Controllo di accesso e eliminazione di oggetti
Dominio di Active Directory Services consente di eliminare un oggetto se si dispone di uno dei diritti di accesso seguenti:
- DELETE accesso all'oggetto stesso
- ADS_RIGHT_DS_DELETE_CHILD l'accesso per il tipo di oggetto nel contenitore padre
Tenere presente che il sistema verifica il descrittore di sicurezza sia per l'oggetto che per il relativo elemento padre prima di negare l'eliminazione. Ciò significa che un ace che nega esplicitamente l'accesso DELETE a un utente non ha alcun effetto se l'utente ha DELETE_CHILD accesso all'elemento padre. Analogamente, un ace che nega DELETE_CHILD l'accesso all'elemento padre può essere sottoposto a override se l'accesso DELETE è consentito sull'oggetto stesso.
Per eseguire un'operazione di eliminazione ad albero, ad esempio usando il metodo IADsDeleteOps::D eleteObject, è necessario avere ADS_RIGHT_DS_DELETE_TRedizione Enterprise accesso all'oggetto. Se si dispone di questo diritto di accesso, è possibile eliminare l'oggetto e tutti gli oggetti figlio indipendentemente dalle protezioni sugli oggetti figlio. Per eliminare un albero se non si ha accesso ADS_RIGHT_DS_DELETE_TRedizione Enterprise, è necessario attraversare in modo ricorsivo l'albero, eliminando ogni oggetto singolarmente. In questo caso, è necessario disporre dell'accesso delete o DELETE_CHILD necessario per ogni oggetto nell'albero.
Avviso
Se gli utenti hanno ADS_RIGHT_DS_DELETE_TRedizione Enterprise accesso per un oggetto, ciò consente di eliminare un intero sottoalbero, inclusi tutti gli oggetti figlio. Per questo motivo, è possibile revocare l'autorizzazione di accesso "Elimina sottoalbero" per tutti gli utenti in un contenitore padre.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per