How to move or delete a protected against accidental deletion organizational unit

En Active Directory sobre Windows 2008 existe la posibilidad de crear unidades organizacionales protegidas contra un borrado accidental, como se puede apreciar en la siguiente imagen

El objetivo de esta característica es evitar los problemas provocados por un borrado accidental de una unidad organizacional, que significa borrar todo el contenido dentro de la OU, es decir, usuarios, grupos y unidades organizacionales anidadas.

Pero, es posible que en algún momento se requiera reorganizar la estructura de unidades organizacionales y se deba mover las unidades a otra ubicación, normalmente a otra OU.  Si está activa la opción de protección contra borrado accidental entonces recibiremos un mensaje de acceso denegado al tratar de mover la OU

o al tratar de borrarla :-) (Contra esto se protege)

Veamos como se establece esta protección y como removerla para poder mover la unidad organizacional.

La protección contra borrado accidental, se consigue, estableciendo un permiso DENY (Denegación) contra la acción de Delete.

Esto lo podemos ver a nivel global en la siguiente imagen, donde se aprecia que el grupo Everyone (Todos) tiene asignado un permiso Explícito de Denegación.  Un click sobre el grupo Everyone y Click en Advanced nos lleva al detalle de los permisos especiales

y finalmente con un click en Edit, podemos ver el detalle específico de la denegación asignada al grupo Everyone

Donde se pude apreciar que el grupo Everyone tiene asignado Deny a Delete y Delete subtree

Para mover o borrar la unidad organizacional debemos eliminar esta denegación, removiendo el grupo Everyone de la lista de permisos (No es recomendable otorgar Full Controll, ya  que cualquier usuario podría eliminar la OU)

En el caso de mover la OU, una vez realizada la tarea, es posible volver a asignar la denegación del permiso de Delete y Delete Subtree al grupo Everyone, de manera de volver a proteger la OU.

Referencia http://technet2.microsoft.com/windowsserver/en/library/07a563fb-24e4-4df5-858a-0c5ea0496e251033.mspx?mfr=true 

Oscar Soto Casali | MVP Directory Services | MCSE Messaging + Security | Consultor Comunicaciones Unificadas | OCS 2007 | Exchange Server 2007

Estimados:

YA ESTAMOS ONLINE....

Con mucha alegría les puedo contar que ya está operativo el sitio del Grupo LatinoAmericano de Usuarios de Active Directory.

Este sitio nació con el esfuerzo de personas de muchos países y ciudades, Chile, Argentina, Miami entre otras y los invitamos a todos a participar de él.

El Objetivo del GLAD es abrir una puerta al mundo de Active Directory y tecnologías asociadas:

• Implementación de Active Directory 2003 y 2008
• Migración de Active Directory desde Windows NT y Windows 2000
• Mantención de usuarios y Grupos
• Uso de Group Policies para todo
• Administración de Active Directory 2003 con línea de comandos (no powershell)
• Administración de Active Directory 2008 con línea de comandos (PowerShell).
• Respaldo y restauración de Active Directory 2003 y 2008
• DNS

El sitio : http://www.msglad.org

La lista de correo: glad-latam@egrupos.net.

La lista funciona moderada y deben inscribirse en el sitio antes de enviar su primer mail.

Saludos y Bienvenidos

Oscar Soto Casali | MVP Directory Services | MCSE Messaging + Security | Consultor Comunicaciones Unificadas | OCS 2007 | Exchange Server 2007