Incepand cu Windows 2008, in consola Active Directory Users and Computers exista o optiune care protejeaza OU-urile de la stergerea accidentala:

Iata ce se intampla cand vrem sa-l stergem:

Ca sa puteti sterge un OU, trebuie sa debifati  “protect object from accidental deletion”. E bine gandita optiunea; am intalnit cazuri in care unii admini au sters containere intregi cu toate obiectele din ele si a trebuit sa apelez la restore din backup.

Dar ce facem daca folosim Windows 2003? Nici o problema, exista solutie si aici.

Setam Deny pe Delete si Delete Subtree in Advanced security settings.

Iar pe containerul parinte (in cazul meu e domain root) setam Deny pe Delete All Child Objects.

Iata ce se intampla cand incercam sa stergem Organizational Unit-ul.

Operatiunea afecteaza doar OU-ul Test_Delete, fara a afecta obiectele din el (inclusiv OU-uri) si recomand a fi setat pe containerele top level cu foarte multe obiecte.