Прочитав несколько дней назад пост Александра Трофимова, пришел к следующим выводам. Возможна ситуация, когда потребуется ручками проходить множество свойств, для того чтобы убрать “галочки” “prevent from accidental deletion” в консоли Active Direstory Users and Computers (ADUC). Занятие это муторное, и Александр отметил — придется писать скрипт. Сам по себе скрипт — вещь не сложная, но во-первых, его нужно на чем-то отладить, а во-вторых, ошибка в нем может стоить дорогого. С другой стороны существует множество проблем, когда вирус, троян или просто хакер (иногда злой бывший администратор) изменяет некоторые вещи в AD таким образом, что не сразу сообразишь как восстановить.
Следует отметить, что есть утилитка: ADSI Edit, из состава Windows Support Tools; которая позволяет все это сделать, но в ручном режиме. То есть находить нужный объект и править его придется во многое колличество действий, и не исключаются ошибки (особенно если эту утилитку не знаешь, и тем более если имеешь слабое представление о структуре AD и LDAP версии 3.
Также, зачастую нужно что либо восстанавливать срочно, и тут еще не написанные скрипты не помогут.
Поэтому решил написать небольшую утилитку, которая в автоматическом режиме может убрать разрешения Deny Delete & Deny Delete Subtree для любого пользователя (обычно это группа “Все”) и просто посмотреть у кого такие разрешения (точнее запрещения) имеются. Если утилитка будет востребована, дополню ее до нужного функционала (именно в вопросе автоматизации и массовом выполнении, ADSI Edit повторять не хочется).
Страница программы ADSHelper расположена тут. Прошу любить и жаловать.
Утилита мне кажется весьма интресной. Особенно в части поиска акккаунтов имеющих повышенные полномочия. Будет полезно при периодическом аудите AD.
Есть встроенные средства по проверке полномочий, но их легко обойти. Поэтому об этом и задумался.
ДА, вещичка полезная, накрутить бы в нее еще полей типа “Имя:” для красоты таксказать, ну и само собой для инфармативности перенести вывод командный вниз, типо логи, стотистика! И добавить возможность редактирования тоже было бы неплохо!