將Active Directory對象標記爲「只讀」？

Question

昨天我們度過了一個糟糕的一天。我們的一個域管理員的刪除含有700+用戶的OU和計算機相同數量的，以及像組等

我們從備份中還原各種其他有用的東西，但它並不漂亮。

我知道ADUC會問你是否確定等等......但是如果不能刪除這個特定的OU而沒有進入像ADSIEdit這樣的設置將它設置爲「允許」刪除 - 從而不允許人們在沒有實際打開新應用程序的情況下進行刪除，並且特別指出「是 - 我知道我在做什麼」。這將有助於阻止刪除關鍵AD對象時發生意外誤碼。

任何這樣的屬性或方法，你們可以想到的？

Answer 1

只需刪除那些無法正確刪除的權限即可。您可以在AD中提供非常細緻的權限。

沒有「只讀」屬性。這就是ACLs的目的。

Answer 2

你可以在根級別代表團通過拒絕從管理員刪除privalge，然後你將需要企業系統管理員執行刪除操作。確保日常使用情況下，Enterprise Admins組中沒有管理員。

Answer 3

有一個在AD爲WIN2K3和更高的一個特徵標記的物體，以防止意外刪除。對象上的該複選框實際上會更改基礎權限，以便刪除刪除權限。因此它不是工具特定的，必須被其他工具（如powershell和vbscript）所尊重。 （注意：我認識到這是一個非常古老的問題，但感覺這個答案值得加，因爲它直接說明了這個問題。我看了常見問題解答，花了10分鐘時間試着看看我是否違反任何規則而找不到指導。