Active Directory: Delegue permissão para mover usuários para outra UO filha. (mesma UO pai)

tag-icon tag-icon windows active-directory
Active Directory: Delegue permissão para mover usuários para outra UO filha. (mesma UO pai)

Eu tenho a seguinte estrutura de UO no Active Directory:

-Domínio

--DisabledUsers

--EscritórioA
---Setor1
---Secotr2

--EscritórioB
---Setor1
---Setor2

eu seguieste artigo aquipara delegar permissões de movimentação de objetos de usuário a um grupo. Mover da UO de origem 'DisabledUsers' para a UO de destino 'OfficeA/Sector1' funcionou bem.

Eu defini as mesmas permissões, desta vez em 'OfficeA' como sendo a UO de origem E destino, para que o grupo pudesse mover usuários de uma UO filha para outra, como de 'Setor1' para 'Setor2'. Mas isso falha, estou tendo acesso negado.

Isso ocorre porque defini todas as permissões como origem e destino em uma única UO? Eu realmente não consigo entender. Eu só precisava que o grupo movesse os usuários pelas UOs filhas do 'OfficeA'.

Além disso, existe uma maneira de rastrear melhor o que está bloqueando uma operação do AD, apenas lança "Acesso negado", há tantas propriedades para descobrir...

Responder1

As permissões necessárias para mover um objeto de usuário são: Excluir permissões em usuários na origem Criar permissões em usuários no destino

Em algumas empresas para as quais trabalhei, existe uma regra Negar exclusão que deve ser removida antes que o usuário possa mover objetos.

Determine se o usuário tem permissões efetivas de exclusão:

  1. Certifique-se de que o ADUC esteja sendo executado no modo avançado

  2. Clique com o botão direito no objeto que você está tentando mover e selecione propriedades

  3. Na guia Segurança, clique em avançado

  4. Mova a guia Permissões Efetivas

  5. Selecione o usuário que realizará a movimentação

  6. Procure a permissão Excluir e a permissão Excluir usuário

Para identificar a origem da permissão:

  1. Navegue de volta para a guia Permissões

  2. Classificar por tipo

  3. Veja se existe alguma permissão Negar, herdada de onde a permissão está definida.

Responder2

Isso ocorre porque defini todas as permissões como origem e destino em uma única UO?

Sim, quase certamente. As entidades de segurança que estão executando a movimentação precisam de permissão para excluir objetos de Usuário (e diversas outras permissões) nas UOs de origem especificadas e permissão para criar objetos de Usuário nas UOs de destino.

Você precisa conceder essa permissão em um nível alto o suficiente que cubra o escopo da UO filha ou conceder a permissão a cada UO de origem/destino.

informação relacionada