修改DC墓碑生存时间
u 案例需求
如何更改授权还原的时间限制?
u 知识提示
当在AD中删除一个对象(如用户帐户、OU等)时,对象实际上并没有被真正删除,而是被移动到了一个特殊的容器中。最终该对象什么时候被删除,是由墓碑生存时间所决定的。
墓碑生存时间是指:从在AD中删除某个对象开始,到该对象真正被删除的时间间隔,在Windows Server 2008中,其默认值为180天,在Windows 2000 Server中,默认为60天。当该对象被删除的时间超过了180天后,就会被真正删除。因此,应该避免恢复180天之前的AD备份,以免导致AD中数据的不完整。
通过使用ADSI Edit工具,可以手动更改墓碑生存时间,具体操作步骤如下。
(1)登录到DC,在管理工具中打开“ADSI Edit”管理工具,右击“ADSI Edit”,在弹出的菜单中选择“连接到”命令,如图5.1所示。
图5.1 打开ADSI Edit管理工具
(2)在“连接设置”窗口中选择连接点,选择一个已知命名上下文为“配置”,然后单击“确定”按钮,如图5.2所示。
图5.2 连接设置
(3)双击右侧窗口中的“配置”,然后依次展开节点“CN=Configuration”→“CN=Services”→“CN=Windows NT”→“CN=Directory Service”,右击“CN=Directory Service”,在弹出的菜单中选择“属性”,如图5.3所示。
图5.3 打开CN=Directory Service属性
(4)在“CN=Directory Service属性”窗口中找到属性“tombstoneLifetime”,双击可以编辑其属性值,如图5.4所示。修改完成后单击“确定”关闭窗口即可。
图5.4 修改tomestoneLifetime属性值