Sdílet prostřednictvím

Řízení přístupu a odstranění objektů

  • Článek

Služba Active Directory Domain Services umožňuje odstranit objekt, pokud máte některá z následujících přístupových práv:

  • ODSTRANĚNÍ přístupu k samotnému objektu
  • ADS_RIGHT_DS_DELETE_CHILD přístup pro tento typ objektu v nadřazené kontejneru

Mějte na paměti, že systém před zamítnutím odstranění ověří popisovač zabezpečení pro objekt i jeho nadřazený objekt. To znamená, že ACE, která explicitně odepře přístup DELETE uživateli, nemá žádný vliv, pokud má uživatel DELETE_CHILD přístup k nadřazené sadě. Podobně je možné přepsat ACE, který odepře přístup DELETE_CHILD nadřazeného objektu, pokud je u samotného objektu povolený přístup DELETE.

Pokud chcete provést operaci odstranění stromu, například pomocí metody IDDeleteOps::D eleteObject, musíte mít k objektu přístup ADS_RIGHT_DS_DELETE_TREE. Pokud máte toto přístupové právo, můžete objekt a všechny podřízené objekty odstranit bez ohledu na ochranu podřízených objektů. Chcete-li odstranit strom, pokud nemáte ADS_RIGHT_DS_DELETE_TREE přístup, je nutné rekurzivně procházet strom, odstranit každý objekt jednotlivě. V takovém případě musíte mít potřebný přístup DELETE nebo DELETE_CHILD pro každý objekt ve stromu.

Varování

Pokud mají uživatelé ADS_RIGHT_DS_DELETE_TREE přístup k objektu, umožníte jim odstranit celý podstrom včetně všech podřízených objektů. Z tohoto důvodu můžete zvážit odvolání oprávnění "Odstranit podstrom" pro všechny uživatele v nadřazené kontejneru.