Não foi possível mover a UO no Active Directory (acesso negado)

8

fundo

Tentei mover uma UO no Active Directory hoje e recebi um erro de acesso negado. Após uma inspeção mais aprofundada da minha conta de usuário do AD, tive a permissão necessária para mover o objeto (tinha total permissão no conjunto de OUs com as quais estava trabalhando) e mudei itens várias vezes no AD ao longo da minha carreira em TI; o que também torna um pouco estranho o fato de eu ter encontrado isso pela primeira vez agora, mas mesmo assim.

O que eu tentei

  • Conceder permissão à minha conta de usuário do AD individual para as UOs específicas, em vez de apenas para o Grupo de Segurança do AD do qual eu fazia parte, já tinha permissão nas UOs
  • Usando uma conta de administrador de domínio para tentar a mudança
  • Redefinindo a senha da minha conta de usuário, efetuando logoff e logon, abrindo o AD e movendo a UO
  • Tentei conectar-se a um outro controlador de domínio e executar a movimentação
  • Tentou conectar-se ao AD através de um servidor diferente com o RSAT instalado e executando a movimentação

Tudo isso terminou sem sucesso.

A questão

Por que não consigo mover uma OU no Active Directory para outra OU quando tenho permissão total nas duas OUs?

windows active-directory windows-server-2008-r2 windows-server-2012 windows-server-2012-r2 Brad Bouchard
fonte

Respostas:

14

Embora existam várias postagens tratando de proteção contra exclusão acidental, ACEs / ACLs, permissões e movimentos / exclusões em geral, não consegui encontrar uma que lide com meu problema específico, por mais simples que seja.

Responda

Se você estiver recebendo um acesso negado ao tentar mover uma UO para a qual você sabe que tem permissão, siga estas etapas:

  1. Clique com o botão direito do mouse na UO ou objeto em questão e selecione Propriedades
  2. A partir daqui, navegue até a guia Objeto; se você não vir a guia Objeto, clique em Exibir no menu superior do arquivo e selecione Recursos avançados e repita a etapa 1.
  3. Na guia Objeto, você verá uma opção para “Proteger objeto contra exclusão acidental”. Se estiver marcado, desmarque-o.

insira a descrição da imagem aqui

  1. Mova a UO para o local desejado
  2. Repita as etapas 1 e 2 e marque a caixa para ativar a proteção contra exclusão no objeto novamente.

A Microsoft trata uma movimentação como uma exclusão no AD, mesmo que você não esteja tecnicamente excluindo a UO, a operação de movê-la implica uma exclusão do objeto no processo e é por isso que você não pode movê-la, mesmo que sua conta de usuário pode ter controle total sobre essa UO / objeto específico no AD. Espero que isso ajude alguém a bater a cabeça contra uma parede como eu.

Brad Bouchard
fonte
Devo admitir, essa foi a primeira coisa que pensei também. Espero que a correção seja simples assim.
Ryan Ries
4
Também não se esqueça de ativar a visualização Avançada no ADUC primeiro.
Ryan Ries
@RyanRies Correct; isso está na etapa 2 da minha resposta, mas ainda assim é um bom lembrete.
Brad Bouchard
Este foi o meu primeiro pensamento também.
precisa saber é o seguinte