suppression de Access Control et d’objet
services de domaine Active Directory vous permettre de supprimer un objet si vous disposez de l’un des droits d’accès suivants :
- Accès DELETE à l’objet lui-même
- ADS_RIGHT_DS_DELETE_CHILD accès pour ce type d’objet sur le conteneur parent
N’oubliez pas que le système vérifie le descripteur de sécurité pour l’objet et son parent avant de refuser la suppression. Cela signifie qu’un ACE qui refuse explicitement l’accès DELETE à un utilisateur n’a aucun effet si l’utilisateur a DELETE_CHILD accès sur le parent. De même, un ACE qui refuse DELETE_CHILD accès sur le parent peut être remplacé si l’accès DELETE est autorisé sur l’objet lui-même.
Pour effectuer une opération de suppression d’arborescence, par exemple à l’aide de la méthode IADsDeleteOps::D eleteObject , vous devez avoir ADS_RIGHT_DS_DELETE_TREE accès à l’objet. Si vous disposez de ce droit d’accès, vous pouvez supprimer l’objet et tous les objets enfants, quelles que soient les protections sur les objets enfants. Pour supprimer une arborescence si vous n’avez pas accès à ADS_RIGHT_DS_DELETE_TREE, vous devez parcourir l’arborescence de manière récursive, en supprimant chaque objet individuellement. Dans ce cas, vous devez disposer de l’accès DELETE ou DELETE_CHILD nécessaire pour chaque objet de l’arborescence.
Avertissement
Si les utilisateurs ont ADS_RIGHT_DS_DELETE_TREE accès à un objet, cela leur permet de supprimer une sous-arborescence entière, y compris tous les objets enfants. Pour cette raison, vous pouvez envisager de révoquer l’autorisation d’accès « Supprimer la sous-arborescence » pour tous les utilisateurs d’un conteneur parent.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour