Active Directory: Delegieren Sie die Berechtigung zum Verschieben von Benutzern in eine andere untergeordnete Organisationseinheit (dieselbe übergeordnete Organisationseinheit).

Zum Verschieben eines Benutzerobjekts sind folgende Berechtigungen erforderlich: Löschberechtigungen für Benutzer in der Quelle Erstellenberechtigungen für Benutzer im Ziel

In einigen Unternehmen, für die ich gearbeitet habe, gilt eine Regel zum Verweigern des Löschens, die entfernt werden muss, bevor der Benutzer Objekte verschieben kann.

Stellen Sie fest, ob der Benutzer über wirksame Löschberechtigungen verfügt:

1. Stellen Sie sicher, dass ADUC im erweiterten Modus ausgeführt wird

2. Klicken Sie mit der rechten Maustaste auf das Objekt, das Sie verschieben möchten, und wählen Sie Eigenschaften

3. Klicken Sie auf der Registerkarte Sicherheit auf Erweitert

4. Verschieben Sie die Registerkarte Effektive Berechtigungen

5. Wählen Sie den Benutzer aus, der den Umzug durchführen wird

6. Suchen Sie nach der Berechtigung „Löschen“ und der Berechtigung „Benutzer löschen“

So ermitteln Sie die Quelle der Berechtigung:

1. Navigieren Sie zurück zur Registerkarte „Berechtigungen“

2. Nach Typ sortieren

3. Prüfen Sie, ob Verweigerungsberechtigungen vorhanden sind. Unter „Geerbt von“ erfahren Sie, wo die Berechtigung festgelegt ist.

Liegt das daran, dass ich alle Berechtigungen als Quelle und Ziel in einer einzigen Organisationseinheit festgelegt habe?

Ja, mit ziemlicher Sicherheit. Die Sicherheitsprinzipale, die die Verschiebung durchführen, benötigen die Berechtigung zum Löschen von Benutzerobjekten (und mehrere andere Berechtigungen) in den angegebenen Quell-OUs sowie die Berechtigung zum Erstellen von Benutzerobjekten in den Ziel-OUs.

Sie müssen diese Berechtigung auf einer ausreichend hohen Ebene erteilen, sodass sie die untergeordneten Organisationseinheiten im Geltungsbereich abdeckt, oder Sie müssen die Berechtigung jeder Quell-/Ziel-Organisationseinheit erteilen.