Impossible de déplacer l'unité d'organisation dans Active Directory (l'accès est refusé)

8

Contexte

J'ai essayé de déplacer une unité d'organisation dans Active Directory aujourd'hui et j'ai reçu une erreur d'accès refusé. Après une inspection plus approfondie de mon compte d'utilisateur AD, j'avais l'autorisation nécessaire pour déplacer l'objet (j'avais une autorisation complète sur l'ensemble des unités d'organisation avec lesquelles je travaillais) et j'ai déplacé plusieurs fois des éléments dans AD au cours de ma carrière informatique; ce qui rend aussi un peu étrange que je viens de rencontrer cela pour la première fois maintenant, mais néanmoins.

Ce que j'ai essayé

  • Donner l'autorisation de mon compte d'utilisateur AD individuel aux unités d'organisation particulières, par opposition au seul groupe de sécurité AD dont je faisais partie, qui avait déjà l'autorisation sur les unités d'organisation
  • Utilisation d'un compte d'administrateur de domaine pour essayer le déplacement
  • Réinitialisation du mot de passe de mon compte utilisateur, puis déconnexion et ouverture et ouverture de AD et déplacement de l'unité d'organisation
  • J'ai essayé de me connecter à un autre contrôleur de domaine et d'effectuer le déplacement
  • J'ai essayé de me connecter à AD via un autre serveur avec RSAT installé et d'effectuer le déplacement

Tout cela s'est terminé sans succès.

La question

Pourquoi ne puis-je pas déplacer une unité d'organisation dans Active Directory vers une autre unité d'organisation lorsque j'ai une autorisation complète sur les deux unités d'organisation?

Brad Bouchard
la source

Réponses:

14

Bien qu'il existe plusieurs publications traitant de la protection contre la suppression accidentelle, des ACE / ACL, des autorisations et des mouvements / suppressions en général, je n'ai pas pu trouver un traitant de mon problème spécifique, aussi simple soit-il.

Réponse

Si vous obtenez un accès refusé lorsque vous essayez de déplacer une unité d'organisation pour laquelle vous savez que vous êtes autorisé à le faire, suivez simplement ces étapes:

  1. Cliquez avec le bouton droit sur l'unité d'organisation ou l'objet en question et sélectionnez Propriétés
  2. De là, accédez à l'onglet Objet; si vous ne voyez pas l'onglet Objet, cliquez sur Afficher dans le menu de fichier supérieur et sélectionnez Fonctionnalités avancées, puis répétez l'étape 1.
  3. Sur l'onglet Objet, vous verrez une option pour «Protéger l'objet contre la suppression accidentelle». Si elle est cochée, décochez-la simplement.

entrez la description de l'image ici

  1. Déplacez l'unité d'organisation à l'emplacement souhaité
  2. Répétez les étapes 1 et 2, puis cochez la case pour réactiver la protection contre la suppression sur l'objet.

Microsoft traite un déplacement comme une suppression dans AD, donc même si vous ne supprimez pas techniquement l'unité d'organisation, l'opération de déplacement implique une suppression de l'objet dans le processus et c'est pourquoi vous ne pouvez pas le déplacer même si votre compte d'utilisateur peut avoir un contrôle total sur cette unité d'organisation / objet particulier dans AD. J'espère que cela aidera quiconque à se cogner la tête contre un mur comme moi.

Brad Bouchard
la source
Je dois admettre que c'était aussi la première chose à laquelle j'ai pensé. J'espère que la solution est aussi simple que cela.
Ryan Ries
4
N'oubliez pas non plus d'activer la vue avancée dans ADUC en premier.
Ryan Ries
@RyanRies Correct; c'est à l'étape 2 de ma réponse, mais un bon rappel néanmoins.
Brad Bouchard
C'était aussi ma première pensée.
joeqwerty