1.4K
Cuando crea unidades organizativas de Active Directory, tienen la opción «Proteger el contenedor de una eliminación accidental» habilitada de forma predeterminada.
Si intenta eliminar dicha unidad organizativa con el complemento Usuarios y equipos de Active Directory, aparecerá un error:
Servicios de dominio de Active Directory
No tiene privilegios suficientes para eliminar OU_NAME o este objeto está protegido contra una eliminación accidental.
Si intenta eliminar la unidad organizativa protegida con PowerShell, obtendrá un «Acceso denegado» error:
Get-ADOrganizationalUnit -identity "OU=California,OU=US,DC=contoso,DC=com" | Remove-ADOrganizationalUnit Remove-ADOrganizationalUnit : Access is denied + CategoryInfo : PermissionDenied: UnauthorizedAccessException
La función de protección contra eliminación de objetos se introdujo en la versión de Active Directory en Windows Server 2008 (AD Schema objectVersion– 44). Esta función está diseñada para proteger las unidades organizativas y otros objetos importantes de Active Directory para que no se eliminen o muevan accidentalmente.
Al intentar mover un objeto protegido, aparecerá un error:
Servicios de dominio de Active Directory
Windows no puede mover el objeto OU_NAME porque: Acceso denegado.
Nota. Los contenedores de Active Directory predeterminados (integrados, equipos, controladores de dominio, usuarios, sistema, ForeignSecurityPrincipals, cuotas NTDS) no están protegidos de forma predeterminada.
Puede deshabilitar la protección de eliminación de unidades organizativas a través de la consola ADUC:
- Ejecute el complemento dsa.msc;
- Habilite Ver > Funciones avanzadas en el menú superior;
- Busque la unidad organizativa en el árbol de Active Directory y abra sus propiedades;
- Ve a la Objeto pestaña y desmarque la opción Proteja el objeto de la eliminación accidental;
- Ahora puede eliminar o mover esta unidad organizativa.
También puede cambiar el valor del atributo ProtectedFromAccidentalDeletion de una unidad organizativa mediante PowerShell. Usaremos los cmdlets Get-ADOrganizationalUnit y Set-ADObject del módulo Active Directory de PowerShell para cambiar las propiedades de la unidad organizativa. Aquí hay una línea de PowerShell que eliminará la protección de la unidad organizativa e inmediatamente eliminará el objeto del AD:
Get-ADOrganizationalUnit -Identity "OU=California,OU=US,DC=contoso,DC=com" | Set-ADObject -ProtectedFromAccidentalDeletion:$false -PassThru | Remove-ADOrganizationalUnit
Para mostrar una lista de unidades organizativas en Active Directory con la opción ProtectedFromAccidentalDeletion deshabilitada, ejecute el comando:
Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $false} |select DistinguishedName
Cuando habilita el atributo Proteger objeto contra eliminación en las propiedades del objeto, cambia la ACL del objeto de Active Directory.
- Abra las propiedades de dicho objeto en AD, vaya a la Seguridad pestaña > hacer clic Avanzado;
- Seleccione la entrada de ACL para el Todos principal de la lista y haga clic en Editar;
- Como puede ver, los permisos de denegación están habilitados para el Borrar y Eliminar subárbol operaciones para el grupo Todos.
Puede proteger de la eliminación accidental no solo las unidades organizativas, sino también otros tipos de objetos en Active Directory: usuarios, cuentas de equipos y grupos.
Puede habilitar el Proteja el objeto de la eliminación accidental opción con la consola ADUC o usando PowerShell:
Get-ADObject -Identity 'CN=M-DC02,OU=Domain Controllers,DC=contoso,DC=com' |Set-ADObject -ProtectedFromAccidentalDeletion:$true
Ahora no podrá eliminar ni mover este objeto de computadora a otra unidad organizativa.