В каталоге AD трудно восстановить данные, потерянные в результате случайных изменений, таких как удаление подразделения, содержащего множество объектов. По сути дела, администраторам с делегируемыми полномочиями не должны предоставляться права на удаление подразделений или других важных объектов, но даже администраторы домена иногда принимают странные решения.

В системе Windows Server 2008 разработчики Microsoft добавили в оснастку Active Directory Users and Computers (ADUC) консоли Microsoft Management Console новую возможность, позволяющую предотвратить случайное удаление объекта. В свойствах объекта добавлен новый флаг с названием Protect object from accidental deletion. Если данный флаг установлен, то в правилах доступа к объекту, который необходимо защитить, появляются две простые запрещающие записи Deny:

*Everyone – Delete
*Everyone – Delete Subtree

Если вы знакомы с моделью безопасности службы AD, то сможете задать подобные разрешения для лесов AD, построенных на платформах Windows 2000 или Windows Server 2003.

Жан де Клерк (jan.declercq@hp.com) — сотрудник Security Office компании HP. Специализируется на управлении идентификационными параметрами и безопасностью в продуктах Microsoft