Por Gonzalo Reyna, Taducido por Josue Yen

Recentemente recebemos uma ligação de um cliente onde um dos administradores acidentalmente executou um script com a intensão de apagar usuários locais... porém em um Domain Controller. O resultado, todos os usuários do domínio foram apagados em poucos segundos. Para a “sorte” deste cliente ele tinha habilitado em seu ambiente o Recycle Bin, mas como o ambiente era muito grande, levamos algumas horas para restaurar todos os objetos. Esse tipo de problema aparece com uma certa frequência e é sempre muito traumático para os nossos clientes. Já trabalhei em diversos chamados onde a falta de proteção dos objetos causou muitos problemas nos ambientes dos nossos clientes e em alguns casos custou o emprego de alguns administradores, tudo por causa de um click acidental. Mas como podemos evitar isso?

Se você olhar as propriedades de um objeto do Active Directory, você notará a opção “Protect object from accidental deletion” dentro da aba Object. Quando essa opção está habilitada, as permissões são configuradas para negar deleção deste objeto para o grupo Everyone.

clip_image001

Com a exceção das Unidades Organizacionais (OU) esta configuração não vem habilitada por padrão nos objetos. Quando um objeto novo é criado, esta opção precisa ser habilitada manualmente. O nosso desafio é: Como habilitar facilmente esta opção em todos os objetos?

A resposta é Powershell! clip_image003

Dois comando simples do Powershell permitirá a você proteger todos os objetos do seu AD de uma deleção acidental. O primeiro comando irá configurar isso em todos os usuários e computadores (ou qualquer objeto com o valor User no atributo ObjectClass). O segundo comando irá configurar em qualquer OU que ainda não estiver protegido.

Get-ADObject -filter {(ObjectClass -eq "user")} | Set-ADObject -ProtectedFromAccidentalDeletion:$true
Get-ADOrganizationalUnit -filter * | Set-ADObject -ProtectedFromAccidentalDeletion:$true

Assim que o comando for executado seu ambiente estará protegido contra deleções acidentais (ou intensionais) dos objetos.

Nota: Como um teste, eu executei o script que causou a deleção acidental no meu cliente em meu laboratório com os objetos protegidos e nada foi apagado.

Para a versão em Espanhol deste artigo, visite http://blogs.technet.com/b/latam/archive/2013/06/11/dos-l-237-neas-que-pueden-salvar-su-ad-de-una-crisis.aspx

Para a versão em Inglês deste artigo, visite http://blogs.technet.com/b/askds/archive/2013/06/04/two-lines-that-can-save-your-ad-from-a-crisis.aspx