No se puede mover OU en Active Directory (acceso denegado)

Antecedentes

Intenté mover una unidad organizativa en Active Directory hoy y recibí un error de acceso denegado. Tras una inspección adicional de mi cuenta de usuario de AD, tuve el permiso necesario para mover el objeto (tenía permiso completo en el conjunto de unidades organizativas con las que estaba trabajando) y he movido elementos varias veces en AD en el transcurso de mi carrera de TI; lo que también hace que sea un poco extraño que me haya topado con esto por primera vez, pero no obstante.

Lo que probé

• Dar mi permiso de cuenta de usuario de AD individual a las unidades organizativas particulares en lugar de solo al grupo de seguridad de AD del que formaba parte, ya tenía permiso para las unidades organizativas
• Usar una cuenta de administrador de dominio para probar el movimiento
• Restablecer la contraseña de mi cuenta de usuario y luego cerrar sesión y abrir AD y mover la unidad organizativa
• Intenté conectarme a un controlador de dominio diferente y realizar el movimiento
• Intenté conectarme a AD a través de un servidor diferente con RSAT instalado y realizar el movimiento

Todo esto terminó sin éxito.

La pregunta

¿Por qué no puedo mover una unidad organizativa en Active Directory a otra unidad organizativa cuando tengo permiso completo en ambas unidades organizativas?

Aunque hay varias publicaciones relacionadas con la protección de eliminación accidental, ACE / ACL, permisos y movimientos / eliminaciones en general, no pude encontrar una que se ocupe de mi problema específico por simple que sea.

Responder

Si obtiene un acceso denegado cuando intenta mover una unidad organizativa para la que sabe que tiene permiso, simplemente siga estos pasos:

1. Haga clic con el botón derecho en la unidad organizativa u objeto en cuestión y seleccione Propiedades
2. Desde aquí, navegue a la pestaña Objeto; si no ve la pestaña Objeto, haga clic en Ver en el menú superior del archivo y seleccione Funciones avanzadas, luego repita el paso 1.
3. En la pestaña Objeto, verá una opción para "Proteger el objeto de la eliminación accidental". Si está marcado, simplemente desactívelo.

4. Mueva la unidad organizativa a la ubicación deseada
5. Repita los pasos 1 y 2, y luego marque la casilla para habilitar nuevamente la protección de eliminación en el objeto.

Microsoft trata un movimiento como una eliminación en AD, por lo que, aunque técnicamente no está eliminando la unidad organizativa, la operación de moverlo implica una eliminación del objeto en el proceso y es por eso que no puede moverlo aunque su cuenta de usuario puede tener control total sobre esa OU / Objeto particular en AD. Espero que esto ayude a cualquiera que se golpee la cabeza contra la pared como yo.