Active-Directory

Active Directory 權限:刪除與移動

  • November 22, 2015

我希望我們的幫助台能夠移動使用者帳戶但不能刪除它們。以下是我們目前對受影響 OU 設置的權限的摘要(這確實允許他們刪除使用者帳戶):

  • 允許 - 完全控制 - 後代使用者對象
  • 允許 - 創建/刪除使用者對象 - 此對象和所有後代對象

如果我通過編輯 ACE 並取消選中“刪除”框來更改該頂行,我會得到我想要的幫助台無法刪除使用者對象的結果。但是,當他們嘗試在 OU 之間移動使用者時,他們會收到拒絕訪問錯誤。

我想要的可能嗎?微軟真的不區分移動和刪除嗎?

從邏輯上講,“移動”是一個副本(或者用文件系統的說法是一個硬連結),然後是一個刪除:如果你不能從它的原始位置刪除它,你就不能移動它。

所以不,Microsoft 不區分“移動”和“刪除”,因為要執行前者,您必須必須執行後者。

如果您想防止意外刪除 AD 中的使用者帳戶/對象,您可以"Protect object from accidental deletion"在 ADUC 中使用者的“對象”選項卡上手動將它們設置為:

在此處輸入圖像描述

或者您可以一次為 AD 中的每個使用者對象編寫腳本:

Get-ADObject -filter {(ObjectClass -eq "user")} | Set-ADObject -ProtectedFromAccidentalDeletion:$true

引用自:https://serverfault.com/questions/648655