Marcar um objeto Active Directory como “Read-Only”?
https://stackoverflow.com/questions/251738
-
05-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Nós tivemos um dia ruim ontem. Um dos nossos administradores de domínio excluída uma UO que contém mais de 700 usuários e a mesma quantidade de computadores, bem como diversos outros coisas úteis como grupos etc.
Nós restaurado a partir de um backup, mas não era bonita.
Eu sei que ADUC pergunta se você tem certeza etc ... mas eu gostaria que se não fosse possível apagar essa OU específica, sem entrar em algo como ADSIEdit para defini-la "permitido" para exclusão - assim não permitindo que as pessoas a eliminar sem realmente abrir um novo aplicativo e indicando especificamente que "SIM - Eu sei o que estou fazendo". Isso teria a vantagem de parar codificação errada acidental de excluir objetos do AD críticos.
Qualquer atributo ou método que as pessoas poderiam pensar?
Solução
Simplesmente remova a permissão para as coisas de exclusão daqueles incapazes de obtê-lo direito. Você pode dar permissões de grãos muito finos no AD.
Não há atributo "somente leitura". Isso é o que a ACLs são para.
Outras dicas
Há um recurso no AD para Win2k3 e superior para marcar um objeto para evitar a exclusão acidental. Esta caixa de seleção no objeto realmente muda as permissões subjacentes para você remover permissões de exclusão. Portanto, não é específica da ferramenta e deve ser respeitado por outras ferramentas (como o PowerShell e VBScript).
Você pode negar o privalge Excluir administradores através de Delegação no nível de raiz e, em seguida, você precisa ser um administrador da empresa para executar as exclusões. Garantir que nenhum administradores estão no grupo Administradores de empresa para o uso do dia-a-dia.
