Windows 2008 hat im Bezug auf OUs ein neues nettes Feature das verhindert, dass ein Administrator versehentlich eine komplette OU löscht. Beim erstellen und auch später kann in den Eigenschaften einer OU folgende Option gesetzt werden.
Dieser Haken macht nichts anderes, als der Gruppe „Jeder“ das löschen dieser OU zu verweigern. Unter Windows 2003 kann diese Berechtigung per Kommandozeile gesetzt werden
Dsacls OU=testou,DC=domain,DC=local /D Jeder:SDDT
Wer diese Berechtigung nun jedoch auf die OU testou gesetzt hat wird sich wundern, dass er diese dennoch löschen kann. Dieses Phänomen ist eine Windows 2003 Eigenart. Um die OU testou vor dem löschen zu schützen, muss ich ein Objekt innerhalb/unterhalb dieser OU vor dem löschen schützen, nur dann kann die Übergeordnete OU nicht mehr gelöscht werden.
Um zum Beispiel die OU Miami vor dem löschen zu schützen muss eine Untergeordnete OU mit dem deny Recht versehen werden.