私はこの謎を数日間解決しようとしてきましたが、行き止まりに達したと思います。
ユーザーの作成と管理をグループに委任しました。このアクセス許可は、祖父母OUに適用され、親OUと子OUに継承されます。これらには、フルコントロールおよび削除以外のすべてが含まれます(サブツリーの削除はマークされています)。
グループのユーザーは、すべてのOUのユーザーを作成および変更できますが、子OU(最後のレベル)からのみユーザーを削除できます。他のOUからユーザーを削除しようとすると、アクセス拒否エラーが発生します。
私がすでにチェックしたもの:
これまでに見た奇妙なこと:
これはサブツリーの削除アクセス許可に関係していると思いますが、それについてはあまり情報がありません。もう1つ、ドメインの機能レベルは2008 R2です(それが役立つ場合)。
あなたの問題は、「ルート」(適切には「祖父母」と呼ばれる)OUで明示的に定義されたDeny
delete
権限であり、それを削除すると問題が解決するはずです。正確なOU構造と、どのアクセス許可が明示的であり、どのアクセス許可が説明から継承されているか(画像は数千語の価値があります)を理解するのは少し難しいですが、私には次のように聞こえます。
ルート/祖父母OUに明示的なDeny
delete
があります。これは、ルートおよび1レベル下のオブジェクトでのみ機能します。
これは次のいずれかが原因です。
Deny
delete
は、最初のレベルの子孫オブジェクトにのみ適用されます(したがって、子OUではなく、親OUによって継承されます)、またはAllow
delete
権限があります。この問題を解決し、グループが削除するオブジェクトを削除できるようにするには、ルートOUのDeny
delete
権限を削除するか、OUオブジェクトのみに適用するように設定します(その子孫オブジェクト)。
NTFSでのアクセス許可の優先順位に関する情報への便利なリンクです (ADアクセス許可にも適用されます):
アクセス許可の競合を解決するためのいくつかのルールを次に示します。
通常、拒否のアクセス許可は許可のアクセス許可よりも優先されますが、常にそうであるとは限りません。明示的な「許可」アクセス許可は、継承された「拒否」アクセス許可よりも優先できます。
アクセス許可の優先順位の階層は次のように要約できます。優先順位の高いアクセス許可がリストの一番上に表示されます。
またtrue:
フォルダーにフルコントロールのアクセス許可が付与されていない限り、ファイルのアクセス許可はフォルダーのアクセス許可を上書きします。