Proteger todas las OU a la vez contra eliminación Accidental

Cada administrador de Active Directory debe saber que existe una configuración por defecto desde que apareció RSAT con Windows Vista y que se activa por defecto al momento de crear una nueva Unidad Organizativa. Esta funcionalidad reside en proteger la OU que vayamos a crear contra eliminación accidental, provocando que el técnico que quiera eliminar la OU deba primero desbloquear la limitación para poder eliminar la OU.

El siguiente paso a paso a explicar es un poco delicado, ya que si no se está seguro o si no se tienen los conocimientos suficientes de Active Directory, más algo de línea de comandos, será un poco extraño y posiblemente difícil de entender.

El procedimiento que vamos a seguir es un comando desde una cmd.exe que bloqueará al usuario (todos o everyone) según idioma contra eliminación de objetos he hijos, para así en caso de que un técnico por error vaya a eliminar una OU, ésta estará protegida contra eliminación.

Lo primero de todo, es diferenciar entre el lenguaje del sistema operativo donde vamos a realizar el comando, ya que en el caso que esté en inglés al usuario que le vamos a quitar los privilegios es “everyone” y si está en español es “todos”.

Crear una OU de pruebas sin marcar el pincho “Proteger objeto contra eliminación accidental”.

Desde una línea de comandos y con las herramientas de Active Directory instaladas, ejecutar el siguiente comando:

for /F «tokens=*» %i in (‘dsquery ou «ou=pruebas,dc=dominio,dc=com» -limit 0’) do dsacls %i /D «todos»:»SDDT;;»

Cuando esté realizado, nos vamos a las propiedades de la OU en el ADUC y comprobamos que el pincho “Proteger objeto contra eliminación accidental” vuelve a estar marcado como en la siguiente imagen:

3

El comando que vamos a usar para modificar los permisos de todas las OU’s del directorio activo para proteger contra eliminación accidental es el siguiente:

For /F “tokens=*” %i in (‘dsquery ou –limit 0’) do dsacls %i /D “everyone”:”SDDT;;”

Con este comando realizamos una búsqueda de todas las OU’s de AD (‘dsquery ou –limit 0’) y por cada resultado se le hace un dsacls para que el usuario everyone no pueda eliminar objetos (SD) y tampoco eliminar los hijos de los objetos (DT).

Recordar cambiar el nombre “everyone” por “todos” si el idioma de sistema operativo está en castellano.

Se mostrará por pantalla todos los permisos de todas las OU’s (este proceso es normal, no se asuste). NO CIERRE LA VENTANA.

El proceso tardará más en función de la organización de AD (Si es muy grande puede tardar alguna hora).

Dentro de las buenas prácticas de Microsoft, todas las OU’s del dominio deben estar con esta configuración, para validar la aplicación de este cambio se recomienda ejecutar un BPA (Best Practice Analyzer) para el rol de AD DS.

Nicolás Herrera, Consultor Infraestructura, Blue Solutions.

Comparte este artículo

Compartir en facebook
Facebook
Compartir en twitter
Twitter
Compartir en linkedin
LinkedIn
Compartir en whatsapp
WhatsApp

Suscribete a nuestro contenidos

* indicates required
Incribirse en Newsletter
Temas de Interés.

Otros artículos

× ¿En qué podemos ayudarte?