none
Очистка корзины AD RRS feed

  • Вопрос

  • Коллеги, приветствую.

    Есть лес с доменом 2012r2, а так же ряд аналогичных контроллеров.

    Включена корзина AD, которая переодически очищается руками.

    Как известно графических инструментов нет, потому используется однострочный PS скрипт вида:

    Get-ADObject -Filter 'isDeleted -eq $true -and Name -like "*DEL:*"' -IncludeDeletedObjects | Remove-ADObject -Confirm:$false

    В очередной раз хотели произвести очистку (выполняется из-под учётной записи Enterprise Admin, с повышенными привилегиями само собой) и получаем ошибку доступа:

    PS C:\> Get-ADObject -Filter {isDeleted -eq $true -and Name -like "*DEL:*"} -IncludeDeletedObjects | Remove-ADObject -Confirm:$false
    
    Remove-ADObject : Отказано в доступе
    строка:1 знак:94
    + ... ke "*DEL:*"} -IncludeDeletedObjects | Remove-ADObject -Confirm:$false
    +                                           ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
        + CategoryInfo          : PermissionDenied: (OU=Офис Ярослав...s,DC=local,DC=int:ADObject) [Remove-ADObject], Unauth   orizedAccessException
        + FullyQualifiedErrorId : ActiveDirectoryCmdlet:System.UnauthorizedAccessException,Microsoft.ActiveDirectory.Manag   ement.Commands.RemoveADObject
    

    Каких ещё привелегий может не хватать или что не нравится при удалении указанного объекта?

    Стал смотреть аналогичные проблемы, нашёл похожую ветку. Здесь исправляют синтаксис, но вообщем суть дела не меняется - проблема имеет место быть.

    Источник похожей темы - тут

    22 августа 2019 г. 12:56

Ответы

  • Вроде бы разобрался.

    Впервые столкнулся, то ли баг, то ли фича.

    OU была вложенной. На родителя были делегированы права управления OU.

    Восстановил объект, отключил наследование и сбросил все права. После этого, объект успешно был удалён из корзины.

    Всем спасибо за участие.

    • Помечено в качестве ответа DmitryG_ 23 августа 2019 г. 4:39
    23 августа 2019 г. 4:39

Все ответы

  • Чуть добавлю интриги. "Восстановил" объект на который ругался скрипт. Корзина почистилась.

    Снова удалил - вернул в корзину. И снова ошибка. Куда смотреть?

    22 августа 2019 г. 13:01
  • Возможно, на объекте установлен атрибут "Защитить объект от случайного удаления". Попробуйте так:

    Get-ADObject -Filter 'isDeleted -eq $true -and Name -like "*DEL:*"' -IncludeDeletedObjects | Set-ADObject -ProtectedFromAccidentalDeletion:$false -PassThru  | Remove-ADObject -Confirm:$false

    22 августа 2019 г. 13:49
  • Проверяли  в каких группах состоит учетка?

    У меня в песочнице Ваша команда отрабатывает, использовал учетку Enterprise Administrator, Админ участник следующих групп:

    PS C:\windows\system32> Get-ADUser administrator -Properties * | select -ExpandProperty memberof | fl
    CN=ADSyncAdmins,CN=Users,DC=contoso,DC=com
    CN=Organization Management,OU=Microsoft Exchange Security Groups,DC=contoso,DC=com
    CN=Group Policy Creator Owners,CN=Users,DC=contoso,DC=com
    CN=Domain Admins,CN=Users,DC=contoso,DC=com
    CN=Enterprise Admins,CN=Users,DC=contoso,DC=com
    CN=Schema Admins,CN=Users,DC=contoso,DC=com
    CN=Administrators,CN=Builtin,DC=contoso,DC=com
    PS C:\windows\system32>
    
    
    
    
    


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий.

    22 августа 2019 г. 14:06
    Модератор
  • "Защита от удаления" снята, иначе в корзину объект не отправишь.

    Команды не отрабатывают.

    Проблема только с одним объектом - это OU. Пробовал даже дать права для "Все" полные на неё и обратно отправить в корзину, с последующим удалением. Ситуация точно такая же.

    По правам на пользователя, от которого выполняется "очистка", всё идентично. Да и записи все чистятся, кроме одной.

    Пока нет соображений вообще.

    23 августа 2019 г. 3:53
  • Вроде бы разобрался.

    Впервые столкнулся, то ли баг, то ли фича.

    OU была вложенной. На родителя были делегированы права управления OU.

    Восстановил объект, отключил наследование и сбросил все права. После этого, объект успешно был удалён из корзины.

    Всем спасибо за участие.

    • Помечено в качестве ответа DmitryG_ 23 августа 2019 г. 4:39
    23 августа 2019 г. 4:39