¿Cómo eliminar la unidad organizativa protegida en Active Directory? – 2xsoftware

Cuando crea unidades organizativas de Active Directory, tienen la opción «Proteger el contenedor de una eliminación accidental» habilitada de forma predeterminada.

Si intenta eliminar dicha unidad organizativa con el complemento Usuarios y equipos de Active Directory, aparecerá un error:

Servicios de dominio de Active Directory

No tiene privilegios suficientes para eliminar OU_NAME o este objeto está protegido contra una eliminación accidental.

el directorio activo protege el objeto de la eliminación accidental

Si intenta eliminar la unidad organizativa protegida con PowerShell, obtendrá un «Acceso denegado» error:

Get-ADOrganizationalUnit -identity "OU=California,OU=US,DC=contoso,DC=com" | Remove-ADOrganizationalUnit

Remove-ADOrganizationalUnit : Access is denied

+ CategoryInfo : PermissionDenied: UnauthorizedAccessException

el directorio activo no puede eliminar la unidad organizativa

La función de protección contra eliminación de objetos se introdujo en la versión de Active Directory en Windows Server 2008 (AD Schema objectVersion– 44). Esta función está diseñada para proteger las unidades organizativas y otros objetos importantes de Active Directory para que no se eliminen o muevan accidentalmente.

Al intentar mover un objeto protegido, aparecerá un error:

Servicios de dominio de Active Directory

Windows no puede mover el objeto OU_NAME porque: Acceso denegado.

el objeto del directorio activo está protegido contra la eliminación accidental

Nota. Los contenedores de Active Directory predeterminados (integrados, equipos, controladores de dominio, usuarios, sistema, ForeignSecurityPrincipals, cuotas NTDS) no están protegidos de forma predeterminada.

Puede deshabilitar la protección de eliminación de unidades organizativas a través de la consola ADUC:

  1. Ejecute el complemento dsa.msc;
  2. Habilite Ver > Funciones avanzadas en el menú superior;
  3. Busque la unidad organizativa en el árbol de Active Directory y abra sus propiedades;
  4. Ve a la Objeto pestaña y desmarque la opción Proteja el objeto de la eliminación accidental; este objeto está protegido contra la eliminación accidental del directorio activo
  5. Ahora puede eliminar o mover esta unidad organizativa.

También puede cambiar el valor del atributo ProtectedFromAccidentalDeletion de una unidad organizativa mediante PowerShell. Usaremos los cmdlets Get-ADOrganizationalUnit y Set-ADObject del módulo Active Directory de PowerShell para cambiar las propiedades de la unidad organizativa. Aquí hay una línea de PowerShell que eliminará la protección de la unidad organizativa e inmediatamente eliminará el objeto del AD:

Get-ADOrganizationalUnit -Identity "OU=California,OU=US,DC=contoso,DC=com" | Set-ADObject -ProtectedFromAccidentalDeletion:$false -PassThru | Remove-ADOrganizationalUnit

Para mostrar una lista de unidades organizativas en Active Directory con la opción ProtectedFromAccidentalDeletion deshabilitada, ejecute el comando:

Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $false} |select DistinguishedName

eliminar objeto protegido en el directorio activo

Cuando habilita el atributo Proteger objeto contra eliminación en las propiedades del objeto, cambia la ACL del objeto de Active Directory.

  1. Abra las propiedades de dicho objeto en AD, vaya a la Seguridad pestaña > hacer clic Avanzado;
  2. Seleccione la entrada de ACL para el Todos principal de la lista y haga clic en Editar;
  3. Como puede ver, los permisos de denegación están habilitados para el Borrar y Eliminar subárbol operaciones para el grupo Todos.
    anuncio eliminar protegido ou

Puede proteger de la eliminación accidental no solo las unidades organizativas, sino también otros tipos de objetos en Active Directory: usuarios, cuentas de equipos y grupos.

Puede habilitar el Proteja el objeto de la eliminación accidental opción con la consola ADUC o usando PowerShell:

Get-ADObject -Identity 'CN=M-DC02,OU=Domain Controllers,DC=contoso,DC=com' |Set-ADObject -ProtectedFromAccidentalDeletion:$true

eliminar protegido ou en el directorio activo

Ahora no podrá eliminar ni mover este objeto de computadora a otra unidad organizativa.

Valora este artculo post

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *