Ich habe die folgende OU-Struktur im Active Directory:
-Domain
--DisabledUsers
--BüroA
---Sektor1
---Sektor2
--BüroB
---Sektor1
---Sektor2
Ich bin gefolgtdieser Artikel hierum Berechtigungen zum Verschieben von Benutzerobjekten an eine Gruppe zu delegieren. Das Verschieben von der Quell-OU „DisabledUsers“ zur Ziel-OU „OfficeA/Sector1“ hat problemlos funktioniert.
Ich habe die gleichen Berechtigungen festgelegt, diesmal in „OfficeA“ als Quell- UND Ziel-OU, sodass die Gruppe Benutzer von einer untergeordneten OU in eine andere verschieben kann, z. B. von „Sector1“ nach „Sector2“. Aber das schlägt fehl, ich erhalte die Meldung „Zugriff verweigert“.
Liegt das daran, dass ich alle Berechtigungen als Quelle und Ziel in einer einzigen Organisationseinheit festgelegt habe? Ich komme nicht wirklich dahinter. Ich brauchte die Gruppe nur, um Benutzer zwischen untergeordneten Organisationseinheiten von „OfficeA“ zu verschieben.
Gibt es außerdem eine Möglichkeit, besser zu verfolgen, was einen AD-Vorgang blockiert? Es wird nur „Zugriff verweigert“ ausgegeben. Es gibt SO viele Eigenschaften, die man herausfinden muss …
Antwort1
Zum Verschieben eines Benutzerobjekts sind folgende Berechtigungen erforderlich: Löschberechtigungen für Benutzer in der Quelle Erstellenberechtigungen für Benutzer im Ziel
In einigen Unternehmen, für die ich gearbeitet habe, gilt eine Regel zum Verweigern des Löschens, die entfernt werden muss, bevor der Benutzer Objekte verschieben kann.
Stellen Sie fest, ob der Benutzer über wirksame Löschberechtigungen verfügt:
Stellen Sie sicher, dass ADUC im erweiterten Modus ausgeführt wird
Klicken Sie mit der rechten Maustaste auf das Objekt, das Sie verschieben möchten, und wählen Sie Eigenschaften
Klicken Sie auf der Registerkarte Sicherheit auf Erweitert
Verschieben Sie die Registerkarte Effektive Berechtigungen
Wählen Sie den Benutzer aus, der den Umzug durchführen wird
- Suchen Sie nach der Berechtigung „Löschen“ und der Berechtigung „Benutzer löschen“
So ermitteln Sie die Quelle der Berechtigung:
Navigieren Sie zurück zur Registerkarte „Berechtigungen“
Nach Typ sortieren
Prüfen Sie, ob Verweigerungsberechtigungen vorhanden sind. Unter „Geerbt von“ erfahren Sie, wo die Berechtigung festgelegt ist.
Antwort2
Liegt das daran, dass ich alle Berechtigungen als Quelle und Ziel in einer einzigen Organisationseinheit festgelegt habe?
Ja, mit ziemlicher Sicherheit. Die Sicherheitsprinzipale, die die Verschiebung durchführen, benötigen die Berechtigung zum Löschen von Benutzerobjekten (und mehrere andere Berechtigungen) in den angegebenen Quell-OUs sowie die Berechtigung zum Erstellen von Benutzerobjekten in den Ziel-OUs.
Sie müssen diese Berechtigung auf einer ausreichend hohen Ebene erteilen, sodass sie die untergeordneten Organisationseinheiten im Geltungsbereich abdeckt, oder Sie müssen die Berechtigung jeder Quell-/Ziel-Organisationseinheit erteilen.