Condividi tramite


Controllo di accesso e eliminazione di oggetti

Dominio di Active Directory Services consente di eliminare un oggetto se si dispone di uno dei diritti di accesso seguenti:

  • DELETE accesso all'oggetto stesso
  • ADS_RIGHT_DS_DELETE_CHILD l'accesso per il tipo di oggetto nel contenitore padre

Tenere presente che il sistema verifica il descrittore di sicurezza sia per l'oggetto che per il relativo elemento padre prima di negare l'eliminazione. Ciò significa che un ace che nega esplicitamente l'accesso DELETE a un utente non ha alcun effetto se l'utente ha DELETE_CHILD accesso all'elemento padre. Analogamente, un ace che nega DELETE_CHILD l'accesso all'elemento padre può essere sottoposto a override se l'accesso DELETE è consentito sull'oggetto stesso.

Per eseguire un'operazione di eliminazione ad albero, ad esempio usando il metodo IADsDeleteOps::D eleteObject, è necessario avere ADS_RIGHT_DS_DELETE_TRedizione Enterprise accesso all'oggetto. Se si dispone di questo diritto di accesso, è possibile eliminare l'oggetto e tutti gli oggetti figlio indipendentemente dalle protezioni sugli oggetti figlio. Per eliminare un albero se non si ha accesso ADS_RIGHT_DS_DELETE_TRedizione Enterprise, è necessario attraversare in modo ricorsivo l'albero, eliminando ogni oggetto singolarmente. In questo caso, è necessario disporre dell'accesso delete o DELETE_CHILD necessario per ogni oggetto nell'albero.

Avviso

Se gli utenti hanno ADS_RIGHT_DS_DELETE_TRedizione Enterprise accesso per un oggetto, ciò consente di eliminare un intero sottoalbero, inclusi tutti gli oggetti figlio. Per questo motivo, è possibile revocare l'autorizzazione di accesso "Elimina sottoalbero" per tutti gli utenti in un contenitore padre.