几天来我一直试图解开这个谜团,但我认为我已经走到了死胡同。
我们已将用户创建和管理委派给一个组。此权限应用于祖父 OU 并继承给父 OU 和子 OU,它们包括除完全控制和删除之外的所有内容(尽管标记了删除子树)。
组中的用户可以在所有 OU 上创建和修改用户,但是他们只能从子 OU(最后一级)中删除用户。如果他们尝试从其他 OU 中删除用户,则会收到拒绝访问错误。
我已经检查过的事情:
- 未选中“防止对象意外删除”。
- 比较使用来自不同OU的对象的有效权限,它们是相同的,不包括删除权限,但包括删除子树权限。
- 使用dsacls.exe从不同的 OU 导出用户的 ACL 。这些文件是相同的。
到目前为止我看到的奇怪的事情:
- 在根 OU 上有一个明确的拒绝删除(适用于后代用户对象)。这不应该也防止从子 OU 中删除用户吗?
我猜这与删除子树权限有关,但我没有找到太多关于它的信息。再多一点,域功能级别是 2008 R2,如果有帮助的话。
Denydelete您的问题是“根”(正确称为“祖父母”)OU 中明确定义的权限,删除它应该可以解决您的问题。很难遵循确切的 OU 结构,哪些权限是明确的,哪些是从您的描述中继承的(一张图片值一千字),但对我来说,这听起来像:Denydelete根/祖父母 OU 中有一个显式的。它仅对根中的对象起作用,并且向下一层。这将是因为:
Denydelete仅适用于第一级后代对象(因此它由父 OU 继承,而不是由子 OU 继承),或Allowdelete更高优先级的权限。要解决此问题并允许您的组删除您要删除的对象,请删除
Denydelete根 OU 的权限,或将其设置为仅应用于 OU 对象(不适用于其后代对象)。这是一个方便的链接,指向有关 NTFS 中权限优先级的信息(也适用于 AD 权限):
以下是解决权限冲突的一些规则:
尽管拒绝权限通常优先于允许权限,但情况并非总是如此。明确的“允许”权限可以优先于继承的“拒绝”权限。
权限的优先级层次结构可以总结如下,列表顶部列出了更高优先级的权限:
也是真的:
文件权限会覆盖文件夹权限,除非已向文件夹授予完全控制权限。