بمناسبة كائن Active Directory كما "للقراءة فقط"؟
-
05-07-2019 - |
سؤال
وكان لدينا يوما سيئا أمس. حذف أحد المسؤولين المجال لنا لOU التي تحتوي على 700+ المستخدمين وعلى نفس القدر من أجهزة الكمبيوتر، فضلا عن أشياء أخرى مفيدة متنوعة مثل جماعات الخ.
ونحن استعادة من نسخة احتياطية، لكنه لم يكن جميلا.
وأنا أعلم أن ADUC يسألك إذا كنت متأكدا الخ ... ولكن أود لو لم يكن من الممكن حذف هذا OU معين دون الخوض في شيء من هذا القبيل ADSIEdit لتعيين "المسموح" للحذف - وبالتالي لا يسمح للناس لحذف الواقع دون فتح التطبيق الجديد ومشيرا على وجه التحديد أن "YES - أنا أعرف ما أفعله". وسيكون لذلك فائدة إضافية تتمثل في وقف miscoding عرضية من حذف كائنات AD حرجة.
وأي من هذه السمة أو الطريقة التي الناس يمكن التفكير؟
نصائح أخرى
وهناك ميزة في AD للWin2k3 وأعلى للاحتفال كائن لمنع الحذف العرضي. خانة الاختيار هذه على الكائن في الواقع تغيير الأذونات الأساسية بالنسبة لك لإزالة أذونات الحذف. ولذلك فإنه ليس أداة محددة ويجب احترامها من قبل أدوات أخرى (مثل بوويرشيل و VBScript).
هل يمكن أن ينكر privalge حذف من المسؤولين من خلال وفد على مستوى الجذر ثم كنت بحاجة إلى أن تكون أحد مشرفي المؤسسة لأداء الحذف. ضمان عدم وجود مدراء وفي مجموعة إدارة المؤسسة لاستخدام يوما بعد يوم.