Compartilhar via

Controle de acesso e exclusão de objetos

  • Artigo

Os Serviços de Domínio Active Directory permitem excluir um objeto se você tiver um dos seguintes direitos de acesso:

  • Acesso DELETE ao próprio objeto
  • ADS_RIGHT_DS_DELETE_CHILD acesso para esse tipo de objeto no contêiner pai

Lembre-se de que o sistema verifica o descritor de segurança para o objeto e seu pai antes de negar a exclusão. Isso significa que uma ACE que nega explicitamente o acesso DELETE a um usuário não terá efeito se o usuário tiver acesso DELETE_CHILD no pai. Da mesma forma, uma ACE que nega o acesso DELETE_CHILD no pai pode ser substituída se o acesso DELETE for permitido no próprio objeto.

Para executar uma operação de exclusão de árvore, por exemplo, usando o método IADsDeleteOps::D eleteObject , você deve ter acesso ADS_RIGHT_DS_DELETE_TREE ao objeto. Se você tiver esse direito de acesso, poderá excluir o objeto e qualquer objeto filho, independentemente das proteções nos objetos filho. Para excluir uma árvore se você não tiver acesso ADS_RIGHT_DS_DELETE_TREE, você deve percorrer recursivamente a árvore, excluindo cada objeto individualmente. Nesse caso, você deve ter o acesso DELETE ou DELETE_CHILD necessário para cada objeto na árvore.

Aviso

Se os usuários tiverem acesso ADS_RIGHT_DS_DELETE_TREE para um objeto, isso lhes dará a capacidade de excluir uma subárvore inteira, incluindo todos os objetos filho. Por esse motivo, você pode considerar revogar a permissão de acesso "Excluir subárvore" para todos os usuários em um contêiner pai.