By default orice user din AD are drept de Read & List Contents peste toate obiectele din AD, asta fiind motivul pentru care toate obiectele sunt vizibile din ADUC.

Dar sa luam cazul in care vrem sa gazduim in AD-ul nostru doua companii iar administratorii delegati peste obiectele din AD nu au voie sa vada decat OU-ul companiei lor. Daca am lasa totul default, lucrurile ar arata asa:

Iar daca am scoatem Authenticated Users din ACL-ul companiei B si ne conectam cu un user normal:

Ii blocam cumva accesul user-ului la acel OU insa tot il va vedea, ca Unknown bineinteles pentru ca nu ii poate citi nici macar ACL-ul.

Ca sa facem sa dispara complet acel OU, e nevoie sa activam List Object Mode. Asta se face activand DsHeuristics pe 001 (mai exact al treilea bit trebuie setat pe 1; daca aveti si alti biti setati, lasati-i in pace).

Detalii la http://technet.microsoft.com/en-us/library/dd346510.aspx

Setarea se aplica la nivel de forest. Nu este necesar reboot.

Imediat dupa modificare putem vedea ca in ACL-uri apare si List Object:

Ca sa facem sa dispara un OU, de exemplu “Company B”, e nevoie sa scoatem List Contents de pe containerul Hosting:

Iar pe containerul Company B, scoatem si List Contents si List Object (merge si daca scoatem List Object, insa List Contents va bloca si queryurile LDAP):

Iar rezultatul este urmatorul:

Pe scurt: List Contents scos de pe containerul parinte, List Object si List Contents de pe child.

Ce am facut eu pana acum a fost doar sa restrictionez vizibilitatea acestui OU pentru Authenticated Users, mai departe puteti asigna permisiuni de Read/List Contents/List Object pentru userii/grupurile ce vor avea access.

ATENTIE la grupul Pre-Windows 2000 Compatible Access. Daca aveti activata aceasta optiune, atunci Authenticated Users o sa faca parte din acest grup. Ori dati remove ori modificati permisiunile si pentru Pre-Windows 2000 pentru ca altfel nu o sa mearga.

Si cam asta e tot, pentru intrebari va astept pe forum.

Incepand cu Windows 2008, in consola Active Directory Users and Computers exista o optiune care protejeaza OU-urile de la stergerea accidentala:

Iata ce se intampla cand vrem sa-l stergem:

Ca sa puteti sterge un OU, trebuie sa debifati  “protect object from accidental deletion”. E bine gandita optiunea; am intalnit cazuri in care unii admini au sters containere intregi cu toate obiectele din ele si a trebuit sa apelez la restore din backup.

Dar ce facem daca folosim Windows 2003? Nici o problema, exista solutie si aici.

Setam Deny pe Delete si Delete Subtree in Advanced security settings.

Iar pe containerul parinte (in cazul meu e domain root) setam Deny pe Delete All Child Objects.

Iata ce se intampla cand incercam sa stergem Organizational Unit-ul.

Operatiunea afecteaza doar OU-ul Test_Delete, fara a afecta obiectele din el (inclusiv OU-uri) si recomand a fi setat pe containerele top level cu foarte multe obiecte.