存取控制和對象刪除

如果您有下列其中一個存取權限，Active Directory 網域服務 可讓您刪除物件：

• DELETE 物件本身的存取權
• ADS_RIGHT_DS_DELETE_CHILD父容器上該物件類型的存取權

請注意，系統會在拒絕刪除之前，先驗證物件及其父系的安全性描述元。 這表示如果使用者對父系具有DELETE_CHILD存取權，則明確拒絕使用者的 DELETE 存取權的 ACE 沒有任何作用。 同樣地，如果物件本身允許 DELETE 存取，則可以覆寫拒絕父代上DELETE_CHILD存取的 ACE。

若要執行樹狀目錄刪除作業，例如使用 IADsDeleteOps：:D eleteObject 方法，您必須具有物件的ADS_RIGHT_DS_DELETE_TREE存取權。 如果您有此存取權，則可以刪除物件和任何子物件，而不論子對象的保護為何。 如果您沒有ADS_RIGHT_DS_DELETE_TREE存取權，若要刪除樹狀結構，您必須以遞歸方式周游樹狀結構，個別刪除每個物件。 在此情況下，您必須具有樹狀結構中每個物件的必要 DELETE 或DELETE_CHILD存取權。

警告

如果使用者具有物件的ADS_RIGHT_DS_DELETE_TREE存取權，這可讓他們刪除整個子樹，包括所有子物件。 基於這個理由，您可能會考慮撤銷父容器上所有使用者的「刪除子樹」訪問許可權。