Prevenção contra exclusão acidental de OUs no AD Windows 2003 e Windows 2000

Aproveitando o blog da Paula “Prevenção contra deleção acidental de objetos no AD” também é possível proteger as OUs em sistemas pré Windows 2008 (Windows 2003 e Windows 2000)

Para evitar a exclusão acidental ou movimentação das OUs, é necessário criar na aba de segurança da OU em questão duas entradas de permissão negada para Everyone (Deny Delete e Deny Delete Tree), e três entrada de permissão negada na OU pai para Everyone (Deny Delete Child, Deny Delete e Deny Delete Tree).

A configuração de segurança das OUs pode ser realizada através:
- Console Active Directory Users and Computers
- ADSIEdit
- LDP
- DSACLS

Exemplo utilizando DSACLS para proteger a estrutura de OUs de usuários apresentada abaixo:

Proteção da OU Usuarios - Deny Delete e Deny Delete Tree para Everyone
>DSACLS "OU-Usuarios,OU=Un-Americas,DC=contoso,DC=COM" /D "EVERYONE:SDDT"

Figura: na aba de segurança da OU Usuarios

Proteção da OU pai UN-Americas - Deny Delete Child. Para protegê-la também contra a exclusão acidental aplique Deny Delete e Deny Delete Tree para Everyone
>DSACLS "OU=Un-Americas,DC=CONTOSO,DC=COM" /D "EVERYONE:DCSDDT"

Figura: na aba de segurança da OU pai UN-Americas

 

Antes de sair aplicando para todas as suas OUs, faça alguns testes no laboratório para entender o permissionamento que é aplicável ao seu ambiente.

Observações:

Para excluir as OUs, estas permissões negadas para Everyone deverão ser removidas das OUs em questão.

Também é possível alterar as permissões default no schema do AD para que as Unidades Organizacionais sejam protegidas por default quando forem incluídas.

Referência: https://technet.microsoft.com/en-us/library/cc739350.aspx

Abraços.

Ana Paula M Franco

Comments

• Anonymous
  January 01, 2003
  Oi Ana Paula! Muito obrigada pelo comentário sobre meu post! Achei super legal poder dar continuidade ao assunto! Abcs, Paula Maeda