Marcar un objeto de Active Directory como & # 8220; solo lectura & # 8221 ;?
https://stackoverflow.com/questions/251738
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Tuvimos un mal día ayer. Uno de nuestros administradores de dominio eliminó una OU con más de 700 usuarios y la misma cantidad de computadoras, así como una variedad de otras cosas útiles como grupos, etc.
Hemos restaurado desde una copia de seguridad, pero no fue bonita.
Sé que ADUC le pregunta si está seguro, etc ... pero me gustaría que no fuera posible eliminar esta unidad organizativa en particular sin entrar en algo como ADSIEdit para configurarlo " permisible " para eliminar, por lo tanto, no permitir que las personas eliminen sin abrir realmente una nueva aplicación e indicando específicamente que "SÍ", sé lo que estoy haciendo ". Esto tendría el beneficio adicional de evitar que los errores de codificación eliminen los objetos críticos de AD.
¿Algún atributo o método de este tipo que ustedes puedan pensar?
Solución
Simplemente elimine el permiso para eliminar cosas de aquellos que no pueden hacerlo bien. Puede otorgar permisos muy específicos en AD.
No hay " readonly " atributo. Para eso están las ACLs .
Otros consejos
Hay una función en AD para Win2k3 y superior para marcar un objeto para evitar su eliminación accidental. Esta casilla de verificación en el objeto realmente cambia los permisos subyacentes para que usted elimine los permisos de eliminación. Por lo tanto, no es una herramienta específica y debe ser respetada por otras herramientas (como powershell y vbscript).
Puede negar el privilegio Eliminar de los administradores a través de la Delegación en el nivel raíz y, luego, deberá ser un administrador de empresa para realizar eliminaciones. Asegúrese de que no haya administradores en el grupo de administradores de empresas para el uso diario.
