活动目录对象删除与保护深入理解 推荐

星期6，接到一位客户的电话询问，对方购买的windows ser 2008 ent，搭建了ADDS环境，在删除OU的时候发生问题，他以为是系统故障，但这确实windows server 2008 ADDS的一个新功能——防止容器被意外删除。
那么，今天，conan.han就带大家来仔细研究一下微软的活动目录对象删除和保护。

首先，我们介绍的是windows server 2003时代的活动目录。
大家都知道，在2000和2003时代，当我们从AD中删除某个对象时，其实AD并非将此对象直接删除，而是将此对象标记为墓碑对象。并且，墓碑对象会在活动目录中再保存180天时间（2000和2003是60天，2003打了SP1之后是180天），这个时间即墓碑生存时间。此墓碑生存时间可由管理员使用Adsiedit.msc进行修改，我们只需要找到Configuration\Services\Windows NT\Directory Service下的tombstoneLifetime属性进行更改即可。



注：墓碑生存时间（tombstoneLifetime）是指：从在AD中删除某对象开始，到该对象真正被删除的时间间隔，默认值为180天，这样做是为了保证：这种删除操作被复制到域中其它的DC。恢复DC的“系统状态数据”备份是有时间限制的，不能从比墓碑默认的180天生存时间更旧的系统状态数据的备份中，恢复活动目录。活动目录对象如果被删除，并不直接消失，而是放入一个不可见的CN，名字叫deleted object，里面存放180天（默认），在这180天内，可以进行恢复，在域控制器上，每24小时执行一次名叫“垃圾收集”的进程，将超过180天的被删除记录真正的删除。那只能通过备份加以恢复了。在这里讨论的是在180天之内的情况。

现在，我们在看看用微软的活动目录LDP工具查看。
选择connection，输入要连接的域控制器。我们可以发现LDAP协议所用的端口为389号端口。



在菜单bind中，选择输入连接操作者的身份凭据。在输入后，我们可以见到显示出authendicated user=“administrator”





选择菜单当中的options，选择菜单项controls,在其中，选择return deleted object
注意，在Active controls窗口中，显示出ID，该号码是管理信息库所识别的一个ID，代表着被删除对象



view菜单中，选择tree,输入域的DN



在子目录下，选择cn=deleted object容器，在其中找到被删除的对象





输入attribute 值为 isdeleted ，在operation中选择delete, 点击Enter将其添加到entry list中



再在attribute中输入另一个属性distinguishedName，在Values中，输入准备恢复对象存放的位置DN，在operation中，选择replace，点击enter,将其添加到entry list中。



选择勾选Synchronous和Extended，然后点击Run按钮。被删除的对象，就得以恢复了



在Windows Server 2008 时代活动目录对象保护

除了以上03的基础上，在windows server 2008中的ADDS。我们在创建对象时，可直接勾选是否启用防误删保护。



勾选这个，conan.han觉得不赖，至少在某些情况下防止热血工程师删除资源（包括我自己，哈哈），保护OU，资源的重要性相比不用多说，误删除一个OU，那这个部门的资料就...

如果要删，此时，windows就会提醒你刀下留人！



好了，刚刚的客户问题就出来了，那怎么解决呢。
给大家说说这个原理，大家自然知道怎么解决了。let's go！
首先不多说，打开ADUC的“高级功能”，我们才可以看安全选项



大家看见了么？everyone的特殊权限是Deny！！！！！

在进入高级中看看，编辑everyone的高级权限



大家看到这幅图，应该就知道怎么回事了吧，也知道怎么操作了吧！嗯，提示一点，权限是叠加的！administrator，domain admin都是属于everyone里面的哦！~



OK，今天给大家聊了03，08的删除保护对象，过段时间给大家讲windows server 2008 R2的活动目录对象删除保护...