Active Directory: делегирование разрешения на перемещение пользователей в другое дочернее подразделение (то же родительское подразделение).

tag-icon tag-icon windows active-directory
Active Directory: делегирование разрешения на перемещение пользователей в другое дочернее подразделение (то же родительское подразделение).

У меня в Active Directory следующая структура OU:

-Домен

--Отключенные пользователи

--ОфисA
---Сектор1
---Сектотр2

--ОфисB
---Сектор1
---Сектор2

Я следилэта статья здесьдля делегирования разрешений на перемещение объектов пользователей группе. Перемещение из исходного OU 'DisabledUsers' в целевой OU 'OfficeA/Sector1' прошло нормально.

Я установил те же разрешения, на этот раз в «OfficeA» как в исходном И целевом OU, так что группа может перемещать пользователей из одного дочернего OU в другой, например из «Sector1» в «Sector2». Но это не удается, я получаю сообщение «Доступ запрещен».

Это потому, что я установил все разрешения как источник и назначение в одном OU? Я не могу понять. Мне просто нужна была группа для перемещения пользователей по дочерним OU 'OfficeA'.

Кроме того, есть ли способ лучше отслеживать, что блокирует операцию AD, а то просто выдает сообщение «Доступ запрещен», нужно выяснить ТАК МНОГО свойств...

решение1

Для перемещения объекта пользователя требуются следующие разрешения: Удаление разрешений для пользователей в исходном объекте Создание разрешений для пользователей в конечном объекте

В некоторых компаниях, где я работал, действует правило «Запретить удаление», которое необходимо удалить, прежде чем пользователь сможет перемещать объекты.

Определите, имеет ли пользователь действующие разрешения на удаление:

  1. Убедитесь, что ADUC работает в расширенном режиме.

  2. Щелкните правой кнопкой мыши по объекту, который вы пытаетесь переместить, и выберите «Свойства».

  3. На вкладке «Безопасность» нажмите «Дополнительно».

  4. Переместить вкладку «Действующие разрешения»

  5. Выберите пользователя, который будет выполнять перемещение.

  6. Найдите разрешение «Удалить» и разрешение «Удалить пользователя».

Чтобы определить источник разрешения:

  1. Вернитесь на вкладку «Разрешения».

  2. Сортировать по типу

  3. Посмотрите, существуют ли какие-либо разрешения Deny, унаследованные от подскажут вам, где установлено разрешение.

решение2

Это потому, что я установил все разрешения как источник и назначение в одном OU?

Да, почти наверняка. Субъектам безопасности, которые выполняют перемещение, необходимо разрешение на удаление объектов User (и несколько других разрешений) в указанных исходных OU, а также разрешение на создание объектов User в целевых OU.

Вам необходимо предоставить это разрешение на достаточно высоком уровне, который охватывает дочерние OU, или предоставить разрешение каждому исходному/целевому OU.

Связанный контент