>Детали о защите от случайного удаления в AD

>

В свое время, когда я делал доклад о новом в Windows Active Directory Directory Services в Windows 2008, и рассказывал об улучшениях интерфейса, была затронута тема о галочке "prevent from accidental deletion". Это новая фишкаimage в консоли Active Direstory Users and Computers (ADUC), которая не позволяет удалить объект до тех пор, пока не снята некая галочка в свойствах этого объекта. В этот момент меня спросили, является ли эта функция всего лишь деталью интерфейса (то есть, можно ли справиться с помеченным таким образом объектом с помощью других средств, например ldp?) или при ее установке в AD происходят какие-то изменения? В тот день я ответил (предположил), что это скорее всего только функция интерфейса (позор мне! =) ), но червячок сомнения остался и грыз меня больше полугода. Наконец-то (буквально вчера) я добрался до проверки ответа на этот вопрос. Естественно, я оказался не прав, иначе не было бы этого поста. Итак, ответ.

Если мы поставили эту галочку, то удалить объект не сняв отметку можно будет только после пляски с бубном. Причем, это работает даже при нахождении в Active Directory 2003 (для этого нужно только поставить RSAT на Vista, чтобы увидеть новый элемент интерфейса в ADUC), несмотря на то, что схема не изменена. Как же это работает, в таком случае? Да очень просто (как все гениальное, ага =) ).

Когда мы помечаем галочкой упомянутый выше чекбокс, на самом деле в image разрешениях на изменяемый/создаваемый объект AD выставляются разрешения Deny Delete & Deny Delete Subtree для группы Everyone. Теперь невозможно случайно удалить объект. Да что там случайно, даже для того, чтобы удалить его целенаправленно, придется попотеть:

1) если у Вас стоит RSAT, то нужно будет включить в ADUC «Advanced Features», потом открыть свойства объекта и снять галочку, после чего его можно будет удалить

2) если RSAT нет, то придется так же находить надоевший нам объект и править разрешения на вкладке Security

По умолчанию, когда создание объекта происходит в новой консоли, эта опция включена, что хорошо. Однако для старых объектов, созданных в старой консоли ADUC этого не происходит, потому или нужно быть осторожным или просто пройтись скриптом по дереву и пометить все это дело, как "защищенное от случайного удаления" ;)

Реклама

>Детали о защите от случайного удаления в AD: 0 комментариев

  1. missterr

    >Сори за некоторый оффтоп, но возникла проблема и нигде не могу найти решения, хелп плз!При создании подразделения(как понял OU) в 2008м оставил галку «Защитить от случайного удаления», в свойствах объекта вообще нет вкладки objekt(есть 3 вкладки: Общие, Управляется и COM+). Как удалить OU в этом случае?

    Нравится

  2. KomatoZo

    >Попробуйте в оснастке пойти в меню View, там нажать на Advanced Features и снова в свойства объекта. Думаю, что все появится. Если нет — напишите на e-mail komatozo[at]gmail[dot]com

    Нравится

  3. Salavat

    Добрый день. Обнаружил неясный момент: установленная галка на этой опции в учетках с правами domain admins через 15-20 мин слетает. С «обычными» учетными записями в этом плане норм.
    Что это на Ваш взгляд — баг; связано с каким-то функционалом; или проблема в конкретном домене?

    Нравится

  4. Salavat

    Учетные записи, входящие в группу Domain Admins.
    В сообщении по приведенной Вами ссылке, насколько понял, говориться об учетных записях, входившими в эту группу («следы» этого пребывания adminCount=1, запрет на наследование разрешений от родительского объекта в домене).
    Т.о. получается, что для всех учетных записей, которые прямо или косвенно относятся к защищенным AdminSDHolder группам, невозможно включить опцию «Защиты объекта от случайного удаления», SDProp раз в час все равно это будет отключать.

    Нравится

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s