Пометить объект Active Directory как & # 8220; Только для чтения & # 8221 ;?
-
05-07-2019 - |
Вопрос
У нас вчера был плохой день. Один из наших администраторов доменов удалил подразделение, содержащее более 700 пользователей и столько же компьютеров, а также другие полезные вещи, такие как группы и т. Д.
Мы восстановились из резервной копии, но это было не красиво.
Я знаю, что ADUC спрашивает вас, уверены ли вы и т. д. ... но мне бы хотелось, чтобы не было возможности удалить этот конкретный OU, не заходя во что-то вроде ADSIEdit, чтобы установить его " допустимый " для удаления - тем самым не позволяя людям удалять без фактического открытия нового приложения и конкретно указывая, что «ДА» - я знаю, что я делаю ». Это позволило бы избежать случайного неправильного кодирования при удалении критических объектов AD.
Любой такой атрибут или метод, о котором вы, ребята, могли бы подумать?
Решение
Просто удалите разрешение на удаление вещей у тех, кто не может сделать это правильно. Вы можете дать очень детальные разрешения в AD.
Нет "только для чтения" приписывать. Вот для чего списки ACL .
Другие советы
В AD есть функция для Win2k3 и выше, чтобы пометить объект для предотвращения случайного удаления. Этот флажок на объекте фактически изменяет базовые разрешения для вас, чтобы удалить разрешения на удаление. Поэтому он не зависит от инструмента и должен соблюдаться другими инструментами (такими как powershell и vbscript).
Вы можете запретить привилегию удаления от администраторов через делегирование на корневом уровне, а затем вам потребуется быть администратором предприятия для выполнения удалений. Убедитесь, что ни один из администраторов не входит в группу «Администраторы предприятия» для повседневного использования.