Как удалить контейнер защищенный от случайного удаления
Перейти к содержимому

Как удалить контейнер защищенный от случайного удаления

  • автор:

Очистка метаданных сервера контроллера домена Active Directory

Очистка метаданных является обязательной процедурой после принудительного удаления доменных служб Active Directory (AD DS). Очистка метаданных выполняется на контроллере домена в домене контроллера домена, который вы принудительно удалили. Очистка метаданных удаляет данные из AD DS, которые идентифицируют контроллер домена в систему репликации. Очистка метаданных также удаляет подключения к репликации службы репликации файлов (FRS) и распределенной файловой системы (DFS) и пытается передать или захватить все роли master (также известные как гибкие одно главных операций или FSMO), которые удерживает контроллер домена.

Существует два варианта очистки метаданных сервера:

  • Очистка метаданных сервера с помощью средств графического интерфейса.
  • Очистка метаданных сервера с помощью командной строки.

Если при использовании любого из этих методов для очистки метаданных возникает ошибка «Доступ запрещен», убедитесь, что объект компьютера и объект параметров NTDS для контроллера домена не защищены от случайного удаления. Чтобы проверить, щелкните правой кнопкой мыши объект компьютера или объект параметров NTDS, щелкните «Свойства«, выберите «Объект» и снимите флажок «Защитить объект от случайного удаления«. На вкладке «Пользователи и компьютеры Active Directory» появится вкладка «Объект» объекта, если щелкнуть «Вид» и нажмите кнопку «Дополнительные функции«.

Очистка метаданных сервера с помощью средств графического интерфейса

При использовании средств удаленного администрирования сервера (RSAT) или консоли пользователей и компьютеров Active Directory (Dsa.msc), которая входит в состав Windows Server для удаления учетной записи компьютера контроллера домена из подразделения контроллеров домена (OU), очистка метаданных сервера выполняется автоматически. Перед Windows Server 2008 необходимо было выполнить отдельную процедуру очистки метаданных.

Вы также можете использовать консоль сайтов и служб Active Directory (Dssite.msc) для удаления учетной записи компьютера контроллера домена, которая также выполняет автоматическую очистку метаданных. Однако сайты и службы Active Directory автоматически удаляют метаданные только при первом удалении объекта параметров NTDS под учетной записью компьютера в Dssite.msc.

Если вы используете Windows Server 2008 или более новые версии RSAT dsa.msc или Dssite.msc, вы можете автоматически очистить метаданные для контроллеров домена, работающих под управлением более ранних версий операционных систем Windows.

Членство в администраторах домена или эквивалентных параметров является минимальным обязательным для выполнения этих процедур.

Очистка метаданных сервера с помощью пользователей и компьютеров Active Directory

  1. Откройте оснастку Пользователи и компьютеры Active Directory.
  2. Если вы определили партнеров репликации при подготовке к этой процедуре и не подключены к партнеру репликации удаленного контроллера домена, метаданные которого вы очищаете, щелкните правой кнопкой мыши узел «Пользователи и компьютеры Active Directory» и нажмите кнопку«Изменить контроллер домена». Щелкните имя контроллера домена, из которого требуется удалить метаданные, и нажмите кнопку «ОК«.
  3. Разверните домен контроллера домена, который был принудительно удален, а затем щелкните контроллеры домена.
  4. В области сведений щелкните правой кнопкой мыши объект компьютера контроллера домена, метаданные которого требуется очистить, а затем нажмите кнопку «Удалить«.
  5. В диалоговом окне доменных служб Active Directory подтвердите имя контроллера домена, который вы хотите удалить, и нажмите кнопку «Да«, чтобы подтвердить удаление объекта компьютера.
  6. В диалоговом окне «Удаление контроллера домена» выберите этот контроллер домена постоянно в автономном режиме и больше не может быть понижен с помощью мастера установки доменных служб Active Directory (DCPROMO) и нажмите кнопку «Удалить«.
  7. Если контроллер домена является глобальным сервером каталога, в диалоговом окне «Удалить контроллер домена» нажмите кнопку «Да «, чтобы продолжить удаление.
  8. Если контроллер домена в настоящее время содержит одну или несколько главных ролей операций, нажмите кнопку «ОК «, чтобы переместить роль или роли в отображаемый контроллер домена. Нельзя изменить этот контроллер домена. Если вы хотите переместить роль в другой контроллер домена, необходимо переместить роль после завершения процедуры очистки метаданных сервера.

Очистка метаданных сервера с помощью сайтов и служб Active Directory

  1. Откройте оснастку «Active Directory — сайты и службы».
  2. Если вы определили партнеров репликации при подготовке к этой процедуре и если вы не подключены к партнеру репликации удаленного контроллера домена, метаданные которого вы очищаете, щелкните правой кнопкой мыши сайты и службы Active Directory, а затем нажмите кнопку » Изменить контроллер домена». Щелкните имя контроллера домена, из которого требуется удалить метаданные, и нажмите кнопку «ОК«.
  3. Разверните сайт контроллера домена, который был принудительно удален, разверните серверы, разверните имя контроллера домена, щелкните правой кнопкой мыши объект NTDS Settings и нажмите кнопку » Удалить«.
  4. В диалоговом окне «Сайты и службы Active Directory» нажмите кнопку «Да«, чтобы подтвердить удаление параметров NTDS.
  5. В диалоговом окне «Удаление контроллера домена» выберите этот контроллер домена постоянно в автономном режиме и больше не может быть понижен с помощью мастера установки доменных служб Active Directory (DCPROMO) и нажмите кнопку «Удалить«.
  6. Если контроллер домена является глобальным сервером каталога, в диалоговом окне «Удалить контроллер домена» нажмите кнопку «Да «, чтобы продолжить удаление.
  7. Если контроллер домена в настоящее время содержит одну или несколько главных ролей операций, нажмите кнопку «ОК «, чтобы переместить роль или роли в отображаемый контроллер домена.
  8. Щелкните правой кнопкой мыши контроллер домена, который был принудительно удален, и нажмите кнопку «Удалить».
  9. В диалоговом окне доменных служб Active Directory нажмите кнопку «Да«, чтобы подтвердить удаление контроллера домена.

Очистка метаданных сервера с помощью командной строки

В качестве альтернативы можно очистить метаданные с помощью ntdsutil.exe, средства командной строки, устанавливаемого автоматически на всех контроллерах домена и серверах с установленными службами Active Directory с упрощенным каталогом (AD LDS). ntdsutil.exe также доступен на компьютерах с установленным RSAT. Чтобы очистить метаданные сервера с помощью ntdsutil, сделайте следующее:

  1. Откройте командную строку от имени администратора: в меню «Пуск » щелкните правой кнопкой мыши командную строку и нажмите кнопку «Запуск от имени администратора«. Если появится диалоговое окно «Контроль учетных записей пользователей», укажите учетные данные администратора предприятия при необходимости и нажмите кнопку «Продолжить«.
  2. В командной строке введите следующую команду и нажмите клавишу ВВОД: ntdsutil
  3. В командной строке ntdsutil: введите следующую команду и нажмите клавишу ВВОД: metadata cleanup
  4. В командной строке metadata cleanup: введите следующую команду и нажмите клавишу ВВОД: remove selected server
  5. В диалоговом окне «Удаление сервера» просмотрите сведения и предупреждение, а затем нажмите кнопку «Да «, чтобы удалить объект сервера и метаданные. На этом этапе Ntdsutil подтверждает успешное удаление контроллера домена. Если появится сообщение об ошибке, указывающее, что объект не найден, возможно, контроллер домена был удален ранее.
  6. metadata cleanup: Введите quit и ntdsutil: нажмите клавишу ВВОД.
  7. Чтобы подтвердить удаление контроллера домена, выполните следующие действия. Откройте оснастку «Пользователи и компьютеры Active Directory». В домене удаленного контроллера домена щелкните «Контроллеры домена». В области сведений объект для удаленного контроллера домена не должен отображаться. Откройте оснастку «Active Directory — сайты и службы». Перейдите к контейнеру Servers и убедитесь, что объект сервера для удаленного контроллера домена не содержит объект параметров NTDS. Если дочерние объекты не отображаются под объектом сервера, можно удалить серверный объект. Если появится дочерний объект, не удаляйте серверный объект, так как другое приложение использует объект.

См. также

  • Понижение уровня контроллеров доменов
  • Справочник по команде Ntdsutil
  • Справочник по метаданным сервера очистки
  • Справочник по очистке метаданных Ntdsutil

HelpDesk

Удаление защищённого подразделения в AD Печать

Изменено: Чт, 14 Апр, 2016 на 1:08 AM

В виндовс сервер 2008 при добавлении объектов AD появилась галочка «Защитить объект от случайного удаления». В ходе создания, например, подразделения, вы можете защитить его от случайного нажатия delete и похожих случайных инцидентов. После такой защиты при попытке переместить объект вам будет выдано сообщение «Не удалось переместить объект по следующей причине: Отказано в доступе», а при попытке его удалить — «Недостаточные привелегии для удаления «объекта», или объект защищен от случайного удаления». Чтобы удалить или переместить такой объект, необходимо в меню «Вид» консоли Управления пользователями и компьютерами домена поставить галочку на «дополнительные компоненты», тогда у интересующего нас объекта в свойствах появится закладка «Объект», на которой можно убрать эту галочку защиты.

Была ли эта статья полезной? Да Нет

К сожалению, мы не смогли помочь вам в разрешении проблемы. Ваш отзыв позволит нам улучшить эту статью.

Защита OU Active Directory от случайного удаления

В Active Directory есть специальная функция защиты объектов от случайного удаления (Organizational Unit, пользователей, групп и т.д.). Данная опция реализуется с помощью флага Protect object from accidental deletion, доступного в свойствах любого объекта. Защита от удаления по умолчанию включена при создании новых OU.

Если вы попытаетесь удалить защищенный объект Active Directory, появится ошибка:

Active Directory Domain Services You do not have sufficient privileges to delete Users, or this object is protected from accidental deletion.

объек ad защищен от случайного удаления

Флаг защиты от удаления отображается на вкладке Options в свойствах OU в консоли Active Directory Users and Computers (dsa.msc) (не забудьте включить опцию View -> Advanced Features).

Protect object from accidental deletion - опция в свойствах OU Active Directory

Вы можете включить или отключить эту опцию из консоли ADUC или с помощью PowerShell.

Например, следующая команда защитит от удаления пользователя AD:

Get-ADUser m.ivanov|Set-ADobject -ProtectedFromAccidentalDeletion $true

Такая команда включит флаг защиты для OU:

Get-ADobject -Identity ‘OU=Admins,OU=MSK,OU=RU,DC=contoso,DC=loc’| Set-ADObject -ProtectedFromAccidentalDeletion $true –verbose

Set-ADObject -ProtectedFromAccidentalDeletion powershell

Нередко бывает, что администраторы временно снимают опцию защиты от удаления для определенных OU, но забывают включить ее обратно.

Следующий PowerShell скрипт найдет в домене все OU, для которых отключена опция ProtectedFromAccidentalDeletion

Import-Module ActiveDirectory
$unprotectedOUs = Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion -SearchScope Subtree| where
#Вывести список OU, для которых отключена защита от удаления:
$unprotectedOUs | Select DistinguishedName, ProtectedFromAccidentalDeletion, Name
# Если вам нужно включить опцию ProtectedFromAccidentalDeletion для найденный контейнеров, выполните следующую команду
#$unprotectedOUs| Set-ADOrganizationalUnit -ProtectedFromAccidentalDeletion $True

Удаление объектов в Active Directory Windows Server 2012

Удаление объектов в Active Directory Windows Server 2012

Информация о материале Категория: Система

  • windows-server-2012
  • windows server

Добавлять и удалять объекты в Active Directory не сложно. Однако есть нюансы, которые состоят в том, что по умолчанию удалить обьект в AD нельзя, он защищён от записи. Такая возможность имеется начиная с Windows Server 2008. Поэтому перед тем, как удалять объект, необходимо сначала снять защиту от записи.

Удаление объекта в Active Directory.

1. Для удаления объекта в AD открываем оснастку «Пользователи и компьютеры Active Directory«. Это также можно сделать нажав на «Пуск«, далее выбираем «Администрирование» и в открывшемся меню выбираем «Пользователи и компьютеры Active Directory«.

del object active directory1

2. При создании нового объекта в AD, также автоматически выставляется чекбокс «Защитить контейнер от случайного удаления«. Это даёт дополнительные гарантии от случайного удаления критически важных элементов.

del object active directory2

3. Поэтому если мы будем удалять контейнер обычным способом, то без снятия защиты от удаления, это не получится. Проверим это. Для этого на выбранном объекте нажимаем правой клавишей мыши и выбираем «Удалить«.

del object active directory3

4. Появится запрос на подтверждение удаления: «Вы действительно хотите удалить Подразделение с имененем. «. Нажимаем «Да«.

del object active directory4

5. После этого появится окно с предупреждением о том, что «Недостаточные привилегии для удаления объекта, или объект защищен от случайного удаления«. И объект не удалится.

del object active directory5

6. Для того, чтобы изменить это, необходимо выбрать меню «Вид«, далее поставить чекбокс напротив пункта меню «Дополнительные компоненты«.

del object active directory6

7. После этого нажимаем правой клавишей мыши на выбранный объект, в появившемся меню нажимаем «Свойства«.

del object active directory7

8. На вкладке «Объект» убираем чекбокс «Защитить объект от случайного удаления«, далее «Применить«.

del object active directory8

9. После применения данной операции, объект в AD возможно будет удалить (правой клавишей мышки — «Удалить«).

del object active directory9

10. Затем ответить «Да» на запрос о подтверждении действия по удалению объекта.

del object active directory10

11. По окончании операции, для удобства управления AD, необходимо вернуть все установки по умолчанию (выбираем «Вид«, далее снимаем чекбокс с пункта «Дополнительные компоненты«.

del object active directory11

Как снять защиту от удаления объектов в Active Directory можно также посмотреть здесь:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *