Защита организационных подразделений от случайного удаления

Опубликовано: 13 Марта, 2023
Защита организационных подразделений от случайного удаления

Как люди, мы все делаем ошибки. Некоторые более критичны, чем другие, это точно. Одной из наиболее катастрофических ошибок, которую может совершить администратор Active Directory, является случайное удаление организационной единицы (OU). К счастью, этой ошибки можно избежать. Вы можете защитить себя и свою организацию от случайного удаления OU. В этой статье я покажу вам, как это сделать. Во-первых, позвольте мне показать вам, почему эта ошибка настолько серьезна.

Зачем защищать организационное подразделение от удаления?

В Active Directory OU — это, по сути, тип контейнера. Это логическая структура, которая обычно включает другие объекты. Эти объекты могут включать учетные записи пользователей, группы, учетные записи компьютеров, принтеры и многое другое. Организационная единица может даже содержать другие подразделения.

Изображение 21

Как вы, наверное, догадались, при удалении организационного подразделения удаляются и находящиеся в нем объекты. Я уверен, вы можете себе представить проблемы, которые могут возникнуть, если администратор случайно удалит OU, содержащую тысячи учетных записей пользователей.

Есть ли у этой ошибки решение? Можно ли как-то восстановить удаленную организационную единицу?

Можно ли восстановить удаленную OU

Прямо сейчас вам может быть интересно, можно ли вообще восстановить случайно удаленную организационную единицу.

Варианты зависят от того, включили ли вы корзину Active Directory или нет. Если да, то обычно можно восстановить OU. Если нет, то удаленная OU становится объектом-захоронением. Несмотря на то, что вы можете восстановить объект-захоронение, он теряет большинство своих атрибутов. В результате вы можете получить очень мало пользы от восстановления этого объекта. Вместо этого может быть лучше просто воссоздать его.

Позвольте мне показать вам, как вы можете включить корзину AD.

Включить корзину Active Directory

Корзина Active Directory может защитить вас только в том случае, если вы включите ее ДО случайного удаления. Если вы хотите включить корзину AD, просто выполните следующие 3 шага:

  1. Откройте центр администрирования Active Directory.
  2. Щелкните правой кнопкой мыши имя своего домена и выберите команду «Включить корзину» в контекстном меню.
  3. Нажмите OK, чтобы подтвердить, что вы хотите включить корзину Active Directory.

Когда это будет сделано, вы сможете восстановить большинство удаленных подразделений. Позвольте мне показать вам, как это сделать.

Восстановление удаленного организационного подразделения

Полное восстановление OU может не рассматриваться в этой статье. Тем не менее, я все же хочу дать вам общий обзор процесса.

Давайте сначала разберемся с некоторыми вещами.

Когда вы запрашиваете удаление OU, Windows выдает вам страшное предупреждение о том, что OU и входящие в нее объекты будут удалены. Самое главное, это сообщение сообщает вам, что если вы запаникуете и попытаетесь отменить удаление в середине процесса, вы не сможете восстановить какие-либо объекты, которые уже были удалены. Предполагая, что корзина Active Directory включена, лучше просто позволить нежелательному удалению завершиться. Не прерывайте его.

Изображение 4037

Для наших целей я удалил тот пример OU, который показывал вам ранее. Как вы можете видеть на рисунке ниже, пример OU указан в корзине Active Directory. Вы также увидите все объекты, которые были в удаленной OU.

Изображение 4038

Чтобы восстановить удаленный объект, просто выберите его и нажмите . Тем не менее, это не приведет к восстановлению объектов в организационном подразделении. Вместо этого восстановите OU, а затем восстановите ранее имевшиеся в ней объекты.

Изображение 4039

После восстановления самой OU вы можете восстановить отдельные объекты из корзины Active Directory. Просто выберите их и нажмите «Восстановить».

Изображение 4040
Изображение 4041

Как вы можете видеть на рисунке выше, удаленные элементы действительно были восстановлены.

Советы профессионалов

При восстановлении организационной единицы вы должны помнить две очень важные вещи:

  • Восстановите организационную единицу, прежде чем пытаться восстановить отдельные объекты. В противном случае восстановление не будет успешным.
  • Обновите консоль после восстановления. В противном случае консоль пользователей и компьютеров Active Directory не подтвердит восстановление.

При благоприятных обстоятельствах удаленное организационное подразделение можно восстановить. Тем не менее, гораздо лучше вообще предотвратить случайное удаление. Давайте посмотрим, как вы можете это сделать.

Предотвращение случайного удаления OU

Когда вы создаете OU, консоль пользователей и компьютеров Active Directory автоматически защищает организационную единицу от удаления. (То есть, если вы используете последнюю версию Windows). Как вы можете видеть ниже, в окне создания по умолчанию установлен флажок. Он защищает вашу организационную единицу от случайного удаления.

Изображение 4042

Теперь, что вы можете сделать для организационных единиц, которые у вас уже есть?

Защита существующих подразделений

Скорее всего, у вас есть несколько организационных единиц, которые не были автоматически защищены при создании. Вы можете использовать PowerShell для проверки незащищенных подразделений. Для этого просто используйте следующую команду:

Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | где {$_.ProtectedFromAccidentalDeletion -eq $false}
Изображение 4043

Теперь, когда вы знаете, какие OU незащищены, вы также можете использовать PowerShell для включения защиты. Просто используйте следующие команды:

$OUs = Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | где {$_.ProtectedFromAccidentalDeletion -eq $false}$OUs | Set-ADOrganizationalUnit-ProtectedFromAccidentalDeletion $true
Изображение 4044

Последние мысли

Организационная единица может содержать важную информацию и учетные записи пользователей в вашей компании. Вот почему это может быть огромной проблемой, если вы случайно удалили его. К счастью, вы можете восстановить удаленные подразделения. Просто убедитесь, что вы заранее включили корзину Active Directory.

Однако гораздо лучше вообще предотвратить случайное удаление. В последних версиях Windows это включено по умолчанию. Тем не менее, вы также можете использовать PowerShell, чтобы определить, не является ли организационное подразделение безопасным, и включить защиту.

У вас есть вопросы об организационных единицах? Ознакомьтесь с часто задаваемыми вопросами и ресурсами ниже!

Часто задаваемые вопросы

Зачем нужно защищать OU от случайного удаления, если их можно восстановить?

При определенных обстоятельствах можно восстановить удаленную организационную единицу. Тем не менее, гораздо лучше заранее предотвратить удаление OU. Защита OU от удаления помогает избежать сбоев. Это также предотвращает неопределенности, связанные с процессом восстановления.

Имеет ли использование PowerShell для предотвращения случайного удаления OU какое-либо преимущество перед использованием графического интерфейса?

Вы можете включить защиту организационного подразделения с помощью PowerShell или графического интерфейса. Оба средства работают одинаково хорошо. Единственное преимущество использования PowerShell заключается в том, что он уменьшает объем работы, необходимой при работе в сложных средах. Когда у вас большое количество OU, вам не нужно проверять каждую по отдельности.

Поскольку Windows Server по умолчанию защищает OU, есть ли реальная польза от проверки того, включена ли защита OU?

Некоторые старые версии Windows не включали защиту OU автоматически. Это особенно актуально для OU, созданных с помощью инструментов групповой политики. Следовательно, любые старые подразделения в вашей среде, скорее всего, небезопасны. Когда вы знаете, какие из них небезопасны, вы можете включить защиту.

Можно ли удалить защищенную OU?

Если в какой-то момент вы решите, что вам нужно удалить защищенную OU, вы можете легко это сделать. Просто снимите флажок «Защитить объект от случайного удаления». Затем удалите OU, как и любой другой объект Active Directory. Защита по умолчанию просто гарантирует, что никто в вашей организации не удалит то, что не должен.

Как помогает защита OU, если есть способ удалить OU?

Прежде чем вы сможете удалить OU, вы должны отключить защиту OU. В результате, даже если вы все еще можете удалить OU, это все равно требует дополнительного шага. Следовательно, вы должны приложить сознательные усилия, чтобы удалить организационную единицу. Никто не может просто нажать «Удалить» и стереть всю OU.

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023