Din fericire, unele cunoștințe utile Active Directory, în special, cunoașterea parțială a unor „obiecte de piatra funerara» (Obiecte Tombstone).
De fapt, în Active Directory a construit de fapt o apărare bună „prost dovada“, astfel, de exemplu, așa cum sunt. Acestea sunt Tombstone-obiecte. Scoaterea din baza de date AD nu este corect, acest lucru este fericirea. Pentru un obiect de început și atributele sale asociate se potrivesc într-un container ascuns «Obiecte șterse», dobândind în același timp, unele caracteristici ale „obiect la distanță“, și anume:
1. APARE atribut isDeleted. capabil să ia valori Boolean adevărate și false. El indică faptul că obiectul este marcat ca fiind șters.
2. valoarea atributului distinguishedName după numele obiectului apare pavilion ADEL.
3. o suplimentare pe durata de viață atribut Tombstone. care conduce obiectul memorial de viață numărătoarea inversă, după care obiectul este șters pentru totdeauna.
La fiecare 15 minute (implicit) pe container Ștearsă obiecte ruleaza gunoier (gunoier sau călăul), care citește în localizat în obiectul container valoare de atribut Tombstone viață, obiecte, se ajunge la această valoare atribut la care este eliminat pragul. Și acum pentru totdeauna. În mod implicit, obiectele sunt stocate ca obiecte de monumente în termen de 60 de zile (deși Microsoft recomandă să crească această valoare la 120 de zile)
AttributaTombstone Valoarea Durata de viață poate fi schimbată folosind ADSIEdit. Du-te la cn = Serviciul director, cn = WindowsNT, cn = servicii, cn = configurare, DC = companie, dc = com (înlocuind în mod natural dc = companie, dc = com la datele reale). Faceți clic dreapta pe container CN = director de servicii și selectați Properties. Caută Tombstone pe durata de viață a atributelor în listă, faceți clic pe butonul Editare și introduceți numărul de zile necesare pentru depozitarea obiectelor șterse.
Așa că am eliminat programator de plumb. Ce să fac? opțiune cu mine autoritara Restore nu a venit din mai multe motive:
- Necesar pentru a reporni controlerul de domeniu pentru a accesa modul de recuperare Active Directory (Active Directory Restore Mode)
- Nu am fost sigur de relevanța, și există o copie de rezervă la toate.
- Timpul a fost prea scurt
Sa decis să meargă în altă parte:
Pentru a restaura un obiect șters, în principiu, suficient pentru a elimina atributul isDeleted și modificați valoarea distinguishedName.
Rularea Ldp.exe. selectați din meniul Conexiuni, faceți clic pe Conectare.
1. În cazul în care utilizatorul curent este un membru al Enterprise Admins, atunci vom folosi contextul utilizatorului curent.
2. În toate celelalte cazuri - introduceți acreditările de utilizator incluse în grupul Enterprise administratori.
Dalle, trebuie să activați de pe hartă skrytorgo Directory șterse Obiecte, pentru care meniul Opțiuni, selectați controalele de comandă.
În fereastra care se deschide în Load predefinit din lista verticală, selectați Returnează șters obiecte.
În continuare, selectați meniul Vizualizare, faceți clic pe copac. pentru a afișa containerele din copac panoul din stânga.
În afișarea ierarhică în caseta BaseDN, selectați rădăcina pădurii, în cazul meu este DC = anunțuri, DC = webzavod, DC = ru.
Dublu-clic pe rădăcina copacului obține o listă contener, care sunt în căutarea pentru containere CN = Obiecte Șters, DC = anunțuri, DC = webzavod, DC = ru. substitut naturale propriile mele date. Dezvăluim un container și pentru a găsi în ea un obiect la distanță pe care doriți să restaurați. Am fost numit ca aceasta:
CN = Oleg Krylov ADEL: 41057e80-84fd-4c96-8e54-26886519b6e8, CN = Obiecte, DC = anunțuri, DC = webzavod, DC = ru șters
Observați pavilion ADEL. El are :)
În panoul din dreapta, vom vedea atributul foarte nefericit isDeleted: TRUE. Așa cum sa întâmplat asta ...
Apoi, totul se întâmplă foarte repede:
1. Selectați un obiect în panoul din stânga.
2. Faceți clic dreapta pe un meniu contextual, selectați elementul în ea Modificare.
3. Sub Editare intrare, în câmpul atribut, introduceți isDeleted. în panoul de operare, selectați Ștergere. apoi faceți clic pe Enter. Ca rezultat, în lista de intrare apare string [Delete] isDeleted:
4.Dalee fără a lua măsuri cu privire la aplicarea modificările pe care le schimba distiguishedName. Pentru a face acest lucru:
- Sub Editare intrare, în câmpul atribut, introduceți numele atributului, și anume, distiguishedName
- Sub Editare intrare, în valori, introduceți valoarea atributului lastKnownParent. care să ia în panoul din dreapta, în lista de atribute ale obiectului. În cazul meu, este OU = Webzavod, DC = anunțuri, DC = webzavod, DC = ru
- La începutul valorii adăuga nume de obiect, din nou, în cazul meu, CN = Oleg Krylov. nu uitați să puneți o virgulă!
- Ca rezultat, vom obține valoarea atributului CN = Oleg Krylov, OU = Webzavod, DC = anunțul, DC = webzavod, DC = ru
- În secțiunea Funcționare. selectați caseta - Înlocuire. Apăsați tasta Enter
5. Câmpul de introducere List apare al doilea sir cu o valoare de: [Înlocuire] distinguishedName: CN = Oleg Krylov, OU = Webzavod, DC = ad, DC = webzavod, DC = ru
6. În continuare, asigurați-vă că steagul ales și sincronă Extended faceți clic pe butonul Executare
Rezultatul de succes, vom semnala intrarea în dreapta panou, de tipul:
*** Apel Modificare ...
ldap_modify_ext_s (ld, 'CN = Oleg KrylovADEL: Obiecte 41057e80-84fd-4c96-8e54-26886519b6e8, CN = Deleted, DC = ad, DC = webzavod, DC = ru', [2] attrs, SvrCtrls, ClntCtrls);
Modificate «CN = Oleg KrylovADEL: Obiecte 41057e80-84fd-4c96-8e54-26886519b6e8, CN = Deleted, DC = anunțuri, DC = webzavod, DC = ru».
Deschideți Active Directory Utilizatori și calculatoare, în caz OU (aceeași cu cea din care a fost șters de către facilitatea neizbutitul) îl găsim în viață și bine, chiar dacă într-un ușor de pe ssostoyanii. Dacă încercați să obțineți o eroare de genul:
Pentru a activa necesitatea de a schimba parola.
Toate, am salvat! Pentru încălcarea acestei focus mi-a luat un minut și jumătate. Singurul dezavantaj - necesitatea de a schimba parola. Dar cred că, având în vedere posibilele probleme cu utilizatorul final pierde aceste lucruri!
Vreau să-și exprime recunoștința față de Gary Olsen pentru un articol decent
Artem Sinitsyn pentru sprijinul în primele câteva minute de șoc, și tot felul de fraze liniștitoare sens ( „Nu SSY, totul este în regulă“)
Și, desigur, Stepan Golosunovu (a se vedea. Imagine la început), a suferit un rol demn de o victimă, pentru înțelegere.
După cum puteți vedea, nu orice „no-win“ situație este într-adevăr fără speranță.