Active Directory: 사용자를 다른 하위 OU로 이동할 수 있는 권한을 위임합니다. (동일한 상위 OU)

Active Directory: 사용자를 다른 하위 OU로 이동할 수 있는 권한을 위임합니다. (동일한 상위 OU)

Active Directory에는 다음과 같은 OU 구조가 있습니다.

-도메인

--DisabledUsers

--OfficeA
---섹터1
---Secotr2

--OfficeB
---섹터1
---섹터2

나는 팔로우했다이 글은 여기사용자 개체 이동 권한을 그룹에 위임합니다. 원본 OU 'DisabledUsers'에서 대상 OU 'OfficeA/Sector1'로 이동하는 데 문제가 없었습니다.

이번에는 'OfficeA'에서 원본 및 대상 OU로 동일한 권한을 설정했습니다. 따라서 그룹은 'Sector1'에서 'Sector2'로와 같이 사용자를 하나의 하위 OU에서 다른 하위 OU로 이동할 수 있습니다. 하지만 이것이 실패하면 Acess Denied가 발생합니다.

단일 OU에서 모든 권한을 소스 및 대상으로 설정했기 때문입니까? 나는 그것을 정말로 이해할 수 없다. 방금 'OfficeA'의 하위 OU 주위로 사용자를 이동하는 그룹이 필요했습니다.

또한 AD 작업을 차단하는 요소를 더 잘 추적할 수 있는 방법이 있습니까? "액세스 거부됨"이 발생합니다. 알아내야 할 속성이 너무 많습니다...

답변1

사용자 개체를 이동하는 데 필요한 권한은 다음과 같습니다. 원본 사용자에 대한 삭제 권한 대상 사용자에 대한 생성 권한

제가 근무했던 일부 회사에서는 사용자가 개체를 이동하기 전에 제거해야 하는 삭제 거부 규칙이 마련되어 있습니다.

사용자에게 삭제 유효 권한이 있는지 확인합니다.

  1. ADUC가 고급 모드에서 실행되고 있는지 확인하세요.

  2. 이동하려는 개체를 마우스 오른쪽 버튼으로 클릭하고 속성을 선택합니다.

  3. 보안 탭에서 고급을 클릭하세요.

  4. 유효 사용 권한 탭 이동

  5. 이동을 수행할 사용자를 선택하세요.

  6. 삭제 권한 및 사용자 삭제 권한을 찾으세요.

권한의 소스를 식별하려면 다음을 수행하십시오.

  1. 권한 탭으로 다시 이동하세요.

  2. 유형별 정렬

  3. 거부 권한이 있는지 확인하세요. 상속된 권한이 권한이 설정된 위치를 알려줍니다.

답변2

단일 OU에서 모든 권한을 소스 및 대상으로 설정했기 때문입니까?

네, 거의 확실합니다. 이동을 수행하는 보안 주체에는 지정된 원본 OU에서 사용자 개체(및 기타 여러 권한)를 삭제할 수 있는 권한과 대상 OU에서 사용자 개체를 만들 수 있는 권한이 필요합니다.

범위 내 하위 OU를 포괄하는 충분히 높은 수준에서 해당 권한을 부여하거나 각 원본/대상 OU에 권한을 부여해야 합니다.

관련 정보