Lors de la création d’une nouvelle Unité d’Organisation (OU : Organizational Unit), celle-ci est par défaut « Protégée contre la suppression accidentelle »; il arrive que des IT Admins désactivent cette option. Il s’agit ici d’un risque majeur car une OU peut avoir des sous-OU contenant des objets de sécurité « critiques » tels que des comptes utilisateurs (VIP : PDG /DG), des compteurs ordinateurs (Laptop de directeurs : Administratif /Financier…) voire aussi des partages, imprimantes, groupes de sécurité …Etc
Il est recommandé d’effectuer régulièrement un audit « Light » des OU non protégées contre la suppression accidentelle.
Comment ça marche ?
Lister toutes les OUs non protégées contre la suppression accidentelle
Ouvrez une Session Windows sur un DC ou une machine d’Administration ayant les outils RSAT installés
Lancez Windows PowerShell en tant qu’Administrateur et saisissez la commande suivante :
Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $false} | FT -AutoSize
Activer la « Protection contre la suppression accidentelle » sur les OUs non protégées
Ouvrez une Session Windows sur un DC ou une machine d’Administration ayant les outils RSAT installés
Lancez Windows PowerShell en tant qu’Administrateur et saisissez la commande suivante :
Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | where {$_.ProtectedFromAccidentalDeletion -eq $false} | Set-ADOrganizationalUnit -ProtectedFromAccidentalDeletion $true
Blog de Hicham KADIRI | Just Another IT Guy 