無法在 Active Directory 中移動 OU（訪問被拒絕）

背景

我今天嘗試在 Active Directory 中移動 OU，但收到拒絕訪問錯誤。 在進一步檢查我的 AD 使用者帳戶後，我獲得了移動對象的必要權限（我對正在使用的一組 OU 擁有完全權限），並且在我的 IT 職業生涯中，我曾多次在 AD 中移動項目；這也讓我現在第一次遇到這個有點奇怪，但儘管如此。

我試過的

• 將我的個人 AD 使用者帳戶權限授予特定 OU，而不僅僅是我所屬的 AD 安全組，該安全組已經對 OU 擁有權限
• 使用域管理員帳戶嘗試移動
• 重置我的使用者帳戶密碼，然後註銷並打開並打開 AD 並移動 OU
• 嘗試連接到不同的域控制器並執行移動
• 嘗試通過安裝了 RSAT 的不同伺服器連接到 AD 並執行移動

所有這些都以失敗告終。

問題

當我對兩個 OU 都擁有完全權限時，為什麼我不能將 Active Directory 中的一個 OU 移動到另一個 OU？

雖然有多個文章通常涉及意外刪除保護、ACE/ACL、權限和移動/刪除，但我找不到一篇處理我的具體問題的文章，無論它多麼簡單。

回答

如果您在嘗試移動您知道您有權訪問的 OU 時遇到訪問被拒絕，只需按照以下步驟操作：

1. 右鍵點擊有問題的 OU 或對象，然後選擇屬性
2. 從這裡導航到“對象”選項卡；如果您沒有看到“對象”選項卡，請點擊頂部文件菜單上的“查看”並選擇“高級功能”，然後重複步驟 1。
3. 在“對象”選項卡上，您將看到“防止對像被意外刪除”選項。如果已選中，只需取消選中即可。

4. 將 OU 移動到所需位置
5. 重複步驟 1 和 2，然後選中該框以再次對對象啟用刪除保護。

Microsoft 將移動視為 AD 中的刪除，因此即使您在技術上並未刪除 OU，移動它的操作也意味著刪除過程中的對象，這就是為什麼即使您的使用者帳戶也無法移動它的原因可以完全控制 AD 中的特定 OU/對象。希望這可以幫助任何像我一樣用頭撞牆的人。

引用自：https://serverfault.com/questions/696149