Невозможно переместить OU в Active Directory (доступ запрещен)
Задний план
Сегодня я попытался переместить подразделение в Active Directory и получил Ошибка отказа в доступе. После дальнейшей проверки моей учетной записи пользователя AD у меня было необходимое разрешение на перемещение объекта (у меня было полное разрешение на набор подразделений, с которыми я работал), и я несколько раз перемещал элементы в AD в течение моей ИТ-карьеры; что также немного странно, что я только что впервые столкнулся с этим, но тем не менее.
Что я пробовал
- Предоставление моей индивидуальной учетной записи пользователя AD разрешения для определенных OU, а не только для группы безопасности AD, частью которой я был, которая уже имела разрешение на OU
- Использование учетной записи администратора домена, чтобы попробовать переезд
- Сброс пароля моей учетной записи, выход из системы, открытие AD и перемещение OU
- Пытался подключиться к другому контроллеру домена и выполнить перемещение
- Пытался подключиться к AD через другой сервер с установленным RSAT и выполнить перемещение
Все это закончилось безуспешно.
Вопрос
Почему я не могу переместить подразделение в Active Directory в другое подразделение, если у меня есть полное разрешение на оба подразделения?
Хотя есть несколько сообщений, посвященных защите от случайного удаления, ACE / ACL, разрешениям и перемещению / удалению в целом, я не смог найти ни одной, посвященной моей конкретной проблеме, какой бы простой она ни была.
Ответ
Если вы получаете Доступ запрещен при попытке переместить организационную единицу, на которую вы знаете, что у вас есть разрешение, просто выполните следующие действия:
- Щелкните правой кнопкой мыши нужное подразделение или объект и выберите Свойства.
- Отсюда перейдите на вкладку «Объект»; Если вы не видите вкладку «Объект», нажмите «Просмотр» в верхнем меню файла и выберите «Дополнительные функции», затем повторите шаг 1.
- На вкладке «Объект» вы увидите параметр «Защитить объект от случайного удаления». Если он отмечен, просто снимите его.
- Переместите OU в желаемое место
- Повторите шаги 1 и 2, а затем установите флажок, чтобы снова включить защиту от удаления для объекта.
Microsoft рассматривает перемещение как удаление в AD, поэтому, даже если вы технически не удаляете OU, операция его перемещения подразумевает удаление объекта в процессе, и поэтому вы не можете переместить его, даже если ваша учетная запись пользователя может иметь полный контроль над этим конкретным OU / объектом в AD. Надеюсь, это поможет любому, кто бьется головой о стену, как я.