none
AD域账号禁止删除但允许移动权限咨询 RRS feed

  • 问题

  • 各位好,

    AD域中是否能够同时实现:允许域账号对域对象的移动,但是禁止域账号对域对象的删除?如我允许用户A将对象B从原OU移动到目标OU,但是我禁止用户A对对象B进行删除。

    2020年7月28日 9:42

答案

  • 尊敬的客户,您好!

    感谢您在我们的论坛发贴。

    根据我的大量测试,我发现默认情况下,普通域用户无法删除OU里的对象,也无法把一个对象从一个OU移动到另一个OU.

    例如:




    如果OU里是用户对象或者组对象,我们可以使用委派的权限让普通域用户可以把一个对象从一个OU移到另一个OU。

    1.右击OU,选择Delegate Control\Next\选择用户或者组(就是想给这个用户或者组给这个OU里的对象move的权限)\Next\Delegate the following common accounts: 勾选Create,delete and manage user accounts和Create,delete and manage groups.

    2.在另一个OU上给相同的用户或者组相同的权限。
    3.我们就可以让这个用户或者组里的用户,在这两个OU之间移动OU里的对象(仅限用户对象和组对象)。
    4.因为我们在上面的委派权限里还多给了删除的权限,所以需要取消指定的用户和组对这两个OU和OU里的子对象删除的权限。
    5.右击上面的两个OU\Advanced\Permissions\Add\上面的用户或者组

    Principle: 指定的用户或者组
    Type: Deny
    Applies to: This object and all descendant objects
    拉到最下面,点击Clear all
    Permissions下面勾选权限
    Delete
    Delete subtree
    Delete all child objects




    6.我发现步骤五可以不让用户删除OU里的对象了,但是也不能移动对象了。可能移动对象的动作就是需要删除的权限。

    所以综上所述,不能实现:允许域账号对域对象的移动,但是禁止域账号对域对象的删除。


    此致,
    Daisy Zhou


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年7月30日 4:29
    版主