Publicado por: glauciorocha | 19/04/2009

Prevenção Contra Exclusão Acidental de OUs no AD Windows 2000 e Windows 2003

Para evitar a exclusão acidental ou movimentação das OUs, é necessário criar na aba de segurança da OU em questão duas entradas de permissão negada para Everyone (Deny Delete e Deny Delete Tree), e três entrada de permissão negada na OU pai para Everyone (Deny Delete Child, Deny Delete e Deny Delete Tree).

A configuração de segurança das OUs pode ser realizada através:
– Console Active Directory Users and Computers
– ADSIEdit
– LDP
– DSACLS

Exemplo utilizando DSACLS para proteger a estrutura de OUs de usuários apresentada abaixo:

Proteção da OU Usuarios – Deny Delete e Deny Delete Tree para Everyone
>DSACLS "OU-Usuarios,OU=Un-Americas,DC=contoso,DC=COM" /D "EVERYONE:SDDT"

Figura: Na Aba de Segurança da OU Usuarios

Proteção da OU pai UN-Americas – Deny Delete Child. Para protegê-la também contra a exclusão acidental aplique Deny Delete e Deny Delete Tree para Everyone
>DSACLS "OU=Un-Americas,DC=CONTOSO,DC=COM" /D "EVERYONE:DCSDDT"

Figura: Na Aba de Segurança da OU Pai UN-Americas

Antes de sair aplicando para todas as suas OUs, faça alguns testes no laboratório para entender o permissionamento que é aplicável ao seu ambiente.

Observações:

Para excluir as OUs, estas permissões negadas para Everyone deverão ser removidas das OUs em questão.

Também é possível alterar as permissões default no schema do AD para que as Unidades Organizacionais sejam protegidas por default quando forem incluídas.

Referência: http://technet.microsoft.com/en-us/library/cc739350.aspx

Abraços,

Glaucio Rocha


Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

Categorias

%d blogueiros gostam disto: