Prevenção contra deleção acidental de objetos no AD

Quem nunca passou por esse tipo de situação? Excluindo as fotos da festa de ontem ou mesmo limpando o pendrive, selecionar um arquivo a mais e acabar deletando-o sem querer. Isso pode virar uma dor de cabeça. Quando se trata do seu ambiente de trabalho, pode ainda ser pior. Apesar de raro, um administrador pode, “sem querer”, deletar objetos que não deveriam ser deletados. O Active Directory no Windows 2008 inclui uma nova função que previne que os objetos sejam deletados acidentalmente.

É bem simples: aplicamos essa função abrindo as propriedades do objeto que queremos proteger e habilitando a check box, na aba Object. Veja a figura abaixo.

Nota: Podemos ver a aba Object somente se a opção Advanced Features estiver habilitada no menu View do Active Directory Users and Computers.

Quando o check box da proteção contra deleção está habilitado, ocorre uma mudança nas permissões do objeto. Podemos verificar clicando no objeto com o botão direito, em Properties, na aba Security e então no botão Advanced. Na janela Advanced Security Settings haverá uma permissão com Deny em seu tipo e com Everyone em seu Nome. Selecione essa linha e então clique em Edit. Podemos ver que as permissões Delete e Delete Subtree foram negadas (Deny).

Quando tentamos deletar esse objeto, obtemos a seguinte mensagem:

O mesmo deverá acontecer se tentarmos deletar o objeto via linha de comando.

Se realmente queremos deletar esse objeto, devemos primeiro desmarcar a opção de proteção (através das propriedades do objeto) e então deletá-lo.

Atenção para quando for proteger OUs que foram criadas em versões anteriores do Windows pois o procedimento é diferente. Quando criamos uma OU usando o Active Directory Users and Computers no Windows Server 2008, a opção de proteger contra deleção acidental (Protect container from accidental deletion) já estará habilitada.

Abraços,

Paula Maeda