Полномочия Active Directory: удалите по сравнению с перемещением
Я хочу, чтобы наша справочная служба смогла переместить учетные записи пользователей, но НЕ удалить их. Вот сводка нашего текущего набора полномочий на затронутом OU's (это ДЕЙСТВИТЕЛЬНО позволяет им удалять учетные записи пользователей):
- Позвольте - Полный контроль - Порожденные Пользовательские объекты
- Позвольте - Создают/Удаляют Пользовательские объекты - Этот объект и все происходящие объекты
Если я изменяю тот верхний ряд путем редактирования ACE и снимания флажка "Delete", я получаю свой желаемый результат неспособности справочной службы удалить пользовательские объекты. Однако затем они получают ошибки Доступа запрещен, когда они пытаются переместить пользователей между OUs.
То, что я хочу возможный? Разве Microsoft серьезно не отличает перемещения по сравнению с удалениями?
Логически «перемещение» - это копия (или на языке файловой системы жесткая ссылка), за которой следует удаление: вы не можете переместить что-либо, если не можете удалить это из исходного местоположения .
Итак, нет, Microsoft не делает различий между «перемещением» и «удалением», потому что для того, чтобы сделать первое, вы должны, по необходимости, сделать последнее.
Если вы хотите предотвратить случайное удаление учетных записей пользователей / objects в AD, вы можете установить для них «Защищать объект от случайного удаления» либо вручную на вкладке Object пользователя в ADUC:
, либо вы можете создать скрипт для каждого пользовательского объекта в AD. один раз:
Get-ADObject -filter {(ObjectClass -eq "user")} | Set-ADObject -ProtectedFromAccidentalDeletion:$true
Voretaq7 дал хороший ответ на ваш конкретный вопрос (AD не различает), но я хочу добавить, что то, что вы хотите, возможно, в зависимости от того, сколько дополнительной работы вы хотите вложить in.
Способы сделать это включают предоставление пользователям вашей службы поддержки определенных делегированных разрешений на выполнение функций с учетной записью службы с более высокими привилегиями, чем они, без прямого входа в систему под этой учетной записью службы.
Все из они также включают в себя очень осторожную обработку исключений и разрешенные вводы, чтобы ваши пользователи не могли предоставить неожиданный ввод, который использует более высокие привилегии учетной записи службы.
Вы можете, например:
- Заставить пользователей войти в сеть страница с кучей готовых опций, таких как «переместить пользователя» или «отключить учетную запись». Их ввод может затем перейти на ваш сервер и запустить действие учетной записи службы (пожалуйста, не включайте функцию в код веб-страницы, чтобы кто-то мог, например, получить учетные данные учетной записи службы, используя «источник просмотра».)
- Используйте конфигурации сеансов PowerShell . Это позволяет вам делегировать одному пользователю или группе права для вызова определенных команд от имени другого пользователя или группы (во многом подобно корневому делегированию Linux ниже). Move-ADObject - это командлет, который вас интересует. Опять же, будьте осторожны, учетная запись, которую вы позволяете им вызывать, не имеет чрезмерных привилегий (то есть определенно не администратор домена, потому что вы не хотите, чтобы они перемещались ваш DC появляется случайно!)
Для справки,Я считаю, что в Linux есть что-то похожее на это с пользователями, имеющими ограниченные привилегии su для выполнения определенных вещей с помощью определенных команд (я нашел несколько ресурсов с google для «корневого делегирования»).