ヘルプデスクでユーザーアカウントを移動できるようにしたいが、削除しないようにしたい。影響を受けるOUに設定されている現在のアクセス許可の概要は次のとおりです(これにより、ユーザーアカウントを削除できます)。
ACEを編集し、[削除]ボックスのチェックを外して、その一番上の行を変更すると、ヘルプデスクがユーザーオブジェクトを削除できないという望ましい結果が得られます。ただし、OU間でユーザーを移動しようとすると、アクセス拒否エラーが発生します。
私が望むことは可能ですか?マイクロソフトは、移動と削除を真剣に区別していませんか?
論理的には、「移動」はコピー(またはファイルシステム用語ではハードリンク)の後に削除が続きます。元の場所から移動できない場合は移動できません削除。
いいえ、Microsoftは「移動」と「削除」を区別しません。前者を実行するには、必然的に後者を実行する必要があるためです。
AD内のユーザーアカウント/オブジェクトの誤った削除を防ぎたい場合は、ADUCのユーザーの[オブジェクト]タブで手動で"Protect object from accidental deletion"
に設定できます。
または、AD内のすべてのユーザーオブジェクトに対して一度にスクリプトを作成できます。
Get-ADObject -filter {(ObjectClass -eq "user")} | Set-ADObject -ProtectedFromAccidentalDeletion:$true
Voretaq7はあなたの特定の質問に良い答えを提供しました(ADは区別しません)が、あなたがどれだけ余分な仕事をしたいかに応じて、あなたが望むことは可能であることを付け加えたいと思います。
これを行う方法には、ヘルプデスクのユーザーに、このサービスアカウントとして直接ログインせずに、実際よりも高い特権を持つサービスアカウントで機能を実行するための特定の委任されたアクセス許可を与えることが含まれます。
それらはすべて、例外処理と許可された入力に細心の注意を払って、ユーザーがサービスアカウントのより高い特権を悪用する予期しない入力を提供できないようにすることも含みます。
たとえば、次のことができます。
参考までに、Linuxにはこれに似たものがあり、ユーザーは特定のコマンドで特定のことを行うための制限されたsu特権を持っていると思います(「ルート委任」のグーグルでいくつかのリソースを見つけました)。