Active Directoryオブジェクトを“読み取り専用&#8221 ;?
-
05-07-2019 - |
質問
昨日は悪い一日でした。ドメイン管理者の1人が、700人以上のユーザーと同量のコンピューターを含むOUを削除しました。グループなどのその他の便利なものも分類しました。
バックアップから復元しましたが、きれいではありませんでした。
ADUCがあなたに確信があるかどうかを尋ねることを知っています...しかし、ADSIEditのようなものを「許可可能」に設定せずにこの特定のOUを削除することができなかったなら、私はそれが欲しいです。削除-それにより、ユーザーが実際に新しいアプリを開かずに削除できるようにし、「はい-私は何をしているのか」を明確に示します。これには、重要なADオブジェクトの削除による偶発的なミスコーディングを防ぐという追加の利点があります。
あなたが考えているような属性や方法はありますか?
解決
それを正しくできない人から物事を削除する許可を単に削除します。 ADで非常に詳細な権限を付与できます。
「読み取り専用」はありません;属性。それが ACL の目的です。
他のヒント
Win2k3以降のADには、誤って削除されないようにオブジェクトをマークする機能があります。オブジェクトのこのチェックボックスは、削除許可を削除するための基礎となる許可を実際に変更します。したがって、これはツール固有ではなく、他のツール(powershellやvbscriptなど)で尊重される必要があります。
ルートレベルでの委任を通じて管理者からの削除特権を拒否できます。削除を実行するには、エンタープライズ管理者である必要があります。日常的に使用する管理者がEnterprise Adminsグループに含まれていないことを確認します。
所属していません StackOverflow