我在 Active Directory 中具有以下 OU 结构:
-领域
--DisabledUsers
--办公室A
---区域1
---区域2
--办公室B
---区域1
---区域2
我已经关注这篇文章将移动用户对象的权限委托给组。从源 OU“DisabledUsers”移动到目标 OU“OfficeA/Sector1”工作正常。
我设置了相同的权限,这次在“OfficeA”中作为源和目标 OU,因此该组可以将用户从一个子 OU 移动到另一个子 OU,例如从“Sector1”移动至“Sector2”。但这失败了,我收到“访问被拒绝”的提示。
这是因为我将所有权限设置为单个 OU 中的源和目标吗?我真的搞不懂。我只是需要该组在“OfficeA”的子 OU 之间移动用户。
此外,有没有办法更好地追踪阻止 AD 操作的原因,它只是抛出“访问被拒绝”,有太多属性需要弄清楚......
答案1
移动用户对象所需的权限包括:删除源中用户的权限创建目标中用户的权限
在我曾工作过的一些公司中,存在拒绝删除规则,用户必须先删除该规则,然后用户才能移动对象。
判断用户是否具有删除有效权限:
确保 ADUC 在高级模式下运行
右键单击您尝试移动的对象并选择属性
在“安全”选项卡上,单击“高级”
移动“有效权限”选项卡
选择将执行移动的用户
- 查找删除权限和删除用户权限
识别权限的来源:
返回“权限”选项卡
按类型排序
查看是否存在任何拒绝权限,继承自将告诉您权限设置的位置。
答案2
这是因为我在单个 OU 中将所有权限设置为源和目标吗?
是的,几乎可以肯定。执行移动的安全主体需要具有在指定源 OU 上删除用户对象的权限(以及其他几个权限),以及在目标 OU 上创建用户对象的权限。
您需要在足够高的级别授予该权限以涵盖范围内的子 OU,或者向每个源/目标 OU 授予该权限。