昨天我们度过了糟糕的一天。 我们的一个域pipe理员删除了一个包含700多个用户和相同数量的计算机的OU,以及诸如组等其他有用的东西。
我们从备份恢复,但它不漂亮。
我知道ADUC会问你是否确定等等,但是如果不能像ADSIEdit那样删除这个特定的OU,把它设置为“允许的”删除,那么我想要它,删除而不实际打开一个新的应用程序,并明确指出“是 – 我知道我在做什么”。 这样做可以避免因删除关键的AD对象而造成的意外误码。
你们可以想到的任何这样的属性或方法?
简单地删除权限,删除那些无法正确的东西。 您可以在AD中提供非常细致的权限。
没有“只读”属性。 这就是ACL的用途。
对于Win2k3以及更高版本,AD中有一个特性用于标记对象以防止意外删除。 对象上的这个复选框实际上改变了你的基本权限以删除删除权限。 因此它不是工具特定的,必须被其他工具(如powershell和vbscript)所尊重。
(注意:我认识到这是一个非常古老的问题,但是觉得这个答案值得加上,因为它直接提到了这个问题,我看了一下常见问题解答,花了10分钟的时间,试图看看我是否违反任何规则,找不到指导。
您可以拒绝从根级通过授权从管理员删除权限,然后您将需要成为企业管理员执行删除。 确保没有管理员在日常使用的Enterprise Admins组中。