Active DirectoryでOUを移動できません(アクセスが拒否されました)
背景
今日、Active DirectoryでOUを移動しようとすると、Access is deniedエラーが表示されました。ADユーザーアカウントをさらに検査すると、移動に必要な権限がありましたオブジェクト(私が使用していたOUのセットに対する完全なアクセス許可がありました)と、ITキャリアの過程でAD内で複数回アイテムを移動しました。また、初めてこれに遭遇したのも少し奇妙ですが、それでもなおです。
私が試したもの
- 特定のOUに自分のADユーザーアカウントのアクセス許可を与える。ADセキュリティグループだけではなく、私はその一部であり、既にOUに対するアクセス許可を持っていた
- ドメイン管理者アカウントを使用して移動を試す
- ユーザーアカウントのパスワードをリセットしてからログオフしてログオンし、ADを開いてOUを移動する
- 別のドメインコントローラに接続して移動を実行しようとしました
- RSATがインストールされている別のサーバーを介してADに接続し、移動を実行しようとした
これらはすべて成功せずに終わりました。
質問
両方のOUに対する完全なアクセス許可があるのに、なぜActive DirectoryのOUを別のOUに移動できないのですか?
偶発的な削除の保護、ACE/ACL、権限、移動/削除を一般的に扱っている投稿は複数ありますが、どれほど単純なものでも、特定の問題を扱っている投稿は見つかりませんでした。
回答
権限を持っていることがわかっているOUを移動しようとしたときにアクセスが拒否された場合は、次の手順に従ってください。
- 問題のOUまたはオブジェクトを右クリックし、[プロパティ]を選択します。
- ここから[オブジェクト]タブに移動します。 [オブジェクト]タブが表示されない場合は、上部のファイルメニューの[表示]をクリックし、[拡張機能]を選択して、手順1を繰り返します。
- [オブジェクト]タブには、[オブジェクトを誤って削除しないようにする]オプションが表示されます。オンになっている場合は、オフにします。
- OUを目的の場所に移動する
- 手順1と2を繰り返し、ボックスをオンにして、オブジェクトの削除保護を再度有効にします。
MicrosoftはADで移動を削除として扱います。したがって、技術的にOUを削除していなくても、移動操作はプロセス内のオブジェクトの削除を意味するため、ユーザーアカウントであっても移動することはできません。 ADの特定のOU /オブジェクトを完全に制御できます。これが私のような壁に頭をぶつけている人を助けることを願っています。