几天来我一直在尝试解决这个谜团,但我认为我走进了死胡同。
我们已将用户创建和管理委托给一个组。此权限适用于祖父 OU,并继承给父 OU 和子 OU,它们包括除以下内容之外的所有内容完全控制和删除(删除子树已标记)。
组中的用户可以创建和修改所有 OU 上的用户,但他们只能删除子 OU(最后一级)上的用户。如果他们尝试删除其他 OU 上的用户,则会收到拒绝访问错误。
我已经检查过的事情:
- 未选中“保护对象免遭意外删除”。
- 使用来自不同 OU 的对象比较有效权限,它们是相同的,不包括删除权限,但包括删除子树权限。
- 使用以下方式导出不同 OU 用户的 ACL进程管理器. 文件完全相同。
我迄今见过的奇怪的事情:
- 在根 OU 上有一个明确的拒绝删除(适用于后代用户对象)。这是否也应该阻止从子 OU 中删除用户?
我猜这与删除子树权限,但我没有找到太多相关信息。再补充一点,域功能级别是 2008 R2,如果有帮助的话。
答案1
您的问题是Deny delete“根”(正确的说法是“祖父母”)OU 中明确定义的权限,删除它应该可以解决您的问题。很难从您的描述中看出确切的 OU 结构以及哪些权限是明确的以及哪些权限是继承的(一张图片胜过千言万语),但在我看来,这听起来像是:
根/祖父母 OU 中有一个显式的Deny delete。它仅对根和下一级的对象起作用。
这可能是因为:
- 仅
Denydelete适用于第一级后代对象(因此它由父 OU 继承,但不由子 OU 继承),或者 - 第二级后代对象(在子 OU 中)具有
Allowdelete更高优先级的权限。
要解决该问题并允许您的组删除您想要删除的对象,请删除Deny delete根 OU 处的权限,或将其设置为仅适用于 OU 对象(而不是其后代对象)。
以下是有关 NTFS 中权限优先级的信息的便捷链接(这也适用于 AD 权限):
以下是解决权限冲突的一些规则:
- “拒绝”权限通常优先于“允许”权限。
- 直接应用于对象的权限(显式权限)优先于从父级(例如从组)继承的权限。
- 从近亲继承的权限优先于从远亲继承的权限。因此,从对象的父文件夹继承的权限优先于从对象的“祖父”文件夹继承的权限,依此类推。
- 来自不同用户组的权限(就直接设置或继承而言,以及就“拒绝”或“允许”而言)是累积的。因此,如果用户是两个组的成员,其中一个组的“允许”权限为“读取”,另一个组的“允许”权限为“写入”,则该用户将同时拥有读取和写入权限 - 当然,这取决于上述其他规则。
尽管拒绝权限通常优先于允许权限,但情况并非总是如此。显式“允许”权限可以优先于继承的“拒绝”权限。
权限的优先等级可以概括如下,优先级较高的权限列在列表顶部:
- 明确拒绝
- 明确允许
- 继承拒绝
- 继承允许
同样如此:
文件权限会覆盖文件夹权限,除非已授予文件夹完全控制权限。