Отметить объект Active Directory как «Только для чтения»? - PullRequest
1 голос
/ 30 октября 2008

У нас вчера был плохой день. Один из наших администраторов доменов удалил подразделение, содержащее более 700 пользователей и столько же компьютеров, а также другие полезные вещи, такие как группы и т. Д.

Мы восстановились из резервной копии, но это было не красиво.

Я знаю, что ADUC спрашивает вас, уверены ли вы и т. Д. ... но мне бы хотелось, чтобы не было возможности удалить это конкретное подразделение, не заходя во что-то вроде ADSIEdit, чтобы установить его "допустимым" для удаления - тем самым не разрешать людям удалять без фактического открытия нового приложения и конкретно указывать, что «ДА - я знаю, что делаю». Это позволило бы избежать случайного неправильного кодирования при удалении критических объектов AD.

Любой такой атрибут или метод, о котором вы, ребята, могли бы подумать?

Ответы [ 3 ]

2 голосов
/ 08 июня 2011

В AD есть функция для Win2k3 и выше, чтобы пометить объект для предотвращения случайного удаления. Этот флажок на объекте фактически изменяет базовые разрешения для вас, чтобы удалить разрешения на удаление. Поэтому он не зависит от инструмента и должен соблюдаться другими инструментами (такими как powershell и vbscript).

0 голосов
/ 31 октября 2008

Вы можете запретить привилегию удаления от администраторов через делегирование на корневом уровне, и тогда вам потребуется администратор предприятия для выполнения удалений. Убедитесь, что ни один из администраторов не входит в группу «Администраторы предприятия» для повседневного использования.

0 голосов
/ 31 октября 2008

Просто удалите разрешение на удаление вещей из тех, кто не может сделать это правильно. Вы можете дать очень детальные разрешения в AD.

Нет атрибута "только для чтения". Вот для чего ACL .

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...