Tengo la siguiente estructura OU en Active Directory:
-Dominio
--Usuarios discapacitados
--OficinaA
---Sector1
---Secotr2
--OficinaB
---Sector1
---Sector2
he seguidoeste artículo aquípara delegar permisos para mover objetos de usuario a un grupo. Pasar de la unidad organizativa de origen 'DisabledUsers' a la unidad organizativa de destino 'OfficeA/Sector1' funcionó bien.
Establecí los mismos permisos, esta vez en 'OfficeA' como la unidad organizativa de origen Y de destino, para que el grupo pueda mover usuarios de una unidad organizativa secundaria a otra, como del 'Sector1' al 'Sector2'. Pero esto falla y obtengo acceso denegado.
¿Esto se debe a que configuro todos los permisos como origen y destino en una única unidad organizativa? Realmente no puedo entenderlo. Solo necesitaba que el grupo moviera a los usuarios entre las unidades organizativas secundarias de 'OfficeA'.
Además, ¿hay alguna manera de realizar un mejor seguimiento de lo que bloquea una operación de AD? Simplemente arroja "Acceso denegado", hay MUCHAS propiedades que descubrir...
Respuesta1
Los permisos necesarios para mover un objeto de usuario son: Eliminar permisos de usuarios en el origen Crear permisos de usuarios en el destino
En algunas empresas para las que he trabajado, existe una regla Denegar eliminación que debe eliminarse antes de que el usuario pueda mover objetos.
Determine si el usuario tiene permisos efectivos para eliminar:
Asegúrese de que ADUC se esté ejecutando en modo avanzado
Haga clic derecho en el objeto que está intentando mover y seleccione propiedades
En la pestaña Seguridad, haga clic en avanzado
Mover la pestaña Permisos efectivos
Seleccione el usuario que realizará el movimiento.
- Busque el permiso Eliminar y el permiso Eliminar usuario.
Para identificar la fuente del permiso:
Vuelva a la pestaña Permisos
Ordenar por tipo
Vea si existe algún permiso Denegar, heredado de le indicará dónde está establecido el permiso.
Respuesta2
¿Esto se debe a que configuro todos los permisos como origen y destino en una única unidad organizativa?
Sí, casi con certeza. Las entidades principales de seguridad que realizan el movimiento necesitan permiso para eliminar objetos de usuario (y varios otros permisos) en las unidades organizativas de origen especificadas y permiso para crear objetos de usuario en las unidades organizativas de destino.
Debe otorgar ese permiso en un nivel suficientemente alto que cubra el alcance de la unidad organizativa secundaria, o otorgar el permiso a cada unidad organizativa de origen/destino.