web-dev-qa-db-ja.com

Active Directoryオブジェクトを削除できません

私はこの謎を数日間解決しようとしてきましたが、行き止まりに達したと思います。

ユーザーの作成と管理をグループに委任しました。このアクセス許可は、祖父母OUに適用され、親OUと子OUに継承されます。これらには、フルコントロールおよび削除以外のすべてが含まれます(サブツリーの削除はマークされています)。

OU Structure

グループのユーザーは、すべてのOUのユーザーを作成および変更できますが、子OU(最後のレベル)からのみユーザーを削除できます。他のOUからユーザーを削除しようとすると、アクセス拒否エラーが発生します。

私がすでにチェックしたもの:

  • 「オブジェクトを誤って削除しないようにする」はチェックされていません。
  • 異なるOUのオブジェクトを使用した有効なアクセス許可を比較すると、それらは同一であり、削除アクセス許可は含まれていませんが、削除サブツリーアクセス許可は含まれています。
  • dsacls.exeを使用して、さまざまなOUからユーザーのACLをエクスポートしました。ファイルは同じです。

これまでに見た奇妙なこと:

  • ルートOUには明示的な拒否の削除(子孫のユーザーオブジェクトに適用)があります。これにより、子OUからユーザーを削除することもできますか?

これはサブツリーの削除アクセス許可に関係していると思いますが、それについてはあまり情報がありません。もう1つ、ドメインの機能レベルは2008 R2です(それが役立つ場合)。

3
jesusbolivar

あなたの問題は、「ルート」(適切には「祖父母」と呼ばれる)OUで明示的に定義されたDenydelete権限であり、それを削除すると問題が解決するはずです。正確なOU構造と、どのアクセス許可が明示的であり、どのアクセス許可が説明から継承されているか(画像は数千語の価値があります)を理解するのは少し難しいですが、私には次のように聞こえます。

ルート/祖父母OUに明示的なDenydeleteがあります。これは、ルートおよび1レベル下のオブジェクトでのみ機能します。

これは次のいずれかが原因です。

  1. Denydeleteは、最初のレベルの子孫オブジェクトにのみ適用されます(したがって、子OUではなく、親OUによって継承されます)、または
  2. (子OU内の)第2レベルの子孫オブジェクトには、優先順位の高いAllowdelete権限があります。

この問題を解決し、グループが削除するオブジェクトを削除できるようにするには、ルートOUのDenydelete権限を削除するか、OUオブジェクトのみに適用するように設定します(その子孫オブジェクト)。

NTFSでのアクセス許可の優先順位に関する情報への便利なリンクです (ADアクセス許可にも適用されます):


アクセス許可の競合を解決するためのいくつかのルールを次に示します。

  1. 「拒否」権限は通常「許可」権限よりも優先されます。
  2. オブジェクトに直接適用されるアクセス許可(明示的なアクセス許可)は、親から(たとえばグループから)継承されたアクセス許可よりも優先されます。
  3. 近親者から継承されたアクセス許可は、離れた先祖から継承されたアクセス許可よりも優先されます。したがって、オブジェクトの親フォルダから継承されたアクセス許可は、オブジェクトの「祖父母」フォルダから継承されたアクセス許可よりも優先されます。
  4. 同じレベル(直接設定または継承されること、および「拒否」または「許可」であること)の異なるユーザーグループからのアクセス許可は累積されます。したがって、ユーザーが2つのグループのメンバーであり、一方が「読み取り」の「許可」権限を持ち、もう一方が「書き込み」の「許可」権限を持っている場合、ユーザーは読み取りと書き込みの両方の権限を持ちます。もちろん、上記の他のルール。

通常、拒否のアクセス許可は許可のアクセス許可よりも優先されますが、常にそうであるとは限りません。明示的な「許可」アクセス許可は、継承された「拒否」アクセス許可よりも優先できます。

アクセス許可の優先順位の階層は次のように要約できます。優先順位の高いアクセス許可がリストの一番上に表示されます。

  • 明示的な拒否
  • 明示的な許可
  • 継承された拒否
  • 継承された許可

またtrue:

フォルダーにフルコントロールのアクセス許可が付与されていない限り、ファイルのアクセス許可はフォルダーのアクセス許可を上書きします。


6
HopelessN00b