更新AD2003至AD2008R2後,除了在遠端站點部署了台RODC後,也沒有去學習新的特性,但知道有個AD2008 R2有個删除資源回收筒功能,且域功能級别必須是win2008 r2。
現在上海站點已經更新AD為win2008R2,但常熟站點還都是Win2003 AD。是以無法實作這種功能。
今天在無意間檢視AD對象的路徑時,有個“防止對象被意外删除”複選框(如下圖),頓時眼前一亮,這東西要是早點有該多好,幾年前的一次不小心,本人把一個OU給删了,裡面有好幾百好号人,而且都不是一般的User,最後隻能通過目錄服務恢複模式恢複。
(順便提一下,預設情況下是看不到“對象”這個欄位的,在查詢對象時必須在“AD使用者和計算機”管理控制台的“檢視”内選擇“進階功能”,如下圖
)
有了這功能,在一些OU或重要AD對象上啟用它。就不能直接删除該AD對象了(如下圖),在删除時必須取消該選項。
通過這個功能,如果您的公司是通過程式來建立每一個AD使用者帳戶,可以通過自動設定這個功能,在該員工離職後系統自動删除帳号前取消該功能并徹底删除該号。這樣可以很有效的保護AD帳号的安全性。(我将打算這麼實施,因為公司對AD通路的人太多了,難免有誤操作的時候)
本文轉自William宋 51CTO部落格,原文連結:http://blog.51cto.com/sting/595264,如需轉載請自行聯系原作者