
Como humanos, todos cometemos errores. Algunos son más críticos que otros, eso es seguro. Uno de los errores más catastróficos que puede cometer un administrador de Active Directory es eliminar accidentalmente una unidad organizativa (UNED). Afortunadamente, este error es evitable. Puede protegerse a sí mismo y a su organización contra la eliminación accidental de unidades organizativas. En este artículo, te mostraré cómo. Primero, déjame mostrarte por qué este error es tan grave.
¿Por qué proteger una unidad organizativa contra la eliminación?
En Active Directory, un OU es esencialmente un tipo de contenedor. Es una estructura lógica que normalmente incluye otros objetos. Estos objetos pueden incluir cuentas de usuario, grupos, cuentas de computadora, impresoras y más. Una unidad organizativa incluso puede contener otras unidades organizativas.

Como probablemente habrás adivinado, eliminar una unidad organizativa también elimina los objetos dentro de él. Estoy seguro de que puede imaginar los problemas que causaría si un administrador accidentalmente eliminó una unidad organizativa que contenía miles de cuentas de usuario.
¿Este error tiene solución? ¿Puedes recuperar de alguna manera la unidad organizativa eliminada?
¿Se puede recuperar una unidad organizativa eliminada?
En este momento, es posible que se pregunte si puede incluso recuperar una unidad organizativa eliminada accidentalmente.
Sus opciones varían dependiendo de si ha habilitado o no la Papelera de reciclaje de Active Directory. Si lo hiciste, entonces puedes generalmente recupera una unidad organizativa. Si no, entonces el la unidad organizativa eliminada se convierte en un objeto de lápida. Aunque puede recuperar un objeto de lápida, una lápida pierde la mayor parte de sus atributos. Como resultado, es posible que obtenga muy pocos beneficios al restaurar este objeto. En cambio, puede ser mejor simplemente recrearlo.
Déjame mostrarte cómo puedes habilitar la papelera de reciclaje de AD.
Habilitar la papelera de reciclaje de Active Directory
La papelera de reciclaje de Active Directory solo puede protegerlo si la habilita ANTES de una eliminación accidental. Si desea habilitar la Papelera de reciclaje de AD, simplemente sigue estos 3 pasos:
- Abre el Centro de administración de Active Directory
- Haga clic derecho en su nombre de dominio y seleccione el Habilitar papelera de reciclaje comando del menú contextual
- Hacer clic OK para confirmar que desea habilitar la papelera de reciclaje de Active Directory
Cuando termine, debería poder restaurar la mayoría de las unidades organizativas eliminadas. Déjame enseñarte como.
Recuperación de una unidad organizativa eliminada
La recuperación integral de unidades organizativas puede estar fuera del alcance de este artículo. Sin embargo, todavía quiero darte una alto–descripción general del nivel del proceso.
Primero saquemos algunas cosas del camino.
Cuando solicite la eliminación de una unidad organizativa, Windows le dará una advertencia grave de que se eliminarán la unidad organizativa y los objetos que incluye. Lo que es más importante, este mensaje le dice que si entra en pánico e intenta cancelar una eliminación a mitad de camino, ganóNo podrá restaurar ningún objeto que ya haya sido eliminado. Suponiendo que el La papelera de reciclaje de Active Directory está habilitadalo mejor es simplemente dejar que termine un borrado no deseado. No lo interrumpas.

Para nuestros propósitos, eliminé la unidad organizativa de ejemplo que le mostré anteriormente. Como puede ver en la figura siguiente, la unidad organizativa de ejemplo aparece en la papelera de reciclaje de Active Directory. También verá todos los objetos que estaban en la unidad organizativa eliminada.

Para restaurar un objeto eliminado, simplemente selecciónelo y haga clic en Restaurar. Dicho esto, esto no restaurará los objetos dentro de la unidad organizativa. En su lugar, restaure la unidad organizativa y luego restaure los objetos que tenía anteriormente.

Después de recuperar la propia unidad organizativa, puede recuperar los objetos individuales de la papelera de reciclaje de Active Directory. Simplemente selecciónelos y haga clic en Restaurar.


Como puede ver en la figura anterior, los elementos eliminados se han recuperado.
Consejos profesionales
Al recuperar una Unidad Organizativa, debes recordar estas 2 cosas muy importantes:
- Restaure la unidad organizativa antes de intentar restaurar objetos individuales. De lo contrario, la recuperación no tendrá éxito.
- Actualice la consola después de la recuperación. De lo contrario, la consola de usuarios y equipos de Active Directory no reconocerá la recuperación.
Si las circunstancias son adecuadas, es posible recuperar una unidad organizativa eliminada. Aun así, es mucho mejor evitar por completo la eliminación accidental. Veamos cómo puedes hacer eso.
Prevención de la eliminación accidental de unidades organizativas
Cuando crea una unidad organizativa, la consola de usuarios y equipos de Active Directory protege automáticamente la unidad organizativa para que no se elimine. (Es decir, suponiendo que esté utilizando la última versión de Windows). Como puede ver a continuación, la ventana de creación tiene una casilla de verificación marcada de forma predeterminada. Eso protege su unidad organizativa contra la eliminación accidental.

Ahora, ¿qué puedes hacer por las unidades organizativas que ya tenías?
Protección de unidades organizativas existentes
Es probable que tengas algunos Unidades organizativas que no se han protegido automáticamente sobre la creación. Puede usar PowerShell para buscar unidades organizativas desprotegidas. Para hacer eso, simplemente use el siguiente comando:
Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | donde {$_.ProtectedFromAccidentalDeletion -eq $falso} |

Ahora que sabe qué unidades organizativas están desprotegidas, también puede use PowerShell para habilitar la protección. Simplemente use los siguientes comandos:
$OUs = Get-ADOrganizationalUnit -filter * -Properties ProtectedFromAccidentalDeletion | donde {$_.ProtectedFromAccidentalDeletion -eq $false}$OUs | Conjunto-ADOrganizationalUnit -ProtectedFromAccidentalDeletion $true |

Pensamientos finales
Un La unidad organizativa puede contener información importante y cuentas de usuario en su empresa. Por eso, puede ser un gran problema si borras uno accidentalmente. Afortunadamente, puedes restaurar sus unidades organizativas eliminadas. Solo asegúrate de haber Papelera de reciclaje de Active Directory habilitada antemano.
Sin embargo, es mucho mejor evitar la eliminación accidental por completo. Las últimas versiones de Windows lo habilitan de forma predeterminada. Aún así, también puede usar PowerShell para determinar si una unidad organizativa no es segura y habilitar la protección.
¿Tienes preguntas sobre las Unidades Organizativas? Revisar la preguntas frecuentes y Recursos ¡abajo!
Preguntas más frecuentes
¿Por qué las unidades organizativas deben protegerse contra la eliminación accidental si se pueden restaurar?
En las circunstancias adecuadas, es posible recuperar una unidad organizativa eliminada. Aun así, es mucho mejor evitar que se elimine una unidad organizativa en primer lugar. Proteger una unidad organizativa de la eliminación ayuda a evitar interrupciones. También previene las incertidumbres involucradas en el proceso de recuperación.
¿El uso de PowerShell para evitar la eliminación accidental de unidades organizativas tiene alguna ventaja sobre el uso de la GUI?
Puede habilitar la protección de la unidad organizativa mediante PowerShell o la GUI. Ambas herramientas funcionan igual de bien. La única ventaja de usar PowerShell es que reduce la cantidad de trabajo necesario cuando se trabaja en entornos complejos. Cuando tiene una gran cantidad de OU, no necesita verificar cada una individualmente.
Dado que Windows Server protege las unidades organizativas de forma predeterminada, ¿existe algún beneficio real al verificar si la protección de unidades organizativas está habilitada?
Algunas versiones anteriores de Windows no habilitaban automáticamente la protección de unidades organizativas. Esto es especialmente cierto para las unidades organizativas creadas con herramientas de políticas de grupo. Por lo tanto, es probable que las unidades organizativas más antiguas de su entorno no sean seguras. Cuando sepa cuáles no son seguros, puede habilitar la protección.
¿Es posible eliminar una unidad organizativa protegida?
Si, en algún momento, decide que necesita eliminar una unidad organizativa protegida, puede hacerlo fácilmente. Simplemente anule la selección de la casilla de verificación Proteger objeto de eliminación accidental. Luego, elimine la unidad organizativa como lo haría con cualquier otro objeto de Active Directory. La protección predeterminada simplemente garantiza que nadie en su organización elimine algo que no debería.
¿Cómo ayuda la protección de la unidad organizativa si todavía hay una forma de eliminar una unidad organizativa?
Antes de poder eliminar una unidad organizativa, debe deshabilitar la protección de la unidad organizativa. Como resultado, aunque aún puede eliminar una unidad organizativa, aún requiere un paso adicional. Por lo tanto, debe hacer un esfuerzo consciente para eliminar una unidad organizativa. Nadie puede simplemente hacer clic en eliminar y borrar una unidad organizativa completa.
Recursos
TechGenix: Artículo sobre permisos de unidades organizativas
Obtén información sobre cómo comprobar los permisos en una unidad organizativa.
TechGenix: artículo sobre el diseño de unidades organizativas de AD
Obtenga más información sobre el diseño de unidades organizativas de Active Directory.
TechGenix: artículo sobre OU frente a grupos AD
Descubra en qué se diferencian las unidades organizativas de los grupos de Active Directory.
GroupPolicy: artículo sobre protección de directivas de grupo
Descubra por qué la política de grupo puede no proteger adecuadamente sus unidades organizativas.
ManageEngine: artículo sobre la recuperación de objetos de AD
Obtenga más información sobre cómo recuperar objetos eliminados de Active Directory.
ITExperience: artículo sobre la protección contra la eliminación accidental de unidades organizativas
Obtenga más información sobre cómo evitar que las unidades organizativas se eliminen accidentalmente.