Prevenção contra exclusão acidental de OUs no AD Windows 2003 e Windows 2000

  • Article

Aproveitando o blog da Paula “Prevenção contra deleção acidental de objetos no AD” também é possível proteger as OUs em sistemas pré Windows 2008 (Windows 2003 e Windows 2000)

Para evitar a exclusão acidental ou movimentação das OUs, é necessário criar na aba de segurança da OU em questão duas entradas de permissão negada para Everyone (Deny Delete e Deny Delete Tree), e três entrada de permissão negada na OU pai para Everyone (Deny Delete Child, Deny Delete e Deny Delete Tree).

A configuração de segurança das OUs pode ser realizada através:
- Console Active Directory Users and Computers
- ADSIEdit
- LDP
- DSACLS

Exemplo utilizando DSACLS para proteger a estrutura de OUs de usuários apresentada abaixo:

ou1

Proteção da OU Usuarios - Deny Delete e Deny Delete Tree para Everyone
>DSACLS "OU-Usuarios,OU=Un-Americas,DC=contoso,DC=COM" /D "EVERYONE:SDDT"

Figura: na aba de segurança da OU Usuarios

ou3

Proteção da OU pai UN-Americas - Deny Delete Child. Para protegê-la também contra a exclusão acidental aplique Deny Delete e Deny Delete Tree para Everyone
>DSACLS "OU=Un-Americas,DC=CONTOSO,DC=COM" /D "EVERYONE:DCSDDT"

Figura: na aba de segurança da OU pai UN-Americas

ou2

 

Antes de sair aplicando para todas as suas OUs, faça alguns testes no laboratório para entender o permissionamento que é aplicável ao seu ambiente.

Observações:

Para excluir as OUs, estas permissões negadas para Everyone deverão ser removidas das OUs em questão.

Também é possível alterar as permissões default no schema do AD para que as Unidades Organizacionais sejam protegidas por default quando forem incluídas.

Referência: https://technet.microsoft.com/en-us/library/cc739350.aspx

Abraços.

Ana Paula M Franco