Невозможно переместить подразделение в Active Directory (доступ запрещен)

8

Фон

Я попытался переместить OU в Active Directory сегодня и получил ошибку Access is denied. После дальнейшей проверки моей учетной записи пользователя AD у меня было необходимое разрешение на перемещение объекта (у меня было полное разрешение на набор OU, с которыми я работал), и я несколько раз перемещал элементы в AD в течение своей ИТ-карьеры; это также делает немного странным, что я впервые столкнулся с этим, но тем не менее.

Что я пробовал

  • Предоставление моей индивидуальной учетной записи пользователя AD разрешения отдельным подразделениям, а не только группе безопасности AD, частью которой я был, уже имел разрешение для подразделений
  • Использование учетной записи администратора домена, чтобы попробовать переместить
  • Сброс пароля моей учетной записи пользователя, затем выход из системы, открытие AD и перемещение OU
  • Попытка подключения к другому контроллеру домена и выполнения перемещения
  • Попытка подключения к AD через другой сервер с установленным RSAT и выполнение перемещения

Все это закончилось безуспешно.

Вопрос

Почему я не могу переместить подразделение в Active Directory в другое подразделение, если у меня есть полное разрешение на оба подразделения?

windows active-directory windows-server-2008-r2 windows-server-2012 windows-server-2012-r2 Брэд Бушар
источник

Ответы:

14

Хотя существует несколько постов, посвященных защите от случайного удаления, ACE / ACL, разрешениям и перемещениям / удалениям в целом, я не смог найти ни одного, касающегося моей конкретной проблемы, какой бы простой она ни была.

Ответ

Если при получении доступа к OU, на которое вы знаете, у вас есть разрешение, вам отказано в доступе , просто выполните следующие действия:

  1. Щелкните правой кнопкой мыши на подразделении или объекте, о котором идет речь, и выберите «Свойства».
  2. Отсюда перейдите на вкладку «Объект»; если вы не видите вкладку «Объект», нажмите «Вид» в верхнем меню файла и выберите «Дополнительные функции», затем повторите шаг 1.
  3. На вкладке «Объект» вы увидите опцию «Защита объекта от случайного удаления». Если это проверено, просто снимите флажок.

введите описание изображения здесь

  1. Переместите OU в нужное место
  2. Повторите шаги 1 и 2, а затем установите флажок, чтобы снова включить защиту от удаления для объекта.

Microsoft рассматривает перемещение как удаление в AD, поэтому, даже если вы технически не удаляете OU, операция по его перемещению подразумевает удаление объекта в процессе, и поэтому вы не можете переместить его, даже если ваша учетная запись пользователя может иметь полный контроль над этим конкретным OU / Object в AD. Надеюсь, это поможет любому биться головой о стену, как я.

Брэд Бушар
источник
Должен признать, это было первое, о чем я тоже подумал. Надеюсь, что исправить это так просто.
Райан Райс
4
Также не забудьте сначала включить расширенный просмотр в ADUC.
Райан Райс
@RyanRies Correct; это шаг 2 моего ответа, но, тем не менее, хорошее напоминание.
Брэд Бушар
Это была моя первая мысль.
Joeqwerty