昨日はひどい一日でした。ドメイン管理者の 1 人が、700 人以上のユーザーと同数のコンピューターを含む OU を削除し、グループなどのその他の有用なものをまとめました。
バックアップから復元しましたが、きれいではありませんでした。
ADUCがあなたに確信があるかどうかなどを尋ねることは知っています...しかし、ADSIEditのようなものにアクセスして削除を「許可」に設定せずにこの特定のOUを削除することができなかった場合、それによって人々を許可しないようにしたいと思います実際に新しいアプリを開かずに、「はい、自分が何をしているのか知っています」と明確に示すことなく削除します。これには、重要な AD オブジェクトを削除することによる偶発的なミスコーディングを防ぐという追加の利点があります。
皆さんが思いつくような属性やメソッドはありますか?
Win2k3 以降の AD には、偶発的な削除を防ぐためにオブジェクトをマークする機能があります。オブジェクトのこのチェック ボックスは、実際には基になるアクセス許可を変更して、削除アクセス許可を削除します。したがって、これはツール固有のものではなく、他のツール (powershell や vbscript など) によって尊重される必要があります。
物事を削除する権限を、正しく取得できない人から削除するだけです。AD では非常にきめ細かい権限を付与できます。
「読み取り専用」属性はありません。それがACLの目的です。
ルート レベルで委任を介して管理者からの削除特権を拒否することができ、削除を実行するにはエンタープライズ管理者である必要があります。日常的に使用する Enterprise Admins グループに管理者が含まれていないことを確認します。