Recuperare elemente șterse (obiecte «piatra funerara») în Active Directory
Cum este procesul de eliminare a obiectelor din Active Directory?
Când ștergeți un obiect Active Directory, nu există nici o distrugere instantanee a bazei sale de date Active Directory, obiectul este marcat pentru ștergere de rutină. De ce se face? Obiectele pot fi editate în orice controler de domeniu în pădure, atunci modificările trebuie să fie reproduse la alte servere. Prin urmare, îndepărtarea în obiectul mediu nu pot fi îndepărtate imediat, deoarece acest lucru va elimina obiectul și replicarea.
Timpul depozitarea obiectelor «piatra funerara», precum și intervalele de declanșare «de colectare a gunoiului» proces poate fi schimbat:
- Pentru obiectele «piatra funerara» - stabilirea unei valori noi pentru atributul tombstoneLifetime în obiectul NC = director de servicii, CN = Windows NT, CN = Servicii, CN = configurare, DC =<корневой домен>
- Pentru procesul de «colectare a gunoiului» - stabilirea unei noi valori pentru atributul garbageCollPeriod opoziție NC = director de servicii, CN = Windows NT, CN = Servicii, CN = configurare, DC =<корневой домен>
Când Active Directory primește o comandă pentru îndepărtarea, sistemul face mai întâi o verificare pentru a se asigura că obiectul poate fi eliminat. Acest proces este necesar, deoarece verifică loialitatea dintre următoarele criterii:
- atribut IsDeleted a obiectului nu a fost încă setat la «Adevărat». (Nu se poate șterge un obiect deja șters!)
- Drapelul de control este „obiect privat“ descriptor de securitate, în funcție de resursa nu este stabilită în descriptorul de securitate al obiectului. (Aceasta este o „facilitate“ de pavilion obiect privat fără acte -. Acesta bit 1 octet Sbz1 structura descriptor de securitate.)
- Bit „interzice ștergerea» (0x80000000) nu este setat în obiect atributul systemFlags.
- Acesta nu este setat la «Adevărat» atribut obiect isCriticalSystemObject.
- descriptor de securitate obiect oferă drepturi de acces corespunzătoare pentru utilizator, pentru a elimina obiectul. (În mod specific, permite utilizatorului să îndepărteze obiectul și îndepărtați obiectul copil al obiectului părinte.)
- Obiectul nu este obiectul trimiterii (objectClass = CrossRef) pentru un context de denumire existentă.
- Obiectul nu are nici un obiect subordonat. (Dacă ștergeți un LDAP de operare include managementul identificator de obiect „șterge copac“ prin LDAP, Active Directory va șterge automat obiectele subordonate dacă atributul lor isCriticalSystemObject este setat la «Adevărat». Acest lucru previne obiectele critice ale sistemului de a fi șters accidental în timpul operației de îndepărtare obiecte din lemn. puteți șterge, desigur, aceste obiecte în mod individual.)
- Obiectul nu este obiect intern critic (de exemplu, nu este un obiect pentru domeniul nTDSDSA umplere obiecte sau controler pentru precedentul obiecte părinte obiecte NC).
În cazul în care se stabilește că un obiect poate fi șterse de fapt, Active Directory începe să transfere un obiect într-o stare de «piatra funerara».
În primul rând, Active Directory elimină atributele inutile ale obiectului, lăsând doar indicat în tabelul de mai jos și cele de pe sistemul ar trebui să fie păstrate în obiectul «piatra funerara».
Atributele sunt stocate în obiectul «piatra funerara».
Codificate pentru a salva atributele
Apoi, ea se schimbă:
- Relativ Nume distins (RDN) al obiectului în NC =
\ 0ADEL: , în cazul în care \ 0A indică traducerea șir de caractere ASCII, - l objectGUID, șirul de expresie - atribut LastKnownParent este setat la numele distinctiv (DN) al obiectului container părinte
- atribut IsDeleted setat la «Adevărat»
- Active Directory elimină toate atributele referințelor obiect la elementul precedent și următor
- În cazul în care atributul obiectului nu este instalat systemFlag biți «FLAG_DISALLOW_MOVE_ON_DELETE». Active Directory mută obiectul la container CN = Obiecte șterse
Vă rugăm să fiți conștienți de faptul că directorul CN = Obiecte eliminat - este plat și nu are nici o ierarhie de obiect. Se poate presupune că conflictele de nume pot apărea în îndepărtarea a două obiecte diferite, cu o singură CN. Asta nu se va întâmpla. Deoarece objectGUID RDN incluse în fiecare obiect «funerara», RDN fiecare obiect «funerara» este unic în interiorul containerului CN = obiecte șterse.
La ștergerea obiectelor «piatra funerara» eliminate de multe atribute, iar dacă decideți să reînvie utilizatorul la distanță sau grupul va trebui să restaurați adeziunea la un grup, sau orice alte link-uri către alte site-uri pe care le putea avea nevoie. În plus, nu va fi capabil să reanimeze obiectele șterse din secțiunea de configurare.
De exemplu, am creat o clipă prin Active Directory Users and Computers utilizator nou utilizator mort.
deschide PLDM, a se vedea arata ca acest utilizator
Alegerea unei conexiuni - Connect. în fereastra care se deschide, introduceți numele de domeniu al operatorului, sau pur și simplu apăsați OK, dacă o faci pe controlerul de domeniu.
Deschideți copac-vizualizare - View - arbore sau pur și simplu Ctrl + T
Aceasta deschide ecranul de selectare capitol, apăsați OK, sistemul va prelua automat partiția DC =<корневой домен> sau selectați manual secțiunea dorită, schemă, configurare, etc. dar acum avem nevoie este domeniul rădăcină.
Acum trebuie să fixați secțiunea selectată - faceți clic pe Conexiune și Legare
În fereastra care se deschide, pentru a alege cine va fi în secțiunea cravată în cazul în care se execută sub un cont de utilizator cu drepturi de administrator de domeniu, puteți alege «Legați ca conectat în prezent pe utilizator» altfel alege «Legați cu acreditări» și introduceți corespunzătoare numele de utilizator, parola și domeniul.
Acum putem vedea directorul Active Directory și mutați-le în mod liber. În panoul din stânga, am subliniat utilizatorul nostru pe partea dreapta - a se vedea proprietățile sale. Vă rugăm să rețineți faptul că utilizatorul a completat unele proprietăți, de exemplu, cum ar fi o descriere sau telephoneNumber.
Acum să eliminați utilizatorul nostru într-o clipită Active Directory Users and Computers.
Dacă ne întoarcem la LDP și să actualizeze informațiile, vom vedea că utilizatorul nostru a plecat.
După cum sa menționat mai sus, utilizatorul nu este îndepărtat imediat din baza de date AD, și inițial marcate ca fiind șters - este acum obiectul «piatra funerara». Să găsim noastre marcate la dispoziția utilizatorului. Pentru a face acest lucru, deschideți meniul Parcurgere - Extended Op.
În fereastra nouă, faceți clic pe butonul de comandă, avem nevoie pentru a vedea Load predefiniți pentru a specifica faptul că dorim să se întoarcă sistemul la noi și obiectele îndepărtate - Întoarce obiecte șterse. Faceți clic pe OK și Închidere pentru a aplica modificările și a închide ferestrele.
Acum putem vedea în container arbore ierarhie CN = obiecte șterse, și după cum știm, în cazul în care obiectul nu elimină bitul este setat «FLAG_DISALLOW_MOVE_ON_DELETE», care interzice mișcarea obiectului. Active Directory mută obiectul la container CN = obiecte șterse. În caz contrar, este necesar să se solicite eliminarea obiectului în container în cazul în care a fost înainte de eliminare.
După cum vom vedea acum multe dintre proprietățile au fost eliminate, iar unele adăugat contrariul, cum ar fi isDeleted.
Cu toate acestea, în timp containerul CN = obiecte șterse pot fi destul de o mulțime de obiecte și pentru comoditatea de a găsi site-uri relevante, puteți utiliza filtrul. De exemplu, dacă vom alege Lista Virtual View, la Baza DN Se specifică un recipient adecvat, și filtru - Introduceți filtrul pe unele dintre criteriile, în exemplul nostru, dorim să găsim utilizator, asa ca uita-te pentru o proprietate pe atributul objectclass = utilizator. În secțiunea Domeniu de aplicare, selectați Base - pentru a căuta obiecte pe același nivel cu DN de bază, cu un nivel - pentru a găsi obiecte la nivelul următor, bază subordonat DN, subarborele - pentru a găsi toate supuse unor niveluri de bază DN.
Deoarece containerul CN = șters Obiecte frate - Alegeți un nivel. În selectațiOpțiuni Tip de căutare Call - Extended. În control din nou, subliniază faptul că avem nevoie pentru a afișa elementele marcate pentru ștergere. După pornirea sistemului Run, vom arăta obiectele filtrate.
Opțiuni pentru recuperarea obiectelor șterse din Active Directory
Există mai multe metode de facilități de resuscitare «piatra funerara» în Active Directory. Unele dintre ele sunt ușor, altele sunt mai dificil, unele dintre ele sunt gratuite, altele cu utilizarea de utilități plătite. In acest articol voi discuta despre modul de resuscitare folosind instrumente disponibile în mod liber.
Indiferent de ceea ce faci, asigurați-vă că aveți un controler de domeniu de lucru de backup al sistemului de stat. Sistemul de stat conține registrul local, o bază de date de înregistrare COM + clasă, fișierele de sistem de boot, certificate de la un server de certificate (dacă este instalat), baza de date de cluster (dacă este instalat), fișierul Ntds.dit și SYSVOL dosar.
Puteți face doar o copie de rezervă de stat Sistemului de controlerul de domeniu, folosind built-in NTBACKUP utilitate, sau orice alt instrument care acceptă de rezervă de stat de sistem. Nu aveți nevoie pentru a face o copie de rezervă a tuturor controlere de domeniu, este suficient pentru a face o copie de rezervă a primului lemnului și primul controler de domeniu în fiecare controler de domeniu.
Se restabilesc obiecte din copia de rezervă
Recuperarea obiectelor șterse din copia de rezervă de stat de sistem nu este o astfel de sarcină simplă. La resuscitare bun nu este obiectul, și anume restaurarea. Cu toate acestea, pentru a restabili astfel încât utilizarea NTBACKUP și de rezervă de stat de sistem, va trebui să reporniți controlerul de domeniu în modul de Directory Service Restore Mode (în acest mod, controlerul de domeniu nu funcționează pentru client service). Doar facilități de resuscitare va preveni un controler de domeniu în modul de pornire, Directory Service Restore Mode.
Se restabilesc obiecte folosind LDP.exe
După ce am găsit un obiect de text trebuie să-l modifice. Iată cum se face.
Creată obiect text și faceți clic pe Răsfoire - Modificare.
În fereastra care avem nevoie pentru a identifica DN - obiectul pe care doriți să o modificați. În continuare avem nevoie pentru a crea lista de intrare cu comenzi care sunt necesare pentru a modifica obiectul.
Pentru a elimina un atribut isDeleted trebuie să ne numele în secțiunea atribut, selectați operația dorită din secțiunea Operații, avem nevoie pentru a elimina un atribut, astfel încât selectați Ștergere și apăsați Enter pentru a intra în operațiune în Lista de intrare.
Același lucru pe care îl face cu atributul distinguishedName, doar în ea trebuie să specificați o nouă valoare a birurile în secțiunea Valori, și nu avem nevoie să-l eliminați, trebuie să-l înlocuiască cu o nouă valoare, astfel încât în operațiuni selectați Replace.
Asigurați-vă că pentru a pune cecul în fața elementului și faceți clic pe Run Extended.
Acum, dacă vom merge la OU = One_Users vedem utilizatorul nostru reanimat.
Cu toate acestea, după cum ne amintim, obiectele care sunt marcate pentru ștergere, obiectul «piatra funerara», a eliminat cele mai multe dintre atributele și nu pot fi restaurate, astfel încât utilizatorul și-a pierdut calitatea de membru în grupuri, în prezent nu există nici o descriere a atributului și telephoneNumber, care au fost completate anterior. Doar nu recupera parolele ale obiectului, astfel încât utilizatorul resuscitat în starea de handicap. Pentru a activa utilizatorul înainte de a fi necesar să se stabilească o nouă parolă. Dar, cel mai important, SID și GUID utilizatorului rămâne aceeași, așa că a înmânat abordări vor funcționa.
ADRESTORE - este un instrument gratuit de linie de comandă dezvoltat de echipa Sysinternals proiectat pentru a simplifica modul de a instalațiilor de recuperare «piatra funerara».
De exemplu, am scos din nou utilizatorul și grupul din domeniul.
Ea are o sintaxă foarte simplu, dacă vom rula programul fără nici un parametru
Aceasta ne va da o listă de obiecte detectate «piatra funerara» în AD.
Pentru a restaura obiectele de care aveți nevoie pentru a apela
Putem folosi filtrarea dupa numele obiectului pentru obiecte de afișare, și pentru a le restaura.
Adrestore.exe mort - pentru a căuta toate obiectele «piatra funerara» care conține numele * mort *
Adrestore.exe mort -r - pentru resuscitarea tuturor obiectelor «piatra funerara» care conține numele * * mort. În cazul în care astfel de obiecte vor fi câteva, vi se va cere o întrebare cu privire la restaurarea fiecăreia dintre facilitățile lor.
Nu uitați să resetați parola după resuscitare și de a activa utilizatorul, precum și pentru a îmbunătăți adeziunea la acest grup și, alte atribute.
Capacitățile sale principale
Nu uitați să resetați parola după resuscitare și de a activa utilizatorul, precum și pentru a îmbunătăți adeziunea la acest grup și, alte atribute.