Compartilhar via

Controle de acesso e exclusão de objeto

  • Artigo

Os Serviços de Domínio do Active Directory permitem excluir um objeto se você tiver um dos seguintes direitos de acesso:

  • EXCLUIR acesso ao próprio objeto
  • ADS_RIGHT_DS_DELETE_CHILD acesso para esse tipo de objeto no contêiner pai

Lembre-se de que o sistema verifica o descritor de segurança para o objeto e seu pai antes de negar a exclusão. Isso significa que um ACE que nega explicitamente o acesso DELETE a um usuário não terá efeito se o usuário tiver acesso DELETE_CHILD no pai. Da mesma forma, um ACE que nega DELETE_CHILD acesso no pai pode ser substituído se o acesso DELETE for permitido no próprio objeto.

Para executar uma operação de exclusão de árvore, por exemplo, usando o método IADsDeleteOps::D eleteObject, você deve ter ADS_RIGHT_DS_DELETE_TREE acesso ao objeto. Se você tiver esse acesso correto, poderá excluir o objeto e quaisquer objetos filho, independentemente das proteções nos objetos filho. Para excluir uma árvore se você não tiver acesso ADS_RIGHT_DS_DELETE_TREE, você deverá percorrer novamente a árvore, excluindo cada objeto individualmente. Nesse caso, você deve ter o acesso DELETE ou DELETE_CHILD necessário para cada objeto na árvore.

Aviso

Se os usuários tiverem ADS_RIGHT_DS_DELETE_TREE acesso a um objeto, isso lhes dará a capacidade de excluir uma subárvore inteira, incluindo todos os objetos filho. Por esse motivo, você pode considerar a revogação da permissão de acesso "Excluir Subárvore" para todos os usuários em um contêiner pai.