Active Directory 객체를 "읽기 전용"으로 표시 하시겠습니까?

Question

우리는 어제 나쁜 하루를 보냈습니다. 우리의 도메인 관리자 중 하나는 700 명 이상의 사용자와 동일한 양의 컴퓨터를 포함하는 OU를 삭제하고 그룹 등과 같은 다른 유용한 것들을 삭제했습니다.

우리는 백업에서 복원했지만 예쁘지 않았습니다.

나는 Aduc이 당신이 확실히 당신에게 묻는 것을 알고 있습니다 ... 그러나 adsiedit과 같은 것에 들어가지 않고이 특정 OU를 삭제할 수 없다면 삭제할 수 있도록 "허용"할 수 없습니다. 실제로 새 앱을 열지 않고 삭제하고 구체적으로 "예 - 내가하고있는 일을 알고 있습니다"라고 표시합니다. 이것은 중요한 광고 개체를 삭제하는 데 우발적으로 잘못 코딩하는 것을 막는 이점이 있습니다.

사람들이 생각할 수있는 그러한 속성이나 방법이 있습니까?

Answer 1

올바르게 얻을 수없는 사람들에서 물건을 삭제할 수있는 권한을 제거하십시오. AD에서 매우 세밀한 권한을 부여 할 수 있습니다.

"Readonly"속성이 없습니다. 그게 뭐야 ACL .

Answer 2

Win2K3 이상에 대한 AD에는 우발적 인 삭제를 방지하기위한 객체를 표시하는 기능이 있습니다. 객체 의이 확인란은 실제로 삭제 권한을 제거하기위한 기본 권한을 변경합니다. 따라서 도구 특유의 것이 아니며 다른 도구 (PowerShell 및 VBScrip과 같은)에 의해 존중되어야합니다.

Answer 3

루트 레벨에서 대표단을 통해 관리자의 프라이버그 삭제를 거부 한 다음 삭제를 수행하려면 엔터프라이즈 관리자 여야합니다. 일상적인 사용을 위해 Enterprise Admins Group에 관리자가 없는지 확인하십시오.