将 Active Directory 对象标记为“只读”？

Question

昨天我们度过了糟糕的一天。 我们的一位域管理员删除了一个包含 700 多个用户和相同数量的计算机的 OU，以及其他各种有用的东西，例如组等。

我们从备份中恢复，但这并不完美。

我知道 ADUC 会询问您是否确定等...但如果不进入 ADSIEdit 之类的东西将其设置为“允许”删除，从而不允许人们删除该特定 OU，我希望它删除而不实际打开新应用程序并特别指出“是 - 我知道我在做什么”。 这将具有阻止意外错误编码删除关键 AD 对象的额外好处。

你们能想到这样的属性或方法吗？

Answer 1

Win2k3及更高版本的AD中有一个功能可以标记对象以防止意外删除。 对象上的此复选框实际上会更改基础权限，以便您删除删除权限。 因此，它不是特定于工具的，必须受到其他工具（如 powershell 和 vbscript）的尊重。

Answer 2

只需删除那些无法正确删除内容的权限即可。 您可以在 AD 中授予非常细粒度的权限。

没有“只读”属性。 这就是 ACL 的用途。

Answer 3

您可以通过根级别的委派拒绝管理员的删除权限，然后您需要成为企业管理员才能执行删除。 确保企业管理员组中没有管理员进行日常使用。