无法在Active Directory中移动OU（访问被拒绝）

背景

我今天尝试在Active Directory中移动OU并收到“ 访问被拒绝”错误。 在进一步检查我的AD用户帐户后，我获得了移动对象的必要权限（我对正在使用的OU拥有完全权限），并且在我的IT生涯中，我多次在AD中移动了物品；这让我现在还是第一次遇到这个有点奇怪。

我尝试了什么

• 向我的个人AD用户帐户授予特定OU的权限，而不仅仅是AD安全组，我是其中一部分，已经对OU拥有了权限
• 使用域管理员帐户尝试移动
• 重置我的用户帐户密码，然后注销然后再打开并打开AD并移动OU
• 尝试连接到其他域控制器并执行移动
• 尝试通过安装了RSAT的其他服务器连接到AD并执行移动

所有这些都以失败告终。

问题

当我对两个OU都具有完全权限时，为什么不能将Active Directory中的OU移到另一个OU？

尽管有很多有关意外删除保护，ACE / ACL，权限和移动/删除的文章，但无论如何简单，我都找不到解决我的特定问题的文章。

回答

如果您在尝试移动自己知道有权限的OU时拒绝访问，则只需执行以下步骤：

1. 右键单击有问题的OU或对象，然后选择“属性”
2. 从这里导航到“对象”选项卡；如果您没有看到“对象”选项卡，请单击顶部文件菜单上的“查看”，然后选择“高级功能”，然后重复步骤1。
3. 在“对象”选项卡上，您将看到“防止意外删除对象”的选项。如果已选中，只需取消选中它即可。

4. 将OU移动到所需位置
5. 重复步骤1和2，然后选中该框以再次启用对象的删除保护。

Microsoft将移动视为AD中的删除，因此，即使您从技术上讲并不是删除OU，移动它的操作也意味着在该过程中删除了对象，这就是即使您的用户帐户也无法移动它的原因可以完全控制AD中的那个特定OU /对象。希望这可以帮助任何人像我一样将头撞在墙上。