Active Directory には次の OU 構造があります。
-ドメイン
--無効なユーザー
--オフィスA
---セクター1
---セクター2
--オフィスB
---セクター1
---セクター2
私はフォローしましたこの記事はこちらユーザー オブジェクトの移動権限をグループに委任します。ソース OU「DisabledUsers」から宛先 OU「OfficeA/Sector1」への移動は正常に機能しました。
今回は「OfficeA」をソース OU および宛先 OU として同じ権限を設定しました。これにより、グループは「Sector1」から「Sector2」など、ある子 OU から別の子 OU にユーザーを移動できます。しかし、これは失敗し、アクセスが拒否されます。
これは、すべての権限を単一の OU のソースと宛先として設定したためでしょうか? よくわかりません。グループが 'OfficeA' の子 OU 間でユーザーを移動する必要があっただけです。
また、AD 操作をブロックしているものをより適切に追跡する方法はありますか? 「アクセスが拒否されました」と表示されるだけで、把握すべきプロパティが非常に多くあります...
答え1
ユーザー オブジェクトを移動するために必要な権限は次のとおりです: ソースのユーザーに対する削除権限、宛先のユーザーに対する作成権限
私が勤務したいくつかの企業では、ユーザーがオブジェクトを移動する前に削除しなければならない「削除拒否」ルールが設定されていました。
ユーザーに有効な削除権限があるかどうかを確認します。
ADUCが詳細モードで実行されていることを確認する
移動しようとしているオブジェクトを右クリックし、プロパティを選択します。
セキュリティタブで詳細設定をクリックします
有効な権限タブを移動する
移動を実行するユーザーを選択します
- 削除権限とユーザー削除権限を探します
権限のソースを識別するには:
権限タブに戻ります
タイプで並べ替え
拒否権限が存在するかどうかを確認します。継承元によって、権限が設定されている場所がわかります。
答え2
これは、すべての権限を単一の OU のソースと宛先として設定したためでしょうか?
はい、ほぼ間違いなく必要です。移動を実行するセキュリティ プリンシパルには、指定されたソース OU 上のユーザー オブジェクトを削除する権限 (およびその他のいくつかの権限) と、宛先 OU 上にユーザー オブジェクトを作成する権限が必要です。
範囲内の子 OU をカバーするのに十分なレベルでその権限を付与するか、各ソース/宛先 OU に権限を付与する必要があります。