昨天我们度过了糟糕的一天。我们的一位域管理员删除了一个 OU,其中包含 700 多个用户和相同数量的计算机以及各种其他有用的东西,如组等。
我们从备份中恢复,但它并不漂亮。
我知道 ADUC 会询问您是否确定等...但是如果无法删除此特定 OU 而无需进入 ADSIEdit 之类的设置以将其设置为“允许”删除 - 从而不允许人们在不实际打开新应用程序的情况下删除并特别指出“是的 - 我知道我在做什么”。这将具有阻止意外错误编码删除关键 AD 对象的额外好处。
你们能想到的任何这样的属性或方法吗?
Win2k3 及更高版本的 AD 中有一个功能可以标记对象以防止意外删除。对象上的此复选框实际上更改了您删除删除权限的基础权限。因此,它不是特定于工具的,必须受到其他工具(如 powershell 和 vbscript)的尊重。
只需删除那些无法正确删除内容的权限即可。您可以在 AD 中提供非常精细的权限。
没有“只读”属性。这就是ACL的用途。
您可以在根级别通过委派拒绝管理员的删除权限,然后您需要成为企业管理员才能执行删除。确保 Enterprise Admins 组中没有管理员用于日常使用。