昨天我们度过了糟糕的一天。我们的一个域管理员删除了一个OU,其中包含700多个用户和相同数量的计算机以及各种其他有用的东西,例如组等。
我们从备份恢复,但它不漂亮。
我知道ADUC会问你是否确定等...但是如果不能删除这个特定的OU而没有像ADSIEdit那样设置它“允许”删除那么我会喜欢它 - 从而不允许人们删除而不实际打开一个新的应用程序,并特别指出“是的 - 我知道我在做什么”。这样可以防止意外错误编码从删除关键AD对象中获得额外的好处。
你们可以想到的任何这样的属性或方法?
答案 0 :(得分:2)
AD中有一个功能用于Win2k3及更高版本以标记对象以防止意外删除。对象上的此复选框实际上更改了您删除删除权限的基础权限。因此,它不是特定于工具的,必须受到其他工具(如powershell和vbscript)的尊重。
答案 1 :(得分:0)
只需删除无法正确删除内容的权限即可。您可以在AD中提供非常细粒度的权限。
没有“只读”属性。这就是ACLs的用途。
答案 2 :(得分:0)
您可以在根级别拒绝管理员通过委派删除权限,然后您需要成为企业管理员才能执行删除。确保Enterprise Admins组中没有管理员用于日常使用。