다음을 통해 공유

Access Control 및 개체 삭제

  • 아티클

Active Directory Domain Services 다음 액세스 권한 중 하나가 있는 경우 개체를 삭제할 수 있습니다.

  • 개체 자체에 대한 DELETE 액세스
  • 부모 컨테이너에서 해당 개체 형식에 대한 액세스 ADS_RIGHT_DS_DELETE_CHILD

삭제를 거부하기 전에 시스템에서 개체와 부모 모두에 대한 보안 설명자를 확인합니다. 즉, 사용자가 부모에 대한 DELETE_CHILD 액세스 권한이 있는 경우 사용자에 대한 DELETE 액세스를 명시적으로 거부하는 ACE는 영향을 주지 않습니다. 마찬가지로 개체 자체에서 DELETE 액세스가 허용되는 경우 부모에 대한 DELETE_CHILD 액세스를 거부하는 ACE를 재정의할 수 있습니다.

예를 들어 IADsDeleteOps::D eleteObject 메서드를 사용하여 트리 삭제 작업을 수행하려면 개체에 대한 ADS_RIGHT_DS_DELETE_TREE 액세스 권한이 있어야 합니다. 이 액세스 권한이 있는 경우 자식 개체에 대한 보호와 관계없이 개체 및 모든 자식 개체를 삭제할 수 있습니다. ADS_RIGHT_DS_DELETE_TREE 액세스 권한이 없는 경우 트리를 삭제하려면 트리를 재귀적으로 트래버스하여 각 개체를 개별적으로 삭제해야 합니다. 이 경우 트리의 각 개체에 필요한 DELETE 또는 DELETE_CHILD 액세스 권한이 있어야 합니다.

경고

사용자가 개체에 대한 ADS_RIGHT_DS_DELETE_TREE 액세스 권한이 있는 경우 모든 자식 개체를 포함하여 전체 하위 트리를 삭제할 수 있습니다. 이러한 이유로 부모 컨테이너의 모든 사용자에 대해 "하위 트리 삭제" 액세스 권한을 취소하는 것이 좋습니다.