Finally the help of IT is here

Blog de soluciones informaticas.

Proteger todas las OU a la vez contra eliminación accidental.

Escrito por Xavier Xaus Nadal on Noviembre 12th, 2011

Save pagePDF pageEmail pagePrint page

Buenas,

Como ya sabéis en Active Directory existe una configuración por defecto que desde que apareció RSAT con Windows Vista creo recordar ya está activa cuando se crea una nueva Unidad Organizativa. Esta funcionalidad reside en proteger la OU que vayamos a crear contra eliminación accidental provocando que el técnico que quiera eliminar la OU deba primero desbloquear la limitación para poder eliminar la OU.

Esto que os voy a explicar es un poco delicado ya que si no estáis seguros o si no tenéis los conocimientos suficientes de Active Directory + algo de línea de comandos os será un poco extraño y posiblemente difícil de entender (Pero lo vamos a intentar, que para esto estamos).

El procedimiento que vamos a seguir es un comando desde una cmd que bloqueará al usuario (todos o everyone) según idioma contra eliminación de objetos e hijos para así en caso de que un técnico por error vaya a eliminar una OU, esta estará protegida contra eliminación.

1.- Lo primero de todo es diferenciar entre el lenguaje del sistema operativo donde vamos a realizar el comando ya que en el caso que esté en inglés al usuario que le vamos a quitar los privilegios es “everyone” y si está en español es “todos”. Sabido esto vamos a la faena.

Crear una OU de pruebas sin marcar el pincho “Proteger objeto contra eliminación accidental”.

 

Desde una línea de comandos y con las herramientas de Active Directory instaladas ejecutar el siguiente comando:

for /F "tokens=*" %i in (‘dsquery ou "ou=pruebas,dc=dominio,dc=com" -limit 0’) do dsacls %i /D "todos":"SDDT;;"

 

Cuando esté realizado nos vamos a las propiedades de la OU en el ADUC y comprobamos que el pincho “Proteger objeto contra eliminación accidental” vuelve a estar marcado como en la siguiente imagen.

ProtegerOU

2.- El comando que vamos a usar para modificar los permisos de todas las OU’s del directorio activo para proteger contra eliminación accidental es el siguiente:

For /F “tokens=*” %i in (‘dsquery ou –limit 0’) do dsacls %i /D “everyone”:”SDDT;;”

Con este comando realizamos una búsqueda de todas las OU’s de AD (‘dsquery ou –limit 0’) y por cada resultado se le hace un dsacls para que el usuario everyone no pueda ni eliminar objetos (SD) ni eliminar los hijos de los objetos (DT).

Recordad cambiar el nombre “everyone” por “todos” si el idioma de sistema operativo está en castellano.

Se os mostrará por pantalla todos los permisos de todas las OU’s (No os asustéis, es normal). NO CERRÉIS LA VENTANA.

El proceso tardará más en función de la organización de AD (Si es muy grande puede tardar alguna hora).

Saludos y hasta pronto.

Si tenéis cualquier duda al respecto ya sabéis que los comentarios siempre son bienvenidos.

Related Posts Plugin for WordPress, Blogger...
Etiquetas: , , , , , ,


Leave a Reply

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>