活动目录对象删除与保护深入理解
推荐 原创
©著作权归作者所有:来自51CTO博客作者conanhan的原创作品,谢绝转载,否则将追究法律责任
星期6,接到一位客户的电话询问,对方购买的windows ser 2008 ent,搭建了ADDS环境,在删除OU的时候发生问题,他以为是系统故障,但这确实windows server 2008 ADDS的一个新功能——防止容器被意外删除。
那么,今天,conan.han就带大家来仔细研究一下微软的活动目录对象删除和保护。
首先,我们介绍的是windows server 2003时代的活动目录。
大家都知道,在2000和2003时代,当我们从AD中删除某个对象时,其实AD并非将此对象直接删除,而是将此对象标记为墓碑对象。并且,墓碑对象会在活动目录中再保存180天时间(2000和2003是60天,2003打了SP1之后是180天),这个时间即墓碑生存时间。此墓碑生存时间可由管理员使用Adsiedit.msc进行修改,我们只需要找到Configuration\Services\Windows NT\Directory Service下的tombstoneLifetime属性进行更改即可。
注:墓碑生存时间(tombstoneLifetime)是指:从在AD中删除某对象开始,到该对象真正被删除的时间间隔,默认值为180天,这样做是为了保证:这种删除操作被复制到域中其它的DC。恢复DC的“系统状态数据”备份是有时间限制的,不能从比墓碑默认的180天生存时间更旧的系统状态数据的备份中,恢复活动目录。活动目录对象如果被删除,并不直接消失,而是放入一个不可见的CN,名字叫deleted object,里面存放180天(默认),在这180天内,可以进行恢复,在域控制器上,每24小时执行一次名叫“垃圾收集”的进程,将超过180天的被删除记录真正的删除。那只能通过备份加以恢复了。在这里讨论的是在180天之内的情况。
现在,我们在看看用微软的活动目录LDP工具查看。
选择connection,输入要连接的域控制器。我们可以发现LDAP协议所用的端口为389号端口。
在菜单bind中,选择输入连接操作者的身份凭据。在输入后,我们可以见到显示出authendicated user=“administrator”
选择菜单当中的options,选择菜单项controls,在其中,选择return deleted object
注意,在Active controls窗口中,显示出ID,该号码是管理信息库所识别的一个ID,代表着被删除对象
view菜单中,选择tree,输入域的DN
在子目录下,选择cn=deleted object容器,在其中找到被删除的对象
输入attribute 值为 isdeleted ,在operation中选择delete, 点击Enter将其添加到entry list中
再在attribute中输入另一个属性distinguishedName,在Values中,输入准备恢复对象存放的位置DN,在operation中,选择replace,点击enter,将其添加到entry list中。
选择勾选Synchronous和Extended,然后点击Run按钮。被删除的对象,就得以恢复了
在Windows Server 2008 时代活动目录对象保护
除了以上03的基础上,在windows server 2008中的ADDS。我们在创建对象时,可直接勾选是否启用防误删保护。
勾选这个,conan.han觉得不赖,至少在某些情况下防止热血工程师删除资源(包括我自己,哈哈),保护OU,资源的重要性相比不用多说,误删除一个OU,那这个部门的资料就...如果要删,此时,windows就会提醒你刀下留人!
好了,刚刚的客户问题就出来了,那怎么解决呢。
给大家说说这个原理,大家自然知道怎么解决了。let's go!
首先不多说,打开ADUC的“高级功能”,我们才可以看安全选项
大家看见了么?everyone的特殊权限是Deny!!!!!
在进入高级中看看,编辑everyone的高级权限
大家看到这幅图,应该就知道怎么回事了吧,也知道怎么操作了吧!嗯,提示一点,权限是叠加的!administrator,domain admin都是属于everyone里面的哦!~
OK,今天给大家聊了03,08的删除保护对象,过段时间给大家讲windows server 2008 R2的活动目录对象删除保护...
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
深入理解域和活动目录的概念
深入理解域和活动目录
域 活动目录 -
深入理解面向对象与面向过程
面向对象&面向过程 什么是面向过程? 自上而
面向对象 面向过程 类对象 -
SELinux深入理解SELinux深入理解
1. 简介 SELinux带给Linux的主要价值是:提供了一个灵活的,可配置的MAC机制。 Security-Enhanced Linux (SELinux)
p2p linux debian 访问控制 标识符 -
深入理解mybatis原理(十二) mybatis深入理解之#与$区别
一、介绍 mybatis 中使用 Mapper.xml里面的配置进行 sql 查询,经
mybatis sql 预编译 java -
深入理解Javascript window对象
首先看我们的源代码。 [html] view plaincopy <!DOCTYPE html> <html> <head> <meta charset="utf-8" /> <title>深入理解Javascript</title>
javascript window对象 html 运行环境 chrome