Não é possível mover OU no Active Directory (Acesso negado)

8

Plano de fundo

Eu tentei mover uma UO no Active Directory hoje e recebi um acesso negado erro. Após a inspeção da minha conta de usuário do AD, eu tinha a permissão necessária para mover o objeto (eu tinha permissão total o conjunto de UOs com as quais eu estava trabalhando) e movi itens várias vezes na AD ao longo da minha carreira de TI; o que também torna um pouco estranho que eu tenha encontrado isso pela primeira vez agora, mas mesmo assim.

O que eu tentei

  • Conceder minha permissão de conta de usuário do AD individual para as UOs particulares, em vez de apenas o grupo de segurança do AD que fazia parte das permissões que já possuía nas UOs
  • Usando uma conta de administrador de domínio para tentar a mudança
  • Redefinindo a senha da minha conta de usuário, fazendo o logoff e a ativação, abrindo o AD e movendo a unidade organizacional
  • Tentei conectar-me a um controlador de domínio diferente e realizar a movimentação
  • Tentei conectar-se ao AD por meio de um servidor diferente com o RSAT instalado e executando o movimento

Todos terminaram sem sucesso.

A questão

Por que não posso mover uma UO no Active Directory para outra UO quando tenho permissão total em ambas as UOs?

    
por Brad Bouchard 02.06.2015 / 19:23

1 resposta

12

Embora existam várias postagens lidando com proteção contra exclusão acidental, ACEs / ACLs, permissões e movimentos / exclusões em geral, não consegui encontrar uma que lide com meu problema específico, por mais simples que seja.

Resposta

Se você está recebendo um Acesso negado ao tentar mover uma UO que você sabe que tem permissão para, basta seguir estas etapas:

  1. Clique com o botão direito do mouse na UO ou objeto em questão e selecione Propriedades
  2. A partir daqui, navegue até a guia Objeto; Se você não vir a guia Objeto, clique em Visualizar no menu Arquivo superior e selecione Recursos avançados e repita a etapa 1.
  3. Na guia "Objeto", você verá uma opção para "Proteger objeto da exclusão acidental". Se estiver marcado, basta desmarcá-lo.

  • Mover a unidade organizacional para o local desejado
  • Repita as etapas 1 e 2 e marque a caixa para ativar a proteção contra exclusão no objeto novamente.
  • A Microsoft trata um movimento como uma exclusão no AD, portanto, embora você não esteja tecnicamente excluindo a UO, a operação de movê-lo implica uma exclusão do objeto no processo e é por isso que você não pode movê-lo, embora sua conta de usuário pode ter controle total sobre essa OU / Objeto específica no AD. Espero que isso ajude alguém a bater com a cabeça contra a parede como eu estava.

        
    por 02.06.2015 / 19:23