Você pode ativar / desativar a herança em dsa
se ativar Recursos avançados em Visualizar . Isso adicionará uma guia Segurança (entre outras) às propriedades do objeto. Na aba Segurança clique no botão Avançado e marque / desmarque Incluir permissões herdáveis do pai deste objeto .
Comoalternativa,vocêpodeusaralinhadecomandoparaativaraherança.Ocomandodsacls
permite modificar as ACLs do domínio. O seguinte permitiria a herança do meu objeto de usuário:
dsacls "CN=Jason Scott,OU=Staff,OU=ISC,OU=Buildings & Depts,DC=my,DC=domain,DC=edu" /P:Y
Se você precisar configurar a herança para um grande número de objetos do usuário, agrupe o acima em um loop FOR
que chama dsquery
. Um exemplo de força bruta seria algo como:
FOR /F "usebackq delims=;" %A IN ('dsquery user -limit 0') DO dsacls %A /P:Y
Se esses usuários não fizerem "herdar" automaticamente, talvez você veja um efeito colateral de AdminSDHolder . Se você remover os usuários de todos os grupos protegidos do AdminSDHolder, eles deverão manter suas configurações de herança.