Как удалить контейнер защищенный от случайного удаления
Перейти к содержимому

Как удалить контейнер защищенный от случайного удаления

  • автор:

HelpDesk

Удаление защищённого подразделения в AD Печать

Изменено: Чт, 14 Апр, 2016 на 1:08 AM

В виндовс сервер 2008 при добавлении объектов AD появилась галочка «Защитить объект от случайного удаления». В ходе создания, например, подразделения, вы можете защитить его от случайного нажатия delete и похожих случайных инцидентов. После такой защиты при попытке переместить объект вам будет выдано сообщение «Не удалось переместить объект по следующей причине: Отказано в доступе», а при попытке его удалить — «Недостаточные привелегии для удаления «объекта», или объект защищен от случайного удаления». Чтобы удалить или переместить такой объект, необходимо в меню «Вид» консоли Управления пользователями и компьютерами домена поставить галочку на «дополнительные компоненты», тогда у интересующего нас объекта в свойствах появится закладка «Объект», на которой можно убрать эту галочку защиты.

Была ли эта статья полезной? Да Нет

К сожалению, мы не смогли помочь вам в разрешении проблемы. Ваш отзыв позволит нам улучшить эту статью.

Защищаем Organization Unit от случайного удаления в домене.

Сейчас я покажу один простой способ обезопасить Organization Unit (Подразделения) в домене polygon.local на системе Windows Server 2008 R2.

Заходим на домен контроллере dc1.polygon.local под учетной записью Domain Admins (Администраторы домена), далее открываем оснастку Active Directory Users and Computers:

StartControl PanelAdministrative ToolsActive Directory Users and Computers.

Перед нами структура домена polygon.local.

Структура домена polygon.local

Задача: Защитить контейнер IT от случайного удаления .

На контейнере IT открываем Properties (Свойства), переходим на Object вкладку (Объекты) и ставим галочку на пункт Protect object from accidental deletion (Защитить объект от случайного удаления), что это значит – если мы или кто-то другой попробует произвести удаление данного объекта

Пробуем удалить контейнер IT:

См. скриншот ниже.

Пробуем удалить контейнер IT.

, будет информационное окно:

О том, что мы не имеем либо достаточных прав на удаление этого объекта, либо объект защищён от случайного удаления.

Информационное окно, указывающее нам, что объект защищен от удаления либо у нас нет достаточных прав.

Вот, что собственно и требовалось. Минимальная защита – это хоть никакая, но защита. На этом всё, удачи!

Удаление объектов в Active Directory Windows Server 2012

Удаление объектов в Active Directory Windows Server 2012

Информация о материале Категория: Система

  • windows-server-2012
  • windows server

Добавлять и удалять объекты в Active Directory не сложно. Однако есть нюансы, которые состоят в том, что по умолчанию удалить обьект в AD нельзя, он защищён от записи. Такая возможность имеется начиная с Windows Server 2008. Поэтому перед тем, как удалять объект, необходимо сначала снять защиту от записи.

Удаление объекта в Active Directory.

1. Для удаления объекта в AD открываем оснастку «Пользователи и компьютеры Active Directory«. Это также можно сделать нажав на «Пуск«, далее выбираем «Администрирование» и в открывшемся меню выбираем «Пользователи и компьютеры Active Directory«.

del object active directory1

2. При создании нового объекта в AD, также автоматически выставляется чекбокс «Защитить контейнер от случайного удаления«. Это даёт дополнительные гарантии от случайного удаления критически важных элементов.

del object active directory2

3. Поэтому если мы будем удалять контейнер обычным способом, то без снятия защиты от удаления, это не получится. Проверим это. Для этого на выбранном объекте нажимаем правой клавишей мыши и выбираем «Удалить«.

del object active directory3

4. Появится запрос на подтверждение удаления: «Вы действительно хотите удалить Подразделение с имененем. «. Нажимаем «Да«.

del object active directory4

5. После этого появится окно с предупреждением о том, что «Недостаточные привилегии для удаления объекта, или объект защищен от случайного удаления«. И объект не удалится.

del object active directory5

6. Для того, чтобы изменить это, необходимо выбрать меню «Вид«, далее поставить чекбокс напротив пункта меню «Дополнительные компоненты«.

del object active directory6

7. После этого нажимаем правой клавишей мыши на выбранный объект, в появившемся меню нажимаем «Свойства«.

del object active directory7

8. На вкладке «Объект» убираем чекбокс «Защитить объект от случайного удаления«, далее «Применить«.

del object active directory8

9. После применения данной операции, объект в AD возможно будет удалить (правой клавишей мышки — «Удалить«).

del object active directory9

10. Затем ответить «Да» на запрос о подтверждении действия по удалению объекта.

del object active directory10

11. По окончании операции, для удобства управления AD, необходимо вернуть все установки по умолчанию (выбираем «Вид«, далее снимаем чекбокс с пункта «Дополнительные компоненты«.

del object active directory11

Как снять защиту от удаления объектов в Active Directory можно также посмотреть здесь:

Защита OU Active Directory от случайного удаления

В Active Directory есть специальная функция защиты объектов от случайного удаления (Organizational Unit, пользователей, групп и т.д.). Данная опция реализуется с помощью флага Protect object from accidental deletion, доступного в свойствах любого объекта. Защита от удаления по умолчанию включена при создании новых OU.

Если вы попытаетесь удалить защищенный объект Active Directory, появится ошибка:

Active Directory Domain Services You do not have sufficient privileges to delete Users, or this object is protected from accidental deletion.

объек ad защищен от случайного удаления

Флаг защиты от удаления отображается на вкладке Options в свойствах OU в консоли Active Directory Users and Computers (dsa.msc) (не забудьте включить опцию View -> Advanced Features).

Protect object from accidental deletion - опция в свойствах OU Active Directory

Вы можете включить или отключить эту опцию из консоли ADUC или с помощью PowerShell.

Например, следующая команда защитит от удаления пользователя AD:

Get-ADUser m.ivanov|Set-ADobject -ProtectedFromAccidentalDeletion $true

Такая команда включит флаг защиты для OU:

Get-ADobject -Identity ‘OU=Admins,OU=MSK,OU=RU,DC=contoso,DC=loc’| Set-ADObject -ProtectedFromAccidentalDeletion $true –verbose

Set-ADObject -ProtectedFromAccidentalDeletion powershell

Нередко бывает, что администраторы временно снимают опцию защиты от удаления для определенных OU, но забывают включить ее обратно.

Следующий PowerShell скрипт найдет в домене все OU, для которых отключена опция ProtectedFromAccidentalDeletion

Import-Module ActiveDirectory
$unprotectedOUs = Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion -SearchScope Subtree| where
#Вывести список OU, для которых отключена защита от удаления:
$unprotectedOUs | Select DistinguishedName, ProtectedFromAccidentalDeletion, Name
# Если вам нужно включить опцию ProtectedFromAccidentalDeletion для найденный контейнеров, выполните следующую команду
#$unprotectedOUs| Set-ADOrganizationalUnit -ProtectedFromAccidentalDeletion $True

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *