Ngăn chặn việc xóa nhầm dữ liệu trong Windows Server 2003 Active Directory

Bên cạnh đó, còn 1 trường hợp cũng rất dễ xảy ra, đó là người dùng xóa toàn bộ Organizational Unit – OU với tất cả những gì bên trong đó mà không hề để ý đến cửa sổ thông báo hiển thị tiếp theo. Một trong những vấn đề khác thường xuyên gặp phải là di chuyển nhầm 1 đơn vụ OU với tất cả các đối tượng bên trong sang một OU khác: Hãy nhớ rằng, là một người quản trị hệ thống, thì những thành viên của nhóm Domain Admins, Enterprise Admins hoặc Schema Admins groups là...
Nội dung trích xuất từ tài liệu:
Ngăn chặn việc xóa nhầm dữ liệu trong Windows Server 2003 Active Directory Ngăn chặn việc xóa nhầm dữ liệu trong Windows Server 2003 Active DirectoryBên cạnh đó, còn 1 trường hợp cũng rất dễ xảy ra, đó là người dùng xóa toànbộ Organizational Unit – OU với tất cả những gì bên trong đó mà không hềđể ý đến cửa sổ thông báo hiển thị tiếp theo.Một trong những vấn đề khác thường xuyên gặp phải là di chuyển nhầm 1đơn vụ OU với tất cả các đối tượng bên trong sang một OU khác:Hãy nhớ rằng, là một người quản trị hệ thống, thì những thành viên củanhóm Domain Admins, Enterprise Admins hoặc Schema Admins groupslà các vị trí hết sức quan trọng. Nếu bạn không chắc chắn rằng họ có thểđảm nhận được công việc hay không thì tốt nhất là không nên gán quyền chohọ. Các phương pháp được áp dụng ở đây chủ yếu dành cho ActiveDirector và Domain Controller của Windows Server 2003, còn đốivớiWindows Server 2008 thì đã có thêm một số tùy chọn trên giao diện đồhọa.Về mặt lý thuyết, nếu muốn tránh khỏi chuyện xóa nhầm dữ liệu hoặc đốitượng bên trong thì người quản trị phải phân quyền tương ứng đối vớitừng Object hoặc Organizational Unit của Active Directory. Bên cạnh đó,các bạn có thể sử dụng phương pháp dưới đây để gán Access ControlEntries – ACEs:- Đối với thành phần Organizational Unit cần “bảo vệ”, gán thêm DenyACEs tới mức phân quyền Delete vàDelete Subtree của group Everyone.- Với phần Container bên ngoài có chứa OU thì hãy gán DenyACE tới Delete All Child Objects của groupEveryone.Cách làm này sẽ giúp người quản trị ngăn chặn được các đối tượng OU khỏiviệc bị xóa nhầm. Cụ thể là khi ai đó cố tình hoặc vô ý xóa những thànhphần đang được bảo vệ này, hệ thống sẽ hiển thị lỗi thông báo rằng quyềntruy cập và thực hiện thao tác bị từ chối.Cách 1: sử dụng Active Directory Users and Computers:Để thực hiện, các bạn hãy đăng nhập trên máy tính member củagroup Domain Admins, sau đó mở Active Directory Users andComputers từ Start Menu -> Administrative Tools hoặcgõ DSA.MSC trong cửa sổRun. Tiếp theo, áp dụng mức phân quyền phùhợp với đối tượng OU cần bảo vệ bằng cách nhấn chuột phải vàchọn Properties.