Versehentliches Loeschen einer OU im AD verhindern

Mitunter kann es passieren, dass man (versehentlich) eine OU im Active Directory löscht. Häufige Ursache ist ein falsch gesetzter Fokus und dann das nicht-so-genau-lesen ;-) Kann also durchaus mal vorkommen.

Eine Wiederherstellung einer OU ist aufwändig. Als Anhalt können die folgenden Links dienen, die Aufstellung ist aber sicher nicht vollständig:

OK, was wäre, wenn man die OU erst gar nicht hätte löschen können? Das wäre doch viel praktischer. Leider kann man eine OU bis Windows Server 2003 nicht vor dem (versehentlichen) löschen schützen. Aber seit einem Windows Server 2008 Active Directory geht das.

Auf der Registerkarte Objekt kann man für jedes einzelne AD-Objekt (Benutzer, Gruppe, OU, Computer etc.) den Löschschutz aktivieren.

OU 

**Ergänzung**

Yusuf hat mich auf folgendes hingewiesen:

“Leider kann man eine OU bis Windows Server 2003 nicht vor dem (versehentlichen) löschen schützen.”

Das ist nicht richtig. Richtig ist, man kann den Haken “Protect object from accidental deletion” nicht unter Windows 2000/2003 setzen.

Jedoch kann man natürlich auch unter Windows 2000 und Windows 2003 ein Objekt vor dem versehentlichen löschen schützen.

Denn wenn der Haken unter Windows 2008 gesetzt wird, passiert auch nichts anderes als das im Security-Descriptor des Objekts das “Verweigerungs-Recht” zum “Löschen” für “Jeder” gesetzt wird.

Und genau diese Einstellung kann man natürlich auch unter Windows 2000 und Windows Server 2003 händisch setzen.

Danach ist das Objekt ebenfalls vor dem versehentlichen löschen geschützt.

Mit DSACLS lässt sich eine OU mit folgendem Befehl schützen:

Dsacls OU=MeineOU,DC=Domäne,DC=DE /D Jeder:SDDT

Danke, Yusuf!

**Ergänzug**

 

Viele Grüße
Dieter


Dieter Rauscher
MVP Forefront