我已将以下权限分配给父 OU 的用户组:允许创建/删除计算机对象允许读取允许写入所有属性。
现在,他们就可以像我预期的那样移动计算机对象了。但是,当他们第二次移动计算机对象时,他们没有这样做的权限。
我是否遗漏了什么?
答案1
由于不知道您的 OU 结构,我建议您检查以下事项:
- 允许 ACE 的“适用于”部分。它应该是“此文件夹、子文件夹和文件”
- 检查计算机帐户的“对象”选项卡中是否已选中“防止意外删除”。此复选框在对象的 ACL 中添加优先的明确 DENY ACE。
此外,据我所知,移动对象的用户应该在当前 OU 中具有“删除”权限。