Dois comandos que podem te salvar de um desastre no AD.
Por Gonzalo Reyna, Taducido por Josue Yen
Recentemente recebemos uma ligação de um cliente onde um dos administradores acidentalmente executou um script com a intensão de apagar usuários locais... porém em um Domain Controller. O resultado, todos os usuários do domínio foram apagados em poucos segundos. Para a “sorte” deste cliente ele tinha habilitado em seu ambiente o Recycle Bin, mas como o ambiente era muito grande, levamos algumas horas para restaurar todos os objetos. Esse tipo de problema aparece com uma certa frequência e é sempre muito traumático para os nossos clientes. Já trabalhei em diversos chamados onde a falta de proteção dos objetos causou muitos problemas nos ambientes dos nossos clientes e em alguns casos custou o emprego de alguns administradores, tudo por causa de um click acidental. Mas como podemos evitar isso?
Se você olhar as propriedades de um objeto do Active Directory, você notará a opção “Protect object from accidental deletion” dentro da aba Object. Quando essa opção está habilitada, as permissões são configuradas para negar deleção deste objeto para o grupo Everyone.
Com a exceção das Unidades Organizacionais (OU) esta configuração não vem habilitada por padrão nos objetos. Quando um objeto novo é criado, esta opção precisa ser habilitada manualmente. O nosso desafio é: Como habilitar facilmente esta opção em todos os objetos?
Dois comando simples do Powershell permitirá a você proteger todos os objetos do seu AD de uma deleção acidental. O primeiro comando irá configurar isso em todos os usuários e computadores (ou qualquer objeto com o valor User no atributo ObjectClass). O segundo comando irá configurar em qualquer OU que ainda não estiver protegido.
Get-ADObject -filter {(ObjectClass -eq "user")} | Set-ADObject -ProtectedFromAccidentalDeletion:$true
Get-ADOrganizationalUnit -filter * | Set-ADObject -ProtectedFromAccidentalDeletion:$true
Assim que o comando for executado seu ambiente estará protegido contra deleções acidentais (ou intensionais) dos objetos.
Nota: Como um teste, eu executei o script que causou a deleção acidental no meu cliente em meu laboratório com os objetos protegidos e nada foi apagado.
Para a versão em Espanhol deste artigo, visite https://blogs.technet.com/b/latam/archive/2013/06/11/dos-l-237-neas-que-pueden-salvar-su-ad-de-una-crisis.aspx
Para a versão em Inglês deste artigo, visite https://blogs.technet.com/b/askds/archive/2013/06/04/two-lines-that-can-save-your-ad-from-a-crisis.aspx