大家都知道,在2000和2003时代,当我们从AD中删除某个对象时,其实AD并非将此对象直接删除,而是将此对象标记为墓碑对象,
活动目录对象删除与保护深入学会
。并且,墓碑对象会在活动目录中再保存180天时间(2000和2003是60天,2003打了SP1之后是180天),这个时间即墓碑生存时间。此墓碑生存时间可由管理员使用Adsiedit.msc进行修改,我们只需要找到Configuration\Services\Windows NT\Directory Service下的tombstoneLifetime属性进行更改即可。注:墓碑生存时间(tombstoneLifetime)是指:从在AD中删除某对象开始,到该对象真正被删除的时间间隔,默认值为180天,这样做是为了保证:这种删除操作被复制到域中其它的DC。恢复DC的“系统状态数据”备份是有时间限制的,不能从比墓碑默认的180天生存时间更旧的系统状态数据的备份中,恢复活动目录。活动目录对象如果被删除,并不直接消失,而是放入一个不可见的CN,名字叫deleted object,里面存放180天(默认),在这180天内,可以进行恢复,在域控制器上,每24小时执行一次名叫“垃圾收集”的进程,将超过180天的被删除记录真正的删除。那只能通过备份加以恢复了。在这里讨论的是在180天之内的情况。
现在,我们在看看用微软的活动目录LDP工具查看。
选择connection,输入要连接的域控制器。我们可以发现LDAP协议所用的端口为389号端口。
在菜单bind中,选择输入连接操作者的身份凭据。在输入后,我们可以见到显示出authendicated user=“administrator”
选择菜单当中的options,选择菜单项controls,在其中,选择return deleted object
注意,在Active controls窗口中,显示出ID,该号码是管理信息库所识别的一个ID,代表着被删除对象
view菜单中,选择tree,输入域的DN
在子目录下,选择cn=deleted object容器,在其中找到被删除的对象
输入attribute 值为 isdeleted ,在operation中选择delete, 点击Enter将其添加到entry list中
再在attribute中输入另一个属性distinguishedName,在Values中,输入准备恢复对象存放的位置DN,在operation中,选择replace,点击enter,将其添加到entry list中,
电脑资料
《活动目录对象删除与保护深入学会》(http://meiwen.anslib.com)。选择勾选Synchronous和Extended,然后点击Run按钮。被删除的对象,就得以恢复了
在Windows Server 2008 时代活动目录对象保护
除了以上03的基础上,在windows server 2008中的ADDS。我们在创建对象时,可直接勾选是否启用防误删保护。
勾选这个,conan.han觉得不赖,至少在某些情况下防止热血工程师删除资源(包括我自己,哈哈),保护OU,资源的重要性相比不用多说,误删除一个OU,那这个部门的资料就...如果要删,此时,windows就会提醒你刀下留人!
好了,刚刚的客户问题就出来了,那怎么解决呢。
给大家说说这个原理,大家自然知道怎么解决了。let's go!
首先不多说,打开ADUC的“高级功能”,我们才可以看安全选项
大家看见了么?everyone的特殊权限是Deny!!!!!
在进入高级中看看,编辑everyone的高级权限
大家应该就知道怎么回事了吧,也知道怎么操作了吧!嗯,提示一点,权限是叠加的!administrator,domain admin都是属于everyone里面的哦!~
OK,今天给大家聊了03,08的删除保护对象,过段时间给大家讲windows server 2008 R2的活动目录对象删除保护...