Eliminación y protección de objetos de Active Directory Profundo entendimiento

Todo el mundo sabe que en la era 2000 y 2003, cuando eliminamos un objeto de AD, AD no eliminó el objeto directamente, sino que lo marcó como una lápida sepulcral. Objeto Además, el objeto tombstone se almacenará en el directorio activo durante otros 180 días (60 días en 2000 y 2003, y 180 días después de SP1 en 2003). Esta es la hora de supervivencia de tombstone. El administrador puede modificar este tiempo de supervivencia de lápidas con Adsiedit.msc. Solo necesitamos encontrar el atributo tombstoneLifetime en Configuración \\ Servicios \\ Windows NT \\ Servicio de directorio para cambiarlo.

Nota: La duración de Tombstone (tombstoneLifetime) se refiere al intervalo de tiempo desde el inicio de la eliminación de un objeto en AD hasta el momento en que realmente se elimina. El valor predeterminado es 180 días. : Esta eliminación se copia a otros controladores de dominio en el dominio. La restauración de la copia de seguridad de "Datos de estado del sistema" de DC tiene una duración limitada y no se puede restaurar desde una copia de seguridad de datos de estado del sistema anteriores a la duración predeterminada de 180 días de la lápida. Si se elimina el objeto de Active Directory, no desaparece directamente. En su lugar, se coloca en un objeto eliminado con el nombre de CN invisible, que se almacena durante 180 días (predeterminado). En estos 180 días, se puede restaurar. En el controlador de dominio, El proceso llamado "Recolección de basura" se ejecuta cada 24 horas, y los registros eliminados de más de 180 días se eliminan realmente. Eso solo puede ser restaurado por copia de seguridad. Aquí se discute dentro de 180 días.

Ahora, echemos un vistazo a la herramienta LDP de Active Directory de Microsoft.

Seleccione la conexión e ingrese el controlador de dominio para conectarse. Podemos encontrar que el puerto utilizado por el protocolo LDAP es el puerto 389.

se unen en el menú, la entrada de selección conectado con las credenciales de identidad del operador. Después de ingresar, podemos ver que el usuario autorizado = " administrador "

selecciona opciones en el menú, selecciona los controles del elemento de menú y selecciona devolver objeto eliminado

En la ventana de Active Control, se muestra la identificación. Este número es una identificación reconocida por la base de información de administración. Representa el objeto eliminado.

Ver menú, seleccionar árbol, ingresar el dominio DN

En el subdirectorio, seleccione cn = contenedor de objetos eliminados, encuentre el objeto eliminado en él.

Ingrese el valor del atributo que se eliminó, seleccione eliminar en la operación, haga clic en Entrar para agregarlo a la lista de entradas

Ingrese otro atributo nombre distinguido en el atributo. En Valores, ingrese el DN de ubicación donde se almacenará el objeto de recuperación. En la operación, seleccione reemplazar, haga clic en entrar y agréguelo a la lista de entradas.
elegir Chequear síncrona y extendido, a continuación, haga clic en el botón Ejecutar. Se restauró el objeto eliminado. Protección de objetos de Active Directory en la era de Windows Server 2008

Además de las 03 anteriores, ADDS en Windows Server 2008. Cuando creamos un objeto, podemos verificar directamente si se habilita la protección anti-perdida.

Verifique esto, conan.han se siente bien, al menos en algunos casos para evitar que los ingenieros de sangre eliminen recursos (incluyéndome a mí, jaja), protegiendo a la OU, la importancia de los recursos No hace falta decir sexo, elimine una unidad organizativa por error, luego la información de este departamento ... Si desea eliminar, en este momento, las ventanas le recordarán que guarde el cuchillo.

Bien, el problema del cliente acaba de salir, ¿cómo puedo resolverlo?