Active Directory: delegue permiso para mover usuarios a otra unidad organizativa secundaria. (misma unidad organizativa principal)

Los permisos necesarios para mover un objeto de usuario son: Eliminar permisos de usuarios en el origen Crear permisos de usuarios en el destino

En algunas empresas para las que he trabajado, existe una regla Denegar eliminación que debe eliminarse antes de que el usuario pueda mover objetos.

Determine si el usuario tiene permisos efectivos para eliminar:

1. Asegúrese de que ADUC se esté ejecutando en modo avanzado

2. Haga clic derecho en el objeto que está intentando mover y seleccione propiedades

3. En la pestaña Seguridad, haga clic en avanzado

4. Mover la pestaña Permisos efectivos

5. Seleccione el usuario que realizará el movimiento.

6. Busque el permiso Eliminar y el permiso Eliminar usuario.

Para identificar la fuente del permiso:

1. Vuelva a la pestaña Permisos

2. Ordenar por tipo

3. Vea si existe algún permiso Denegar, heredado de le indicará dónde está establecido el permiso.

¿Esto se debe a que configuro todos los permisos como origen y destino en una única unidad organizativa?

Sí, casi con certeza. Las entidades principales de seguridad que realizan el movimiento necesitan permiso para eliminar objetos de usuario (y varios otros permisos) en las unidades organizativas de origen especificadas y permiso para crear objetos de usuario en las unidades organizativas de destino.

Debe otorgar ese permiso en un nivel suficientemente alto que cubra el alcance de la unidad organizativa secundaria, o otorgar el permiso a cada unidad organizativa de origen/destino.