您现在的位置: 破洛洛 >> 服务器 >> DNS服务器 >> 正文

活动目录对象删除与保护深入理解

作者:佚名 来源:不详 更新时间:2009-4-16
分享到

    大家都知道,在2000和2003时代,当我们从AD中删除某个对象时,其实AD并非将此对象直接删除,而是将此对象标记为墓碑对象。并且,墓碑对象会在活动目录中再保存180天时间(2000和2003是60天,2003打了SP1之后是180天),这个时间即墓碑生存时间。此墓碑生存时间可由管理员使用Adsiedit.msc进行修改,我们只需要找到Configuration\Services\Windows NT\Directory Service下的tombstoneLifetime属性进行更改即可。

    注:墓碑生存时间(tombstoneLifetime)是指:从在AD中删除某对象开始,到该对象真正被删除的时间间隔,默认值为180天,这样做是为了保证:这种删除操作被复制到域中其它的DC。恢复DC的“系统状态数据”备份是有时间限制的,不能从比墓碑默认的180天生存时间更旧的系统状态数据的备份中,恢复活动目录。活动目录对象如果被删除,并不直接消失,而是放入一个不可见的CN,名字叫deleted object,里面存放180天(默认),在这180天内,可以进行恢复,在域控制器上,每24小时执行一次名叫“垃圾收集”的进程,将超过180天的被删除记录真正的删除。那只能通过备份加以恢复了。在这里讨论的是在180天之内的情况。

  现在,我们在看看用微软的活动目录LDP工具查看。

  选择connection,输入要连接的域控制器。我们可以发现LDAP协议所用的端口为389号端口。

 

  

 

[1] [2] [3] [4] [5] [6] 下一页


    
    在菜单bind中,选择输入连接操作者的身份凭据。在输入后,我们可以见到显示出authendicated user=“administrator”

   

 

 


    
    选择菜单当中的options,选择菜单项controls,在其中,选择return deleted object

  注意,在Active controls窗口中,显示出ID,该号码是管理信息库所识别的一个ID,代表着被删除对象

     

 

上一页  [1] [2] [3] [4] [5] [6] 下一页

    view菜单中,选择tree,输入域的DN

  

 

    
    在子目录下,选择cn=deleted object容器,在其中找到被删除的对象

     

 

 


 

上一页  [1] [2] [3] [4] [5] [6] 下一页

    
     输入attribute 值为 isdeleted ,在operation中选择delete, 点击Enter将其添加到entry list中

  

 


    
    再在attribute中输入另一个属性distinguishedName,在Values中,输入准备恢复对象存放的位置DN,在operation中,选择replace,点击enter,将其添加到entry list中。
    
   

 


    
    选择勾选Synchronous和Extended,然后点击Run按钮。被删除的对象,就得以恢复了
   
 

 

    
    在Windows Server 2008 时代活动目录对象保护

上一页  [1] [2] [3] [4] [5] [6] 下一页

    除了以上03的基础上,在windows server 2008中的ADDS。我们在创建对象时,可直接勾选是否启用防误删保护。

   


    
    勾选这个,conan.han觉得不赖,至少在某些情况下防止热血工程师删除资源(包括我自己,哈哈),保护OU,资源的重要性相比不用多说,误删除一个OU,那这个部门的资料就...如果要删,此时,windows就会提醒你刀下留人!

   


    
    好了,刚刚的客户问题就出来了,那怎么解决呢。

  给大家说说这个原理,大家自然知道怎么解决了。let's go!

  首先不多说,打开ADUC的“高级功能”,我们才可以看安全选项

   


    
    大家看见了么?everyone的特殊权限是Deny!!!!!

上一页  [1] [2] [3] [4] [5] [6] 下一页

    在进入高级中看看,编辑everyone的高级权限

 


    
    大家看到这幅图,应该就知道怎么回事了吧,也知道怎么操作了吧!嗯,提示一点,权限是叠加的!administrator,domain admin都是属于everyone里面的哦!~

   


    
    OK,今天给大家聊了03,08的删除保护对象,过段时间给大家讲windows server 2008 R2的活动目录对象删除保护...

上一页  [1] [2] [3] [4] [5] [6] 

转载请注明:破洛洛(谢谢合作)
网友评论: