大家都知道,在2000和2003時代,當我們從AD中刪除某個對象時,其實AD並非將此對象直接刪除,而是將此對象標記為墓碑對象。並且,墓碑對象會在活動目錄中再保存180天時間(2000和2003是60天,2003打了SP1之後是180天),這個時間即墓碑生存時間。此墓碑生存時間可由管理員使用Adsiedit.msc進行修改,我們只需要找到Configuration\Services\Windows NT\Directory Service下的tombstoneLifetime屬性進行更改即可。
注:墓碑生存時間(tombstoneLifetime)是指:從在AD中刪除某對象開始,到該對象真正被刪除的時間間隔,默認值為180天,這樣做是為了保證:這種刪除操作被復制到域中其它的DC。恢復DC的“系統狀態數據”備份是有時間限制的,不能從比墓碑默認的180天生存時間更舊的系統狀態數據的備份中,恢復活動目錄。活動目錄對象如果被刪除,並不直接消失,而是放入一個不可見的CN,名字叫deleted object,裡面存放180天(默認),在這180天內,可以進行恢復,在域控制器上,每24小時執行一次名叫“垃圾收集”的進程,將超過180天的被刪除記錄真正的刪除。那只能通過備份加以恢復了。在這裡討論的是在180天之內的情況。
現在,我們在看看用微軟的活動目錄LDP工具查看。
選擇connection,輸入要連接的域控制器。我們可以發現LDAP協議所用的端口為389號端口。
在菜單bind中,選擇輸入連接操作者的身份憑據。在輸入後,我們可以見到顯示出authendicated user=“administrator”
選擇菜單當中的options,選擇菜單項controls,在其中,選擇return deleted object
注意,在Active controls窗口中,顯示出ID,該號碼是管理信息庫所識別的一個ID,代表著被刪除對象
view菜單中,選擇tree,輸入域的DN
在子目錄下,選擇cn=deleted object容器,在其中找到被刪除的對象
輸入attribute 值為 isdeleted ,在operation中選擇delete, 點擊Enter將其添加到entry list中
再在attribute中輸入另一個屬性distinguishedName,在Values中,輸入准備恢復對象存放的位置DN,在operation中,選擇replace,點擊enter,將其添加到entry list中。
除了以上03的基礎上,在windows server 2008中的ADDS。我們在創建對象時,可直接勾選是否啟用防誤刪保護。
勾選這個,conan.han覺得不賴,至少在某些情況下防止熱血工程師刪除資源(包括我自己,哈哈),保護OU,資源的重要性相比不用多說,誤刪除一個OU,那這個部門的資料就...如果要刪,此時,windows就會提醒你刀下留人!
好了,剛剛的客戶問題就出來了,那怎麼解決呢。
