martes, 10 de diciembre de 2013

OU no se pueden mover en Active Directory

Como Administrador del dominio, existen acciones que no podemos ejecutar. Una de ellas es intentar mover una OU a otra ubicación dentro de nuestro AD, lo que provoca un error de "Access is Denied." (Figura 1).
 
Windows cannot move object "Name" because: Access is denied
Figura 1
 
Esto ocurre porque desde Windows Server 2008 en adelante, cada vez que se crea una OU, el objeto tiene protección contra borrado accidental. Esta protección evita también que se mueva una OU. Para ver si la OU está protegida o no, debemos seleccionar las opciones avanzadas (Advanced Features) en el ADUC (Figura 2).
 
Figura 2
 
 
Y luego ver las propiedades del objeto (Figura 3).
 
Figura3
 
Al quitar el tilde, es posible mover el objeto a su destino final sin problemas. Es recomendable volver a colocarlo una vez realizado el movimiento.

¿Qué es lo que impide que un Administrador del dominio no pueda borrar o mover un objeto? Simplemente que el grupo Everyone tiene negada la posibilidad de borrar el objeto (Figura 4).
 
Figura 4

No hay comentarios: