Active Directory:委派将用户移动到另一个子 OU 的权限。(相同的父 OU)

Active Directory:委派将用户移动到另一个子 OU 的权限。(相同的父 OU)

我在 Active Directory 中具有以下 OU 结构:

-领域

--DisabledUsers

--办公室A
---区域1
---区域2

--办公室B
---区域1
---区域2

我已经关注这篇文章将移动用户对象的权限委托给组。从源 OU“DisabledUsers”移动到目标 OU“OfficeA/Sector1”工作正常。

我设置了相同的权限,这次在“OfficeA”中作为源和目标 OU,因此该组可以将用户从一个子 OU 移动到另一个子 OU,例如从“Sector1”移动至“Sector2”。但这失败了,我收到“访问被拒绝”的提示。

这是因为我将所有权限设置为单个 OU 中的源和目标吗?我真的搞不懂。我只是需要该组在“OfficeA”的子 OU 之间移动用户。

此外,有没有办法更好地追踪阻止 AD 操作的原因,它只是抛出“访问被拒绝”,有太多属性需要弄清楚......

答案1

移动用户对象所需的权限包括:删除源中用户的权限创建目标中用户的权限

在我曾工作过的一些公司中,存在拒绝删除规则,用户必须先删除该规则,然后用户才能移动对象。

判断用户是否具有删除有效权限:

  1. 确保 ADUC 在高级模式下运行

  2. 右键单击您尝试移动的对象并选择属性

  3. 在“安全”选项卡上,单击“高级”

  4. 移动“有效权限”选项卡

  5. 选择将执行移动的用户

  6. 查找删除权限和删除用户权限

识别权限的来源:

  1. 返回“权限”选项卡

  2. 按类型排序

  3. 查看是否存在任何拒绝权限,继承自将告诉您权限设置的位置。

答案2

这是因为我在单个 OU 中将所有权限设置为源和目标吗?

是的,几乎可以肯定。执行移动的安全主体需要具有在指定源 OU 上删除用户对象的权限(以及其他几个权限),以及在目标 OU 上创建用户对象的权限。

您需要在足够高的级别授予该权限以涵盖范围内的子 OU,或者向每个源/目标 OU 授予该权限。

相关内容