我在Active Directory中具有以下OU结构:
-域
–DisabledUsers
–OfficeA
—扇区1
— Secotr2
–OfficeB
—扇区1
— Sector2
我在这里按照这篇文章将移动的用户对象权限委托给一个组。 从源OU'DisabledUsers'移动到目的地OU'OfficeA / Sector1'工作正常。
我已经设置了相同的权限,这次在'OfficeA'中是源和目标OU,所以该组可以将用户从一个子OU移到另一个,比如从'Sector1'到'Sector2'。 但是,这失败了,我得到了接受拒绝。
这是因为我将所有权限设置为单个OU中的源和目标? 我无法弄清楚。 我只是需要这个小组围绕“OfficeA”的子OU来移动用户。
此外,有没有办法来更好地跟踪什么是封锁AD操作,它只是抛出“Acess denied”,有很多属性找出… …
移动用户对象所需的权限为:删除源中用户的权限为目标中的用户创build权限
在我曾经工作过的一些公司,有一个拒绝删除规则,在用户能够移动对象之前必须删除。
确定用户是否具有删除有效权限:
确保ADUC正在高级模式下运行
右键单击您正在尝试移动的对象并select属性
在安全选项卡上,单击高级
移动有效权限选项卡
select将要执行移动的用户
要确定权限的来源:
导航回权限选项卡
按typessorting
看看是否存在任何拒绝权限,inheritance将会告诉你在哪里设置权限。
这是因为我将所有权限设置为单个OU中的源和目标?
是的,几乎可以肯定。 执行移动的安全主体需要删除指定的源OU上的用户对象(和其他许多权限)的权限以及在目标OU上创build用户对象的权限。
您需要以足够高的级别授予该权限,并覆盖子级OU的权限,或者授予每个源/目标OU的权限。