Impossibile spostare l'unità organizzativa in Active Directory (accesso negato)

8

sfondo

Ho provato a spostare un'unità organizzativa in Active Directory oggi e ho ricevuto un errore di accesso negato. Dopo un'ulteriore ispezione del mio account utente AD, ho avuto l'autorizzazione necessaria per spostare l'oggetto (avevo il permesso completo sul set di unità organizzative con cui stavo lavorando) e ho spostato più volte gli articoli in AD nel corso della mia carriera IT; il che rende anche un po 'strano il fatto che mi sia appena imbattuto in questo per la prima volta ora, ma comunque.

Quello che ho provato

  • Concedere l'autorizzazione del mio account utente AD individuale alle unità organizzative particolari anziché solo al gruppo di sicurezza AD facevo già parte delle autorizzazioni sulle unità organizzative
  • Utilizzo di un account di amministratore di dominio per provare lo spostamento
  • Reimpostazione della password del mio account utente, disconnessione, accensione, apertura di AD e spostamento dell'unità organizzativa
  • Ho provato a collegarmi a un altro controller di dominio e ad eseguire lo spostamento
  • Ho provato a connettermi ad AD attraverso un server diverso con RSAT installato ed eseguendo lo spostamento

Tutti questi sono finiti senza successo.

La domanda

Perché non riesco a spostare un'unità organizzativa in Active Directory in un'altra unità organizzativa quando ho l'autorizzazione completa su entrambe le unità organizzative?

windows  active-directory  windows-server-2008-r2  windows-server-2012  windows-server-2012-r2 
Brad Bouchard
fonte

Risposte:

14

Sebbene ci siano più post che trattano di protezione da eliminazione accidentale, ACE / ACL, permessi e spostamenti / eliminazioni in generale, non sono riuscito a trovarne uno che affronti il ​​mio problema specifico per quanto semplice possa essere.

Risposta

Se ricevi un accesso viene negato quando provi a spostare un'unità organizzativa che sai di avere l'autorizzazione, segui semplicemente questi passaggi:

  1. Fare clic con il tasto destro del mouse sull'unità organizzativa o sull'oggetto in questione e selezionare Proprietà
  2. Da qui vai alla scheda Oggetto; se non vedi la scheda Oggetto fai clic su Visualizza nel menu del file in alto e seleziona Funzioni avanzate, quindi ripeti il ​​passaggio 1.
  3. Nella scheda Oggetto vedrai un'opzione per "Proteggere l'oggetto dalla cancellazione accidentale". Se è selezionato, deselezionalo semplicemente.

inserisci qui la descrizione dell'immagine

  1. Spostare l'unità organizzativa nella posizione desiderata
  2. Ripetere i passaggi 1 e 2, quindi selezionare la casella per abilitare nuovamente la protezione dell'eliminazione sull'oggetto.

Microsoft considera una mossa come un'eliminazione in AD, quindi anche se non stai eliminando tecnicamente l'unità organizzativa, l'operazione di spostamento implica un'eliminazione dell'oggetto nel processo ed è per questo che non puoi spostarla anche se il tuo account utente può avere il pieno controllo su quel particolare OU / Object in AD. Spero che questo aiuti chiunque a sbattere la testa contro un muro come me.

Brad Bouchard
fonte
Devo ammettere che anche questa è stata la prima cosa a cui ho pensato. Spero che la correzione sia così semplice.
Ryan Ries,
4
Inoltre, non dimenticare di abilitare prima la vista Avanzate in ADUC.
Ryan Ries,
@RyanRies Correct; questo è il passaggio 2 della mia risposta, ma comunque un buon promemoria.
Brad Bouchard,
Anche questo è stato il mio primo pensiero.
joeqwerty,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.