C'est bien connu l'erreur est humaine, et si vous avez déjà été confronté à l'angoissante question "Mais où est donc passée l'OU Users ?" vous savez aussi que les conséquences des plus petites erreurs sont parfois les plus importantes. Vous aurez aussi remarqué que ce que tout le monde appel une l'OU Users est en fait un Container.

Avec Windows Server 2008 une deuxième chance vous est offerte à condition de vouloir la saisir, mais que veut-il dire par là ? Tout simplement qu'il est possible de protéger les objets stockés dans Active Directory contre les suppressions accidentelles. Ce mécanisme fonctionne un peu à la manière d'un cran de sécurité, à savoir qu'il faut l'activer pour qu'il vous protège et qu'il ne vous protègera que contre les erreurs de manipulation non intentionnelles et pas contre les actions délibérées.

Ok, comment ça marche ? très simplement en fait, en ajoutant en tête d'ACL de chaque objet une entrée de type DENY DELETE et DENY DELETE SUBTREE (si l'objet est un container ou une OU) comme illustré dans la copie d'écran ci-dessous.

 

Comment activer cette protection ? Deux cas, le premier concerne les objets existants qui ne sont pas automatiquement protégés (une modification globale des ACL engendrerait un trafic réseau de réplication significatif lors de la migration), le second concerne les nouveaux objets qui sont automatiquement protégés. Pour protéger les objets qui ne le sont pas encore, là aussi deux modes, celui pour les braves avec DSACL et celui pour le commun des mortels avec l'onglet Objet de chaque objet qui proposer une case à cocher supplémentaire judicieusement nommée "Protect object from accidental deletion" comme vos yeux émerveillés peuvent le découvrir dans la copie d'écran ci-dessous.

 

Comme je vous connais, je sais que vous êtes des gens sérieux et que vous prendrez soin d'activer cette protection, mais je sais aussi que bien que courageux vous n'en êtes pas pour autant téméraires et que vous ne voudrez pas tester les effets de ce mécanisme sur votre environnement de production (car bien sur vous avez aussi en environnement de test mais vous n'avez pas de temps à perdre à l'utiliser ;-))

Le résultat est donc le suivant après un premier Suppr affichage de la demande de confirmation.

Suivi aussitôt d'un "Je sais ce que je fais p'tit gars laisse moi faire..."

Coupé dans votre élan par le cran de sécurité vous n'avez plus le choix que de lire que vous êtes passé à un clic de perdre votre poste ou dans le meilleur des cas de passer votre prochaine soirée à faire un Authoritative Restore.