Compartir a través de


Access Control y eliminación de objetos

Servicios de dominio de Active Directory le permite eliminar un objeto si tiene uno de los siguientes derechos de acceso:

  • Acceso DELETE al propio objeto
  • ADS_RIGHT_DS_DELETE_CHILD acceso para ese tipo de objeto en el contenedor primario

Tenga en cuenta que el sistema comprueba el descriptor de seguridad para el objeto y su elemento primario antes de denegar la eliminación. Esto significa que una ACE que deniega explícitamente el acceso DELETE a un usuario no tiene ningún efecto si el usuario tiene DELETE_CHILD acceso en el elemento primario. De forma similar, una ACE que deniega DELETE_CHILD acceso en el elemento primario se puede invalidar si se permite el acceso DELETE en el propio objeto.

Para realizar una operación de eliminación de árbol, por ejemplo, mediante el método IADsDeleteOps::D eleteObject , debe tener ADS_RIGHT_DS_DELETE_TREE acceso al objeto. Si tiene este derecho de acceso, puede eliminar el objeto y cualquier objeto secundario independientemente de las protecciones de los objetos secundarios. Para eliminar un árbol si no tiene ADS_RIGHT_DS_DELETE_TREE acceso, debe recorrer de forma recursiva el árbol, eliminando cada objeto individualmente. En este caso, debe tener el acceso DELETE o DELETE_CHILD necesario para cada objeto del árbol.

Advertencia

Si los usuarios tienen acceso ADS_RIGHT_DS_DELETE_TREE para un objeto, esto les ofrece la capacidad de eliminar un subárbol completo, incluidos todos los objetos secundarios. Por este motivo, puede considerar la posibilidad de revocar el permiso de acceso "Eliminar subárbol" para todos los usuarios de un contenedor primario.