Access Control und Löschen von Objekten

Active Directory Domain Services können Sie ein Objekt löschen, wenn Sie über eines der folgenden Zugriffsrechte verfügen:

• DELETE-Zugriff auf das Objekt selbst
• ADS_RIGHT_DS_DELETE_CHILD Zugriff für diesen Objekttyp auf den übergeordneten Container

Beachten Sie, dass das System den Sicherheitsdeskriptor sowohl für das Objekt als auch für das übergeordnete Objekt überprüft, bevor der Löschvorgang verweigert wird. Dies bedeutet, dass ein ACE, der einem Benutzer explizit den DELETE-Zugriff verweigert, keine Auswirkung hat, wenn der Benutzer DELETE_CHILD Zugriff auf das übergeordnete Element hat. Ebenso kann ein ACE, der DELETE_CHILD Zugriff auf das übergeordnete Element verweigert, überschrieben werden, wenn der DELETE-Zugriff auf das Objekt selbst zulässig ist.

Um einen Baumlöschvorgang auszuführen, z. B. mit der IADsDeleteOps::D eleteObject-Methode , müssen Sie über ADS_RIGHT_DS_DELETE_TREE Zugriff auf das Objekt verfügen. Wenn Sie über dieses Zugriffsrecht verfügen, können Sie das Objekt und alle untergeordneten Objekte unabhängig vom Schutz der untergeordneten Objekte löschen. Um eine Struktur zu löschen, wenn Sie nicht über ADS_RIGHT_DS_DELETE_TREE Zugriff verfügen, müssen Sie die Struktur rekursiv durchlaufen und jedes Objekt einzeln löschen. In diesem Fall müssen Sie über den erforderlichen DELETE- oder DELETE_CHILD-Zugriff für jedes Objekt in der Struktur verfügen.

Warnung

Wenn Benutzer ADS_RIGHT_DS_DELETE_TREE Zugriff auf ein Objekt haben, haben sie die Möglichkeit, eine ganze Teilstruktur einschließlich aller untergeordneten Objekte zu löschen. Aus diesem Grund können Sie erwägen, die Zugriffsberechtigung "Teilstruktur löschen" für alle Benutzer in einem übergeordneten Container zu widerrufen.