Partager via

Contrôle d’accès et suppression d’objets

  • Article

Les services de domaine Active Directory vous permettent de supprimer un objet si vous disposez de l’un des droits d’accès suivants :

  • SUPPRIMER l’accès à l’objet lui-même
  • ADS_RIGHT_DS_DELETE_CHILD l’accès pour ce type d’objet sur le conteneur parent

N’oubliez pas que le système vérifie le descripteur de sécurité pour l’objet et son parent avant de refuser la suppression. Cela signifie qu’un ACE qui refuse explicitement l’accès DELETE à un utilisateur n’a aucun effet si l’utilisateur a DELETE_CHILD accès sur le parent. De même, un ACE qui refuse DELETE_CHILD l’accès sur le parent peut être substitué si l’accès DELETE est autorisé sur l’objet lui-même.

Pour effectuer une opération de suppression d’arborescence, par exemple en utilisant la méthode IADsDeleteOps ::D eleteObject, vous devez avoir ADS_RIGHT_DS_DELETE_TREE accès à l’objet. Si vous disposez de ce droit d’accès, vous pouvez supprimer l’objet et tous les objets enfants, quelles que soient les protections sur les objets enfants. Pour supprimer une arborescence si vous n’avez pas ADS_RIGHT_DS_DELETE_TREE accès, vous devez parcourir l’arborescence de manière récursive, en supprimant chaque objet individuellement. Dans ce cas, vous devez disposer de l’accès DELETE ou DELETE_CHILD nécessaire pour chaque objet de l’arborescence.

Avertissement

Si les utilisateurs ont ADS_RIGHT_DS_DELETE_TREE accès à un objet, cela leur donne la possibilité de supprimer une sous-arborescence entière, y compris tous les objets enfants. Pour cette raison, vous pouvez envisager de révoquer l’autorisation d’accès « Supprimer la sous-arborescence » pour tous les utilisateurs sur un conteneur parent.