none
Segurança do AD - Deletar OU

    Pergunta

  • Olá pessoal.

     

    Gostaria de saber se alguem já passou por uma situação dessas e oque podemos fazer para pelo menos  " minimizar " a desgraça.

     

    Tenho um server Windows 2003 R2 replicando o AD para outros 2 Servidores.

     

     

    Estamos em um momento aqui na empresa onde vamos começar a fazer alterações no AD ( que até o momento estava com as OU´s Padrão ).

     

    Vamos começar a criar OU´s por Depto e outras OU´s as quais vamos aplicar GPO´s para melhor gerenciar o Servidor e facilitar um pouco a nossa vida.

     

    Acontece que somos 3 Administradores e um deles com muito pouca experiência, e já passei por uma sai justa que uma OU foi deletada do AD.... e ficou aquela situaçao de " Eu que não fui ..... Vai ver foi o alinhamento dos Planetas... sei lá ... "

     

    A questão é  tem algum jeito de bloquear/Dificultar  a deleção de OU´s  ???  vi que no Windows 2008 não é tão facil essa deleção de OU´s.

     

    Muito obrigado.

     

    Antonio C. P. Lacerda

    segunda-feira, 29 de setembro de 2008 13:46

Respostas

  • Antonio,

    Cara oque você pode fazer é o seguinte, use a ferramenta de "Delegação"
    Delega pra esse usuário mais inexperiente, as permissões que você julgue que ele seja capaz de fazer sem ter problemas.

    Por ex: se vc clicar em uma OU ou até mesmo no seu dominio com o botao direito, isso la dentro do próprio AD, vc vai achar DELEGATE CONTROL, é só vc proceder com isso removendo a permissão de deleção, pronto acabou o problema..


    é isso ai qualquer duvida post novamente.
    Espero ter ajudado

    Se util nao esqueça de classificar.

    Abraços
    segunda-feira, 29 de setembro de 2008 15:22
  • Luiz


    Bom Dia


    Estou lendo o Forum hoje e vou testar algumas das  soluções indicadas.



    Agradeço ao pessoal por terem respondido.



    Luiz      " esse papo de Delegação "  eu não entendi muito bem....   tem algum post anterior ou algum DOC  onde eu possa ver como essa  " Delegação  "  funciona .


    Obrigado a Todos


    Antonio Carlos Pereira Lacerda
    terça-feira, 30 de setembro de 2008 13:17
  • Amigo,

     

    Veja como delegar controle no link abaixo:

     

    http://www.baboo.com.br/absolutenm/templates/content.asp?articleid=4931&zoneid=24&resumo=

     

    Classifique,

    Paulo Dutra

    www.itproexpert.com

     

    terça-feira, 30 de setembro de 2008 13:27
  • Antonio,

    Pronto, Paulo indicou um bom site.

    aproveito para acrescentar:

    http://technet2.microsoft.com/windowsserver/pt-br/library/60096a04-8494-4551-bfd6-3aebadddc3fe1046.mspx?mfr=true

    http://technet2.microsoft.com/windowsserver/pt-br/library/6f2c519e-5662-43da-abfd-d30b7908a4b91046.mspx?mfr=true

    Espero ter ajudado.

    fico no aguardo de um retorno.

    Abraços
    terça-feira, 30 de setembro de 2008 13:34

Todas as Respostas

  • Antonio, no 2003 somente removendo a permissão de deleção da OU mesmo. No 2008 tem como selecionar uma opção q previne deleção acidental de OU.

    Att

    Alexandre
    segunda-feira, 29 de setembro de 2008 14:14
  •  

    Recomendo o seguinte:

     

    - Altere a senha do usuário administrador do dominio e a guarde em local seguro;

    - Não informe qual é a nova senha a nenhum dos administradores (nem mesmo você, rs);

    - Habilite a auditoria na árvore (AD) do seu dominio;

    - Faça com que os administradores utilizem o seu próprio usuário para administrar as contas, grupos e OU do dominio.

     

    Desta forma o LOG vai te informar qual usuário fez a alteração e quando a fez.

     

    Claro que você poderá também restringir o tipo de acesso (permissão) que cada um terá em sua árvore, mas acredito que todos terão que ter acesso "completo" nos registros.

     

    At,

    Rodrigo Corrêa

    segunda-feira, 29 de setembro de 2008 15:07
  • Antonio,

    Cara oque você pode fazer é o seguinte, use a ferramenta de "Delegação"
    Delega pra esse usuário mais inexperiente, as permissões que você julgue que ele seja capaz de fazer sem ter problemas.

    Por ex: se vc clicar em uma OU ou até mesmo no seu dominio com o botao direito, isso la dentro do próprio AD, vc vai achar DELEGATE CONTROL, é só vc proceder com isso removendo a permissão de deleção, pronto acabou o problema..


    é isso ai qualquer duvida post novamente.
    Espero ter ajudado

    Se util nao esqueça de classificar.

    Abraços
    segunda-feira, 29 de setembro de 2008 15:22
  • Luiz


    Bom Dia


    Estou lendo o Forum hoje e vou testar algumas das  soluções indicadas.



    Agradeço ao pessoal por terem respondido.



    Luiz      " esse papo de Delegação "  eu não entendi muito bem....   tem algum post anterior ou algum DOC  onde eu possa ver como essa  " Delegação  "  funciona .


    Obrigado a Todos


    Antonio Carlos Pereira Lacerda
    terça-feira, 30 de setembro de 2008 13:17
  • Amigo,

     

    Veja como delegar controle no link abaixo:

     

    http://www.baboo.com.br/absolutenm/templates/content.asp?articleid=4931&zoneid=24&resumo=

     

    Classifique,

    Paulo Dutra

    www.itproexpert.com

     

    terça-feira, 30 de setembro de 2008 13:27
  • Antonio,

    Pronto, Paulo indicou um bom site.

    aproveito para acrescentar:

    http://technet2.microsoft.com/windowsserver/pt-br/library/60096a04-8494-4551-bfd6-3aebadddc3fe1046.mspx?mfr=true

    http://technet2.microsoft.com/windowsserver/pt-br/library/6f2c519e-5662-43da-abfd-d30b7908a4b91046.mspx?mfr=true

    Espero ter ajudado.

    fico no aguardo de um retorno.

    Abraços
    terça-feira, 30 de setembro de 2008 13:34