次の方法で共有

アクセス制御とオブジェクトの削除

  • [アーティクル]

Active Directory Domain Services を使用すると、次のいずれかのアクセス権がある場合にオブジェクトを削除できます。

  • オブジェクト自体への DELETE アクセス
  • 親コンテナーで、そのオブジェクトの種類に対するアクセスをADS_RIGHT_DS_DELETE_CHILDする

削除を拒否する前に、システムがオブジェクトとその親の両方のセキュリティ記述子を検証することに注意してください。 つまり、ユーザーに対する DELETE アクセスを明示的に拒否する ACE は、ユーザーが親に対してDELETE_CHILDアクセス権を持っている場合には影響しません。 同様に、オブジェクト自体で DELETE アクセスが許可されている場合、親DELETE_CHILDアクセスを拒否する ACE をオーバーライドできます。

ツリー削除操作を実行するには (たとえば、IADsDeleteOps::D eleteObject メソッドを使用する場合)、オブジェクトにADS_RIGHT_DS_DELETE_TREEアクセスできる必要があります。 このアクセス権を持っている場合は、子オブジェクトの保護に関係なく、オブジェクトと子オブジェクトを削除できます。 ADS_RIGHT_DS_DELETE_TREEアクセス権がない場合にツリーを削除するには、ツリーを再帰的に走査し、各オブジェクトを個別に削除する必要があります。 この場合、ツリー内の各オブジェクトに対して必要な DELETE またはDELETE_CHILDアクセス権が必要です。

警告

ユーザーがオブジェクトADS_RIGHT_DS_DELETE_TREEアクセスできる場合、これにより、すべての子オブジェクトを含むサブツリー全体を削除できます。 このため、親コンテナーのすべてのユーザーに対する "サブツリーの削除" アクセス許可の取り消しを検討できます。