Ibland så kommer man ut på uppdrag där någon implementerad roterande säkerhetskopiering av användardata, ett bra virusskydd och någon form av DPM lösning om AD´t skulle falera. Tyvvär är det inte så ofta det händer.  Säkerhetslösningar behöver inte kosta skjortan och är integrerade och relativt enkla att slå på men många gör det först efter att man haft en incident.

Ta en så enkel sak som att skydda ditt Active Directory, katalogtjänsten som innehåller inloggnings- och inställningsinformation för all dina anställda. Det går lika snabbt att radera 1 person som 100. Det endas som behövs är en icke vaksam sekund. Tro mig…det har hänt!

Det krävs knappt 10 klick för att förhindra hela incidenten och förändra situationen från katastrof till ett axelryck. Och det är mycket snabbare och billigare än en katastrofåterställning.

Så här kommer 2 enkla funktioner som du bör ha påslagen (förutom att ha en fungerande backup)

1. Förhindra oavsiktlig radering av hela organisationsmappar
Att tro att man raderar en person och istället märker att man raderat ett helt land är något man inte vill uppleva. I nyare versioner av Microsofts servrar finns inbyggda skydd för det. Beroende på nuvarande servers status kan du behöva aktivera funktionen manuellt. I nya servrar är denna påslagen från start.

Starta Active Directory Användare och datorer och aktivera ”Avancerade funktioner” i visa menyn

ad-enable-adnvanced-features

Nu kan du högerklicka på ett av dina organisationsmappar och verifiera om funktionen är påslagen eller inte. Om det inte finns en bock rutan för att skydda objektet är det hög tid att du gör en!

ad-view-advanced-features

Fr.o.m. nu kan du inte radera ett OU utan att reversera ovan steg, d.v.s. ta bort bocken igen. Oavsett roll användaren har.

ad-no-ou-delete-permissions

2. Aktivera papperskorgen i ditt Active Directory
Papperskorgen I ditt Active Directory gör samma sak som operativsystemets. Den lagrar raderade objekt så att du kan ångra ditt handlande.

Du aktiverar funktionen genom ditt Active Directory Adminstration Center. Du vet att den är aktiv då texten för funktionen är gråfärgad och du kan se en mapp med namnet ”Deleted Objects”. Är den svart är det bara att aktivera den!

ad-enable-recycle-bin

Sekunden efter det kan du med några få klick återställa användare och organisationsmappar som raderats av misstag.

ad-objects-recycle-bin

Mycket enkla steg som konstigt nog inte alltid är aktiverade! För dig som admin är detta en ruskigt bra försäkring som inte kostar något extra.