背景
我今天尝试在 Active Directory 中移动一个 OU,并收到访问被拒绝错误。 进一步检查我的 AD 用户帐户后,我发现我拥有移动该对象的必要权限(我对我正在处理的 OU 集拥有完全权限),并且在我的 IT 职业生涯中,我曾多次在 AD 中移动过项目;这也让我第一次遇到这种情况有点奇怪,但无论如何。
我尝试过
- 将我的个人 AD 用户帐户权限授予特定的 OU,而不是只授予我所属的 AD 安全组权限(该组已拥有 OU 权限)
- 使用域管理员帐户尝试移动
- 重置我的用户帐户密码,然后注销并重新登录,打开 AD 并移动 OU
- 尝试连接到不同的域控制器并执行移动
- 尝试通过安装了 RSAT 的其他服务器连接到 AD 并执行移动
所有这些都没有成功。
问题
当我对两个 OU 都拥有完全权限时,为什么我不能将 Active Directory 中的一个 OU 移动到另一个 OU?
答案1
虽然有多个帖子涉及意外删除保护、ACE/ACL、权限以及一般的移动/删除,但我找不到一个可以解决我的具体问题的帖子,无论它多么简单。
回答
如果你得到一个访问被拒绝当尝试移动您知道您有权限的 OU 时,只需按照以下步骤操作:
- 右键单击相关 OU 或对象,然后选择“属性”
- 从这里导航到“对象”选项卡;如果您没有看到“对象”选项卡,请单击顶部文件菜单上的“查看”,并选择“高级功能”,然后重复步骤 1。
- 在“对象”选项卡上,您将看到一个选项“保护对象免遭意外删除”。如果已选中,只需取消选中即可。
- 将 OU 移动到所需位置
- 重复步骤 1 和 2,然后选中复选框以再次启用对象的删除保护。
Microsoft 将移动视为 AD 中的删除,因此即使您从技术上讲没有删除 OU,移动操作也意味着删除过程中的对象,这就是为什么您无法移动它,即使您的用户帐户可能完全控制 AD 中的特定 OU/对象。希望这能帮助任何像我一样碰壁的人。