Active Directoryオブジェクトを削除できません
私はこの謎を数日間解決しようとしてきましたが、行き止まりに達したと思います。
ユーザーの作成と管理をグループに委任しました。このアクセス許可は、祖父母OUに適用され、親OUと子OUに継承されます。これらには、フルコントロールおよび削除以外のすべてが含まれます(サブツリーの削除はマークされています)。
グループのユーザーは、すべてのOUのユーザーを作成および変更できますが、子OU(最後のレベル)からのみユーザーを削除できます。他のOUからユーザーを削除しようとすると、アクセス拒否エラーが発生します。
私がすでにチェックしたもの:
- 「オブジェクトを誤って削除しないようにする」はチェックされていません。
- 異なるOUのオブジェクトを使用した有効なアクセス許可を比較すると、それらは同一であり、削除アクセス許可は含まれていませんが、削除サブツリーアクセス許可は含まれています。
- dsacls.exeを使用して、さまざまなOUからユーザーのACLをエクスポートしました。ファイルは同じです。
これまでに見た奇妙なこと:
- ルートOUには明示的な拒否の削除(子孫のユーザーオブジェクトに適用)があります。これにより、子OUからユーザーを削除することもできますか?
これはサブツリーの削除アクセス許可に関係していると思いますが、それについてはあまり情報がありません。もう1つ、ドメインの機能レベルは2008 R2です(それが役立つ場合)。
あなたの問題は、「ルート」(適切には「祖父母」と呼ばれる)OUで明示的に定義されたDenydelete権限であり、それを削除すると問題が解決するはずです。正確なOU構造と、どのアクセス許可が明示的であり、どのアクセス許可が説明から継承されているか(画像は数千語の価値があります)を理解するのは少し難しいですが、私には次のように聞こえます。
ルート/祖父母OUに明示的なDenydeleteがあります。これは、ルートおよび1レベル下のオブジェクトでのみ機能します。
これは次のいずれかが原因です。
Denydeleteは、最初のレベルの子孫オブジェクトにのみ適用されます(したがって、子OUではなく、親OUによって継承されます)、または- (子OU内の)第2レベルの子孫オブジェクトには、優先順位の高い
Allowdelete権限があります。
この問題を解決し、グループが削除するオブジェクトを削除できるようにするには、ルートOUのDenydelete権限を削除するか、OUオブジェクトのみに適用するように設定します(その子孫オブジェクト)。
NTFSでのアクセス許可の優先順位に関する情報への便利なリンクです (ADアクセス許可にも適用されます):
アクセス許可の競合を解決するためのいくつかのルールを次に示します。
- 「拒否」権限は通常「許可」権限よりも優先されます。
- オブジェクトに直接適用されるアクセス許可(明示的なアクセス許可)は、親から(たとえばグループから)継承されたアクセス許可よりも優先されます。
- 近親者から継承されたアクセス許可は、離れた先祖から継承されたアクセス許可よりも優先されます。したがって、オブジェクトの親フォルダから継承されたアクセス許可は、オブジェクトの「祖父母」フォルダから継承されたアクセス許可よりも優先されます。
- 同じレベル(直接設定または継承されること、および「拒否」または「許可」であること)の異なるユーザーグループからのアクセス許可は累積されます。したがって、ユーザーが2つのグループのメンバーであり、一方が「読み取り」の「許可」権限を持ち、もう一方が「書き込み」の「許可」権限を持っている場合、ユーザーは読み取りと書き込みの両方の権限を持ちます。もちろん、上記の他のルール。
通常、拒否のアクセス許可は許可のアクセス許可よりも優先されますが、常にそうであるとは限りません。明示的な「許可」アクセス許可は、継承された「拒否」アクセス許可よりも優先できます。
アクセス許可の優先順位の階層は次のように要約できます。優先順位の高いアクセス許可がリストの一番上に表示されます。
- 明示的な拒否
- 明示的な許可
- 継承された拒否
- 継承された許可
またtrue:
フォルダーにフルコントロールのアクセス許可が付与されていない限り、ファイルのアクセス許可はフォルダーのアクセス許可を上書きします。