Active Directory 權限：刪除與移動

我希望我們的幫助台能夠移動使用者帳戶但不能刪除它們。以下是我們目前對受影響 OU 設置的權限的摘要（這確實允許他們刪除使用者帳戶）：

• 允許 - 完全控制 - 後代使用者對象
• 允許 - 創建/刪除使用者對象 - 此對象和所有後代對象

如果我通過編輯 ACE 並取消選中“刪除”框來更改該頂行，我會得到我想要的幫助台無法刪除使用者對象的結果。但是，當他們嘗試在 OU 之間移動使用者時，他們會收到拒絕訪問錯誤。

我想要的可能嗎？微軟真的不區分移動和刪除嗎？

從邏輯上講，“移動”是一個副本（或者用文件系統的說法是一個硬連結），然後是一個刪除：如果你不能從它的原始位置刪除它，你就不能移動它。

所以不，Microsoft 不區分“移動”和“刪除”，因為要執行前者，您必須必須執行後者。

如果您想防止意外刪除 AD 中的使用者帳戶/對象，您可以"Protect object from accidental deletion"在 ADUC 中使用者的“對象”選項卡上手動將它們設置為：

或者您可以一次為 AD 中的每個使用者對象編寫腳本：

Get-ADObject -filter {(ObjectClass -eq "user")} | Set-ADObject -ProtectedFromAccidentalDeletion:$true

引用自：https://serverfault.com/questions/648655