两个OU具有相同的“保护对象从删除”设置不同的ACL

背景

在configuration我们的活动目录以便将电脑移动到服务台工作人员的能力之后，我开始听到报告说计算机会被“卡住”在特定的OU中。 他们可以移动一台电脑，但是当试图移动一台电脑时会得到“拒绝访问”的信息。 这个问题是100％可重复的，只存在于我们领域的一小部分OU。

两个OU的Protect object from accidental deletion都不允许Protect object from accidental deletion 。

我已经知道了

使用ldp.exe检查ACL确实显示出一个微小但重要的区别。 出于某种原因，只有一个OU的ACTRL_DS_DELETE_CHILD属性被拒绝给Everyone 。

在任一OU上打开和closuresProtect object标志都不能解决问题。 它按照预期修改了ACL，但ACTRL_DS_DELETE_CHILD标志在任何情况下都是完全未修改的。

• 在TFS项目中委托对子文件夹的权限
• 如何使用默认的UAC在W8R2上运行提升的浏览器？
• 根据权限设置Apache文档根的正确方法是什么？
• 如何configurationIIS以允许访问PHP脚本的networking资源？
• Dovecot：auth套接字权限

我可以使用这个解决scheme来“修复”一个特定的OU：

1. closuresProtect object标志
2. 删除与每个人关联的拒绝ACE。
3. 打开Protect object
4. 现在ACL的匹配。

难道不同版本的Active Directory或远程服务器pipe理工​​具可能与Protect object标志在OU上的实际表示方式有不同的行为？

问题

什么可能会导致这种差异，我能做些什么来确保它在Active Directory域中的所有OU上得到纠正？

细节

统一差异是这样的：

 18c18 < Ace Mask: 0x00010042 --- > Ace Mask: 0x00010040 20d19 < ACTRL_DS_DELETE_CHILD 

如何识别受影响的组织单位

编辑：我写了一个PowerShell脚本来find有这个标志设置他们的组织单位。

 $Base = "OU=MyOU,DC=your,DC=domain,DC=com" Import-Module ActiveDirectory Set-Location AD: Get-ADOrganizationalUnit -SearchBase $Base -filter * | ForEach-Object { $matches = @( (Get-ACL $_.DistinguishedName).access | Where-Object { $_.IdentityReference -eq "Everyone" } | Where-Object { $_.ActiveDirectoryRights -like "*DeleteChild*" } ) if ($matches.length -gt 0) { Write-Output $_ } } | Format-Table DistinguishedName