Necessidade de forçar a herança de segurança no diretório ativo dos usuários

Você pode ativar / desativar a herança em dsa se ativar Recursos avançados em Visualizar . Isso adicionará uma guia Segurança (entre outras) às propriedades do objeto. Na aba Segurança clique no botão Avançado e marque / desmarque Incluir permissões herdáveis do pai deste objeto .

Comoalternativa,vocêpodeusaralinhadecomandoparaativaraherança.Ocomando dsacls permite modificar as ACLs do domínio. O seguinte permitiria a herança do meu objeto de usuário:

dsacls "CN=Jason Scott,OU=Staff,OU=ISC,OU=Buildings & Depts,DC=my,DC=domain,DC=edu" /P:Y

Se você precisar configurar a herança para um grande número de objetos do usuário, agrupe o acima em um loop FOR que chama dsquery . Um exemplo de força bruta seria algo como:

FOR /F "usebackq delims=;" %A IN ('dsquery user -limit 0') DO dsacls %A /P:Y

Se esses usuários não fizerem "herdar" automaticamente, talvez você veja um efeito colateral de AdminSDHolder . Se você remover os usuários de todos os grupos protegidos do AdminSDHolder, eles deverão manter suas configurações de herança.

Operadores de conta por padrão devem ter as permissões em questão em todos os objetos de usuário no domínio. Essa segurança é baseada na ACL de segurança nos objetos Usuário. Nos usuários do AD e computadores MMC, vá para exibir e selecione "Recursos avançados". Em seguida, pesquise por um usuário suspeito de não herdar permissões e exibir as propriedades. Localize a guia "Segurança" e pressione o botão "Avançado" para ver se a opção "Incluir permissões herdáveis do pai deste objeto" está marcada e o grupo Operadores de contas está listado na ACL com as permissões apropriadas.