Я хочу, чтобы наша справочная служба смогла переместить учетные записи пользователей, но НЕ удалить их. Вот сводка нашего текущего набора полномочий на затронутом OU's (это ДЕЙСТВИТЕЛЬНО позволяет им удалять учетные записи пользователей):
Если я изменяю тот верхний ряд путем редактирования ACE и снимания флажка "Delete", я получаю свой желаемый результат неспособности справочной службы удалить пользовательские объекты. Однако затем они получают ошибки Доступа запрещен, когда они пытаются переместить пользователей между OUs.
То, что я хочу возможный? Разве Microsoft серьезно не отличает перемещения по сравнению с удалениями?
Логически «перемещение» - это копия (или на языке файловой системы жесткая ссылка), за которой следует удаление: вы не можете переместить что-либо, если не можете удалить это из исходного местоположения .
Итак, нет, Microsoft не делает различий между «перемещением» и «удалением», потому что для того, чтобы сделать первое, вы должны, по необходимости, сделать последнее.
Если вы хотите предотвратить случайное удаление учетных записей пользователей / objects в AD, вы можете установить для них «Защищать объект от случайного удаления»
либо вручную на вкладке Object пользователя в ADUC:
, либо вы можете создать скрипт для каждого пользовательского объекта в AD. один раз:
Get-ADObject -filter {(ObjectClass -eq "user")} | Set-ADObject -ProtectedFromAccidentalDeletion:$true
Voretaq7 дал хороший ответ на ваш конкретный вопрос (AD не различает), но я хочу добавить, что то, что вы хотите, возможно, в зависимости от того, сколько дополнительной работы вы хотите вложить in.
Способы сделать это включают предоставление пользователям вашей службы поддержки определенных делегированных разрешений на выполнение функций с учетной записью службы с более высокими привилегиями, чем они, без прямого входа в систему под этой учетной записью службы.
Все из они также включают в себя очень осторожную обработку исключений и разрешенные вводы, чтобы ваши пользователи не могли предоставить неожиданный ввод, который использует более высокие привилегии учетной записи службы.
Вы можете, например:
Для справки,Я считаю, что в Linux есть что-то похожее на это с пользователями, имеющими ограниченные привилегии su для выполнения определенных вещей с помощью определенных команд (я нашел несколько ресурсов с google для «корневого делегирования»).