Назад | Перейти на главную страницу

Не удается удалить объект Active Directory

Пару дней пытался разгадать эту загадку, но, кажется, зашел в тупик.

Мы делегировали создание и администрирование пользователей группе. Эти разрешения применяются к родительскому подразделению и наследуются родительскому подразделению и дочернему подразделению, они включают все, кроме Полный контроль и Удалить (Удалить поддерево отмечен хотя).

Пользователи из группы могут создавать и изменять пользователей во всех подразделениях, однако они могут удалять пользователей только из дочернего подразделения (последний уровень). Если они попытаются удалить пользователя из других подразделений, они получат ошибку отказа в доступе.

То, что я уже проверил:

Странные вещи, которые я видел до сих пор:

Я предполагаю, что это как-то связано с Удалить поддерево разрешение, но я не нашел много информации об этом. Еще один момент: функциональный уровень домена - 2008 R2, если это поможет.

Ваша проблема явно определена Deny delete разрешение в «корневом» (правильное название «дедушка и бабушка») OU, и его удаление должно решить ваши проблемы. Трудно следовать точным структурам OU и тем, какие разрешения являются явными и которые наследуются из вашего описания (изображение стоит тысячи слов), но для меня это звучит так:

Есть явное Deny delete в корне / дедушке OU. Он работает только с объектами в корне и на один уровень ниже.

Это было бы потому, что либо:

  1. В Deny delete применяется только к первому уровню дочерних объектов (поэтому он наследуется родительским OU, но не дочерним OU), или
  2. Второй уровень дочерних объектов (в дочернем OU) имеет Allow delete разрешение с более высоким приоритетом.

Чтобы решить проблему и разрешить вашей группе удалять объекты, которые вы хотите удалить, удалите Deny delete разрешение в корневом подразделении или установите его для применения только к объекту подразделения (не к его дочерним объектам).

Вот удобная ссылка на информацию о приоритете разрешений в NTFS. (что также относится к разрешениям AD):

Вот несколько правил разрешения конфликтов разрешений:

  1. Разрешения «Запретить» обычно имеют приоритет над разрешениями «Разрешить».
  2. Разрешения, применяемые непосредственно к объекту (явные разрешения), имеют приоритет над разрешениями, унаследованными от родителя (например, от группы).
  3. Разрешения, унаследованные от ближайших родственников, имеют приоритет над разрешениями, унаследованными от дальних предшественников. Таким образом, разрешения, унаследованные от родительской папки объекта, имеют приоритет над разрешениями, унаследованными от родительской папки объекта и так далее.
  4. Разрешения от разных групп пользователей, которые находятся на одном уровне (с точки зрения прямой установки или наследования, а также с точки зрения «запретить» или «разрешить»), являются кумулятивными. Таким образом, если пользователь является членом двух групп, одна из которых имеет разрешение «Разрешить» на «Чтение», а другая - «Разрешить» на «Запись», пользователь будет иметь разрешение как на чтение, так и на запись - в зависимости от другие правила, указанные выше, конечно.

Хотя запрещенные разрешения обычно имеют приоритет над разрешающими разрешениями, это не всегда так. Явное разрешение «разрешить» может иметь приоритет перед унаследованным разрешением «запретить».

Иерархию приоритета для разрешений можно резюмировать следующим образом, с разрешениями с более высоким приоритетом, указанными в верхней части списка:

  • Явное отрицание
  • Явное разрешение
  • Унаследованный отказ
  • Унаследовано Разрешить

Также верно:

Разрешения для файлов имеют приоритет над разрешениями для папки, если для папки не было предоставлено разрешение «Полный доступ».