Không thể di chuyển OU trong Active Directory (Truy cập bị từ chối)

8

Lý lịch

Tôi đã thử di chuyển OU trong Active Directory ngày hôm nay và nhận được quyền truy cập bị từ chối. Khi kiểm tra thêm tài khoản người dùng AD của tôi, tôi có quyền cần thiết để di chuyển đối tượng (tôi có toàn quyền đối với tập hợp các OU tôi đang làm việc) và tôi đã chuyển các mục nhiều lần trong AD trong suốt sự nghiệp CNTT của mình; Điều này cũng làm cho nó hơi kỳ lạ khi tôi mới bắt đầu lần đầu tiên, nhưng dù sao đi nữa.

Những gì tôi đã cố gắng

  • Cho phép tài khoản người dùng AD cá nhân của tôi cho các OU cụ thể chứ không phải chỉ có Nhóm bảo mật AD tôi là một phần trong đó đã có quyền trên các OU
  • Sử dụng tài khoản Quản trị viên tên miền để thử di chuyển
  • Đặt lại mật khẩu tài khoản người dùng của tôi sau đó đăng xuất và bật và mở AD và di chuyển OU
  • Đã thử kết nối với Bộ điều khiển miền khác và thực hiện di chuyển
  • Đã thử kết nối với AD thông qua một máy chủ khác với RSAT được cài đặt và thực hiện di chuyển

Tất cả những điều này đã kết thúc mà không thành công.

Câu hỏi

Tại sao tôi không thể di chuyển OU trong Active Directory sang OU khác khi tôi có toàn quyền trên cả hai OU?

windows  active-directory  windows-server-2008-r2  windows-server-2012  windows-server-2012-r2 
Brad Bouchard
nguồn

Câu trả lời:

14

Mặc dù có nhiều bài viết liên quan đến bảo vệ xóa ngẫu nhiên, các ACE / ACL, quyền và di chuyển / xóa nói chung, tôi không thể tìm thấy một cách xử lý vấn đề cụ thể của mình dù có thể đơn giản.

Câu trả lời

Nếu bạn nhận được Quyền truy cập bị từ chối khi cố gắng di chuyển OU mà bạn biết bạn có quyền, chỉ cần làm theo các bước sau:

  1. Bấm chuột phải vào OU hoặc đối tượng, trong câu hỏi và chọn Thuộc tính
  2. Từ đây điều hướng đến tab Object; nếu bạn không thấy tab Object, bấm View trên menu tập tin trên cùng và chọn Advanced Feature, sau đó lặp lại bước 1.
  3. Trên tab Đối tượng, bạn sẽ thấy một tùy chọn để đối tượng Bảo vệ khỏi bị xóa vô tình. Nếu nó được chọn, chỉ cần bỏ chọn nó.

nhập mô tả hình ảnh ở đây

  1. Di chuyển OU đến vị trí mong muốn
  2. Lặp lại các bước 1 và 2, sau đó chọn hộp để bật bảo vệ xóa trên đối tượng một lần nữa.

Microsoft coi việc di chuyển là xóa trong AD vì vậy mặc dù về mặt kỹ thuật bạn không xóa OU, thao tác di chuyển nó ngụ ý xóa đối tượng trong quy trình và đó là lý do tại sao bạn không thể di chuyển nó ngay cả khi tài khoản người dùng của bạn có thể có toàn quyền kiểm soát đối với OU / Object cụ thể đó trong AD. Hy vọng điều này sẽ giúp bất cứ ai đập đầu vào tường như tôi.

Brad Bouchard
nguồn
Phải thừa nhận, đây là điều đầu tiên tôi nghĩ đến. Hy vọng sửa chữa là đơn giản này.
Ryan Ries
4
Cũng đừng quên bật chế độ xem Nâng cao trong ADUC trước.
Ryan Ries
@RyanRies Đúng; đó là bước 2 trong câu trả lời của tôi, nhưng dù sao cũng là một lời nhắc tốt.
Brad Bouchard
Đây là suy nghĩ đầu tiên của tôi là tốt.
joeqwerty
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.