Compartir a través de

Control de acceso y eliminación de objetos

  • Artículo

Active Directory Domain Services le permite eliminar un objeto si tiene uno de los siguientes derechos de acceso:

  • ACCESO DELETE al propio objeto
  • ADS_RIGHT_DS_DELETE_CHILD acceso para ese tipo de objeto en el contenedor primario

Tenga en cuenta que el sistema comprueba el descriptor de seguridad para el objeto y su elemento primario antes de denegar la eliminación. Esto significa que una ACE que deniega explícitamente el acceso DELETE a un usuario no tiene ningún efecto si el usuario tiene DELETE_CHILD acceso en el elemento primario. Del mismo modo, una ACE que deniega DELETE_CHILD acceso en el elemento primario se puede invalidar si se permite el acceso DELETE en el propio objeto.

Para realizar una operación de eliminación de árbol, por ejemplo, mediante el método IADsDeleteOps::D eleteObject, debe tener acceso ADS_RIGHT_DS_DELETE_TREE al objeto . Si tiene este derecho de acceso, puede eliminar el objeto y cualquier objeto secundario independientemente de las protecciones de los objetos secundarios. Para eliminar un árbol si no tiene acceso ADS_RIGHT_DS_DELETE_TREE, debe recorrer de forma recursiva el árbol, eliminando cada objeto individualmente. En este caso, debe tener el acceso DELETE o DELETE_CHILD necesario para cada objeto del árbol.

Advertencia

Si los usuarios tienen ADS_RIGHT_DS_DELETE_TREE acceso a un objeto, esto les permite eliminar un subárbol completo, incluidos todos los objetos secundarios. Por este motivo, puede considerar la posibilidad de revocar el permiso de acceso "Eliminar subárbol" para todos los usuarios de un contenedor primario.