在 AD 中多次移动了项目；这也让我第一次遇到这个问题有点奇怪，但仍然如此。

我试过的

• 为我的个人 AD 用户帐户授予对特定 OU 的权限，而不仅仅是 AD 安全组，我是其中的一部分，已经对 OU 拥有权限
• 使用域管理员帐户尝试移动
• 重置我的用户帐户密码，然后注销并打开并打开 AD 并移动 OU
• 尝试连接到不同的域控制器并执行移动
• 尝试通过安装了 RSAT 的不同服务器连接到 AD 并执行移动

所有这些都以失败告终。

问题

当我对两个 OU 拥有完全权限时，为什么不能将 Active Directory 中的一个 OU 移动到另一个 OU？

Answer 1

尽管有多个帖子涉及意外删除保护、ACE/ACL、权限和一般移动/删除，但我找不到一个处理我的具体问题的帖子，无论它可能多么简单。

回答

如果您在尝试移动您知道自己有权访问的 OU 时遇到访问被拒绝，只需执行以下步骤：

1. 右键单击有问题的 OU 或对象，然后选择“属性”
2. 从这里导航到对象选项卡；如果您没有看到“对象”选项卡，请单击顶部文件菜单上的“查看”并选择“高级功能”，然后重复步骤 1。
3. 在“对象”选项卡上，您将看到“保护对象免遭意外删除”的选项。如果它被选中，只需取消选中它。

4. 将 OU 移动到所需位置
5. 重复步骤 1 和 2，然后选中该框以再次启用对象的删除保护。

Microsoft 将移动视为 AD 中的删除，因此即使您没有在技术上删除 OU，移动它的操作也意味着删除过程中的对象，这就是为什么即使您的用户帐户也无法移动它可以完全控制 AD 中的特定 OU/对象。希望这可以帮助任何像我一样用头撞墙的人。