这是我之前问过的这个问题的后续这里。尝试进行元数据清理,但每次我在有问题的 DC 上单击删除时,都会出现访问被拒绝的情况(在提示它是 GC 之后)。还有其他方法可以删除它吗?我已取消选中 OU 域控制器上的“防止意外删除”选项,将自己添加为企业管理员(已经是域管理员),并且通常会把我的玩具扔出床外。我是否错过了某个显而易见的步骤?我以为元数据清理的第一个过程是删除帐户,然后整理指向 DC 的 DNS 和 NTDS 位。
编辑:因此,通过 ADSIEdit 查看 NTDS 配额 OU 时,我注意到有人添加了“所有人 - 拒绝特殊权限 - 删除和删除子树”。这是配置的正常设置吗?
EDIT2:哦,等等,情况会好转。每个人都被分配了拒绝权限(针对各种属性),以从域控制器 OU 中删除。我猜这不是 AD 的正常安全做法?
答案1
检查域控制器对象上的 ACL,确保域管理员和企业管理员拥有适当的Full Control
ACE。还要检查以确保没有任何奇怪的拒绝 ACE。