В. Мне нужно повысить защиту объектов «компьютер» и «пользователь» в нашем каталоге Active Directory от случайного массового удаления администратором.
О. Когда для объекта AD активировано свойство Protect object from accidental deletion, разрешения объекта автоматически устанавливаются в значения, запрещающие удаление объекта членами встроенной группы Everyone. Это свойство появилось в системе Windows Server 2008, и по умолчанию оно активировано только для организационных подразделений (OU) каталога AD. Когда свойство активировано, оно не наследуется дочерними объектами организационного подразделения и применяется только к объекту OU.
Вы можете вручную активировать свойство Protect object from accidental deletion для объекта «компьютер» или «пользователь» из оснастки консоли Microsoft Management Console (MMC) или из графического интерфейса центра администрирования Active Directory. Можно активировать данное свойство и другим способом, выполнив команду оболочки Windows PowerShell. С помощью оболочки PowerShell вы даже можете одновременно активировать свойство для нескольких объектов AD. Например, следующая команда активирует свойство для всех объектов пользователей и компьютеров в каталоге AD:
Get-ADObject -filter {(ObjectClass -eq «user»)} | Set-ADObject -ProtectedFromAccidentalDeletion:$true
Как видите, эта команда использует команду Get-ADObject, чтобы получить все объекты со значением user в атрибуте ObjectClass, то есть все объекты пользователей и компьютеров в каталоге AD. Затем команда использует команду Set-ADObject, чтобы активировать свойство Protect object from accidental deletion в этих объектах. Команды Get-ADObject и Set-ADObject являются частью модуля Active Directory Module для оболочки Windows PowerShell, который установлен по умолчанию на контроллерах домена, использующих системы Windows Server 2012 или Windows Server 2008 R2. Кроме того, вы можете установить модуль на серверы, не являющиеся контроллерами домена, но работающие на платформах Server 2012 или Server 2008 R2, а также на компьютеры, работающие под управлением систем Windows 8 или Windows 7.