アクセス制御とオブジェクトの削除

アクティブディレクトリ ドメイン サービスでは、次のいずれかのアクセス権を持っている場合にオブジェクトを削除できます。

• オブジェクト自体への DELETE アクセス
• 親コンテナでのそのオブジェクトタイプのADS_RIGHT_DS_DELETE_CHILDアクセス

システムは、削除を拒否する前に、オブジェクトとその親の両方のセキュリティ記述子を検証することに注意してください。 つまり、ユーザーへの DELETEアクセスを明示的に拒否する ACE は、ユーザーが親に対してDELETE_CHILDアクセス権を持っている場合、効果がありません。 同様に、親に対するDELETE_CHILDアクセスを拒否する ACE は、オブジェクト自体に対してDELETEアクセスが許可されている場合にオーバーライドできます。v

たとえば、 IADsDeleteOps::D eleteObject メソッドを使用してツリー削除操作を実行するには、オブジェクトへのADS_RIGHT_DS_DELETE_TREEアクセス権が必要です。 このアクセス権を持っている場合は、子オブジェクトの保護に関係なく、オブジェクトと子オブジェクトを削除できます。 ADS_RIGHT_DS_DELETE_TREEアクセス権がない場合にツリーを削除するには、ツリーを再帰的にトラバースし、各オブジェクトを個別に削除する必要があります。 この場合、ツリー内の各オブジェクトに必要な DELETE または DELETE_CHILD アクセス権が必要です。

警告

ユーザーがオブジェクトに対するADS_RIGHT_DS_DELETE_TREEアクセス権を持っている場合、これにより、すべての子オブジェクトを含むサブツリー全体を削除できます。 このため、親コンテナ上のすべてのユーザーの「サブツリーの削除」アクセス許可を取り消すことを検討できます。