3.5K
Cuando crea unidades organizativas de Active Directory, tienen la opción «Proteger el contenedor contra una eliminación accidental» habilitada de forma predeterminada.
Si intenta eliminar la unidad organizativa protegida mediante PowerShell, obtendrá un mensaje «Acceso denegado» error:
Get-ADOrganizationalUnit -identity "OU=California,OU=US,DC=contoso,DC=com" | Remove-ADOrganizationalUnit Remove-ADOrganizationalUnit : Access is denied + CategoryInfo : PermissionDenied: UnauthorizedAccessException
Nota. Los contenedores predeterminados de Active Directory (integrados, equipos, controladores de dominio, usuarios, sistema, principios de seguridad extranjeros, cuotas NTDS) no están protegidos de forma predeterminada.
Puede desactivar la protección de eliminación de OU a través de la consola ADUC:
- Ejecute el complemento dsa.msc;
- Habilite Ver> Funciones avanzadas en el menú superior;
- Busque la unidad organizativa en el árbol de Active Directory y abra sus propiedades;
- Ir al Objeto pestaña y desmarque la opción Proteger el objeto de una eliminación accidental;
- Ahora puede eliminar o mover esta unidad organizativa.
También puede cambiar el valor del atributo ProtectedFromAccidentalDeletion de una unidad organizativa mediante PowerShell. Usaremos los cmdlets Get-ADOrganizationalUnit y Set-ADObject del módulo PowerShell Active Directory para cambiar las propiedades de la unidad organizativa. Aquí hay una frase de PowerShell que eliminará la protección de la unidad organizativa y eliminará inmediatamente el objeto del AD:
Get-ADOrganizationalUnit -Identity "OU=California,OU=US,DC=contoso,DC=com" | Set-ADObject -ProtectedFromAccidentalDeletion:$false -PassThru | Remove-ADOrganizationalUnit
Para mostrar una lista de unidades organizativas en Active Directory con la opción ProtectedFromAccidentalDeletion deshabilitada, ejecute el comando:
Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $false} |select DistinguishedName
Puede proteger contra la eliminación accidental no solo las unidades organizativas, sino también otros tipos de objetos en Active Directory: usuarios, cuentas de computadora y grupos.
Puedes habilitar el Proteger el objeto de una eliminación accidental opción con la consola ADUC o usando PowerShell:
Get-ADObject -Identity 'CN=M-DC02,OU=Domain Controllers,DC=contoso,DC=com' |Set-ADObject -ProtectedFromAccidentalDeletion:$true
Ahora no podrá eliminar ni mover este objeto de computadora a otra unidad organizativa.