我在 Active Directory 中有以下 OU 結構:
-領域
--停用用戶
--OfficeA
---Sector1
---Secotr2
--辦公室B
---扇區1
---扇區2
我已經關注了這篇文章在這裡將行動用戶物件的權限委託給群組。從來源 OU“DisabledUsers”移到目標 OU“OfficeA/Sector1”效果很好。
我設定了相同的權限,這次在「OfficeA」中作為來源和目標 OU,因此該群組可以將使用者從一個子 OU 移至另一個子 OU,例如從「Sector1」移至「Sector2」。但這失敗了,我的訪問被拒絕。
這是因為我將所有權限設定為單一 OU 中的來源和目標嗎?我實在想不通。我只需要該組在“OfficeA”的子 OU 之間移動用戶。
另外,有沒有一種方法可以更好地追蹤阻止 AD 操作的內容,它只是拋出“訪問被拒絕”,有很多屬性需要弄清楚...
答案1
行動用戶物件所需的權限包括: 刪除來源中使用者的權限 建立目標中使用者的權限
在我工作過的一些公司中,存在拒絕刪除規則,必須在使用者能夠移動物件之前將其刪除。
判斷使用者是否具有刪除有效權限:
確保 ADUC 在進階模式下運行
右鍵單擊您嘗試移動的物件並選擇屬性
在“安全性”標籤上,按一下“進階”
移動有效權限選項卡
選擇將執行移動的用戶
- 尋找刪除權限和刪除使用者權限
要識別權限的來源:
導航回“權限”選項卡
按類型排序
查看是否存在任何拒絕權限,繼承自會告訴您權限設定的位置。
答案2
這是因為我將所有權限設定為單一 OU 中的來源和目標嗎?
是的,幾乎可以肯定。執行移動的安全性主體需要在指定來源 OU 上刪除使用者物件的權限(以及其他幾個權限),以及在目標 OU 上建立使用者物件的權限。
您需要在足夠高的層級授予該權限,以涵蓋範圍內的子 OU,或向每個來源/目標 OU 授予權限。