active-directory – 两个OU上的不同ACL,具有相同的“保护对象不

在我配置Active Directory以便将计算机移动的能力委托给帮助台工作人员之后,我开始听到有关计算机会在特定OU中“卡住”的报告.他们可以移动计算机,但在尝试移动计算机时会收到“拒绝访问”消息.该问题是100％可重现的,并且仅出现在我们域中的少量OU上.

两个OU都有Protect对象启用意外删除.

我所知道的

使用ldp.exe检查ACL确实揭示了一个微小但重要的区别.出于某种原因,只有一个OU的属性ACTRL_DS_DELETE_CHILD被拒绝给所有人.

在OU上打开和关闭Protect对象标志不能解决问题.它确实按预期修改了ACL,但在任何一种情况下ACTRL_DS_DELETE_CHILD标志都是完全未修改的.

我可以使用此解决方案来“修复”特定的OU：

>关闭Protect对象标志
>删除与Everyone关联的拒绝ACE.
>重新打开Protect对象
>现在ACL的匹配.

可能是不同版本的Active Directory或远程服务器管理工??具可能与保护对象标志在OU上实际表示的方式有不同的行为？

问题

什么可能导致这种差异,我该怎么做才能确保它在Active Directory域中的所有OU上得到纠正？

细节

统一差异看起来像这样：

18c18
<       Ace Mask:  0x00010042
---
>       Ace Mask:  0x00010040
20d19
<           ACTRL_DS_DELETE_CHILD

如何识别受影响的组织单位

编辑：我写了一个PowerShell脚本来找到设置了这个标志的组织单位.

$Base = "OU=MyOU,DC=your,DC=domain,DC=com"
Import-Module ActiveDirectory
Set-Location AD:
Get-ADOrganizationalUnit -SearchBase $Base -filter * |
    ForEach-Object {
        $matches = @(
            (Get-ACL $_.DistinguishedName).access |
            Where-Object {
                $_.IdentityReference -eq "Everyone"
            } |
            Where-Object {
                $_.ActiveDirectoryRights -like "*DeleteChild*"
            }
        )
        if ($matches.length -gt 0) {
            Write-Output $_
        }
    } |
    Format-Table DistinguishedName