活动目录对象删除与保护深入理解_08
 
星期6,接到一位客户的电话询问,对方购买的windows ser 2008 ent,搭建了ADDS环境,在删除OU的时候发生问题,他以为是系统故障,但这确实windows server 2008 ADDS的一个新功能——防止容器被意外删除。
那么,今天,conan.han就带大家来仔细研究一下微软的活动目录对象删除和保护。
 
首先,我们介绍的是windows server 2003时代的活动目录。
大家都知道,在2000和2003时代,当我们从AD中删除某个对象时,其实AD并非将此对象直接删除,而是将此对象标记为墓碑对象。并且,墓碑对象会在活动目录中再保存180天时间(2000和2003是60天,2003打了SP1之后是180天),这个时间即墓碑生存时间。此墓碑生存时间可由管理员使用Adsiedit.msc进行修改,我们只需要找到Configuration\Services\Windows NT\Directory Service下的tombstoneLifetime属性进行更改即可。
活动目录对象删除与保护深入理解_R2_02
注:墓碑生存时间(tombstoneLifetime)是指:从在AD中删除某对象开始,到该对象真正被删除的时间间隔,默认值为180天,这样做是为了保证:这种删除操作被复制到域中其它的DC。恢复DC的“系统状态数据”备份是有时间限制的,不能从比墓碑默认的180天生存时间更旧的系统状态数据的备份中,恢复活动目录。活动目录对象如果被删除,并不直接消失,而是放入一个不可见的CN,名字叫deleted object,里面存放180天(默认),在这180天内,可以进行恢复,在域控制器上,每24小时执行一次名叫“垃圾收集”的进程,将超过180天的被删除记录真正的删除。那只能通过备份加以恢复了。在这里讨论的是在180天之内的情况。
 
现在,我们在看看用微软的活动目录LDP工具查看。
选择connection,输入要连接的域控制器。我们可以发现LDAP协议所用的端口为389号端口。
活动目录对象删除与保护深入理解_活动目录_03
 
在菜单bind中,选择输入连接操作者的身份凭据。在输入后,我们可以见到显示出authendicated user=“administrator”
活动目录对象删除与保护深入理解_AD_04
活动目录对象删除与保护深入理解_墓碑时间_05
 
选择菜单当中的options,选择菜单项controls,在其中,选择return deleted object
注意,在Active controls窗口中,显示出ID,该号码是管理信息库所识别的一个ID,代表着被删除对象
活动目录对象删除与保护深入理解_R2_06
 
view菜单中,选择tree,输入域的DN
活动目录对象删除与保护深入理解_AD_07
 
在子目录下,选择cn=deleted object容器,在其中找到被删除的对象
活动目录对象删除与保护深入理解_08_08
 
活动目录对象删除与保护深入理解_03_09
 
输入attribute 值为 isdeleted ,在operation中选择delete, 点击Enter将其添加到entry list中
活动目录对象删除与保护深入理解_墓碑时间_10
 
再在attribute中输入另一个属性distinguishedName在Values中,输入准备恢复对象存放的位置DN,在operation中,选择replace,点击enter,将其添加到entry list中。
活动目录对象删除与保护深入理解_墓碑时间_11
 
选择勾选Synchronous和Extended,然后点击Run按钮。被删除的对象,就得以恢复了
 
活动目录对象删除与保护深入理解_R2_12
 
 在Windows Server 2008 时代活动目录对象保护
 
除了以上03的基础上,在windows server 2008中的ADDS。我们在创建对象时,可直接勾选是否启用防误删保护。
活动目录对象删除与保护深入理解_08_13
 
勾选这个,conan.han觉得不赖,至少在某些情况下防止热血工程师删除资源(包括我自己,哈哈),保护OU,资源的重要性相比不用多说,误删除一个OU,那这个部门的资料就...如果要删,此时,windows就会提醒你刀下留人!
活动目录对象删除与保护深入理解_AD_14
 
好了,刚刚的客户问题就出来了,那怎么解决呢。
给大家说说这个原理,大家自然知道怎么解决了。let's go!
首先不多说,打开ADUC的“高级功能”,我们才可以看安全选项
活动目录对象删除与保护深入理解_AD_15
 
大家看见了么?everyone的特殊权限是Deny!!!!!
 
在进入高级中看看,编辑everyone的高级权限
 
活动目录对象删除与保护深入理解_R2_16
 
大家看到这幅图,应该就知道怎么回事了吧,也知道怎么操作了吧!嗯,提示一点权限是叠加的!administrator,domain admin都是属于everyone里面的哦!~
活动目录对象删除与保护深入理解_活动目录_17
 
 
OK,今天给大家聊了03,08的删除保护对象,过段时间给大家讲windows server 2008 R2的活动目录对象删除保护...