修改DC墓碑生存时间

u 案例需求

如何更改授权还原的时间限制?

u 知识提示

当在AD中删除一个对象(如用户帐户、OU等)时,对象实际上并没有被真正删除,而是被移动到了一个特殊的容器中。最终该对象什么时候被删除,是由墓碑生存时间所决定的。

墓碑生存时间是指:从在AD中删除某个对象开始,到该对象真正被删除的时间间隔,在Windows Server 2008中,其默认值为180天,在Windows 2000 Server中,默认为60天。当该对象被删除的时间超过了180天后,就会被真正删除。因此,应该避免恢复180天之前的AD备份,以免导致AD中数据的不完整。

通过使用ADSI Edit工具,可以手动更改墓碑生存时间,具体操作步骤如下。

(1)登录到DC,在管理工具中打开“ADSI Edit”管理工具,右击“ADSI Edit”,在弹出的菜单中选择“连接到”命令,如图5.1所示。

修改DC墓碑生存时间_如何

图5.1 打开ADSI Edit管理工具

(2)在“连接设置”窗口中选择连接点,选择一个已知命名上下文为“配置”,然后单击“确定”按钮,如图5.2所示。

修改DC墓碑生存时间_Windows_02

图5.2 连接设置

(3)双击右侧窗口中的“配置”,然后依次展开节点“CN=Configuration”→“CN=Services”→“CN=Windows NT”→“CN=Directory Service”,右击“CN=Directory Service”,在弹出的菜单中选择“属性”,如图5.3所示。

修改DC墓碑生存时间_Windows_03

图5.3 打开CN=Directory Service属性

(4)在“CN=Directory Service属性”窗口中找到属性“tombstoneLifetime”,双击可以编辑其属性值,如图5.4所示。修改完成后单击“确定”关闭窗口即可。

修改DC墓碑生存时间_用户_04

图5.4 修改tomestoneLifetime属性值