Резервирование и восстановление объектов Active Directory в Windows Server 2008/2008R2 Ч.5

Продолжение, начало

Защита объектов от удаления

Начну с того, что вместе с Windows Server 2008 R2 администраторы получили еще один функциональный уровень домена, и в итоге такой сервер может быть настроен в одном из четырех уровней – Windows 2000, Windows Server 2003, Windows Server 2008, Windows Server 2008 R2. Его можно указать на этапе установки при помощи “dcpromo” или повысить, если был выбран меньший уровень, используя меню “Reise the domain (forest) functional level” в Active Directory Admin Center о котором чуть дальше. Причем возможна и обратная операция понижение функционального уровня домена и леса, если они находятся на уровне Windows Server 2008 R2, его можно вернуть на уровень Windows Server 2008, ниже на 2003 или 2000 нельзя. Большинство из новых возможностей будут доступны только в том случае, если домен находится на уровне R2.
Так начиная с Windows Server 2008 в свойствах объектов, появился дополнительный пункт, позволяющий его защитить от случайного удаления. Точнее он был и раньше, но здесь его уже не приходится искать.
В Windows Server 2008 он доступен при создании подразделения (OU, Organizational Unit), и называется “Защитить объект (контейнер) от случайного удаления” (Protect object from accidental deletion).

Защищаем объект от случайного удаления в Windows Server 2008

Защищаем объект от случайного удаления в Windows Server 2008


Такой флажок появляется только при создании нового OU. Для уже имеющихся OU, а также вновь создаваемых групп, компьютеров и учетных записей, его можно активировать во вкладке “Объект” окна свойств (видно при активном Вид – Дополнительные компоненты (Advanced)).
В R2 нужный пункт “Protect from accidental deletion” имеется в свойствах отдельной учетной записи, компьютера, группы и подразделения, на самом видном месте.
Защищаем объект от случайного удаления в Windows Server 2008 R2

Защищаем объект от случайного удаления в Windows Server 2008 R2


Достаточно установить здесь флажок и при попытке удалить объект, администратор получает предупреждение о невозможности произвести требуемую операцию.
Объект защищен от случайного удаления

Объект защищен от случайного удаления


При этом нужно помнить, что флажок защищает от удаления лишь тот объект, в котором он установлен. То есть если он активирован для группы, на отдельные элементы входящие в ее состав эта установка никак не распространяется. То есть по-прежнему можно будет удалить любой объект внутри, если он не защищен персональным флажком. Чуть другая ситуация при удалении не защищенного OU.
При удалении дерева нужно подтвердить удаление всех объектов

При удалении дерева нужно подтвердить удаление всех объектов


Если в его составе нет защищенных объектов, OU будет полностью удален. Но если такие объекты есть, то следует установить в появившемся окне флажок “Использовать элемент управления сервера Удалить поддерево” (Use delete subtree server control). Иначе вместо удаления самого OU со всеми элементами, будет фактически произведена попытка очистки OU от объектов не имеющих защиты. Причем как показывают эксперименты, очистка эта будет не полной, так как столкнувшись с первым же защищенным объектом, программа прекращает работу выдав предупреждение. Это характерно и для Windows Server 2008 и для R2 RC.
В Windows Server 2003 защитить объект от удаления, можно лишь установив в разрешениях запрет на “Удаление”, “Удалить поддерево” и “Удалить все дочерние объекты” (Deny для Delete, Delete subtree, Delete All Child Objects). Такой подход не очень удобен, особенно если администрированием системы занимается несколько человек и объекты все же нужно удалять.

Active Directory Recycle Bin

В Windows Server 2008 R2 появилась новая функция Active Directory Recycle Bin (AD RB) автоматически активируемая, когда домен находится на уровне Windows Server 2008 R2. По своей сути она схожа с корзиной используемой в Windows, в которую помещаются удаленные файлы, и случайно удаленный объект может быть быстро и без проблем восстановлен. Причем восстановленный из AD RB объект, сразу же получает и все свои аттрибуты. По умолчанию время “жизни” удаленного объекта в AD RB составляет 180 дней, после этого переходит в состояние “Recycle Bin Lifetime”, теряет атрибуты и через некоторое время полностью удаляется. Изменить эти значения можно при помощи параметра msDS-deletedObjectLifetime. Если при установке AD был выбран уровень ниже R2, а затем был поднят:

PS C:\> Set-ADForestMode –Identity domain.ru -ForestMode Windows2008R2Forest

То AD RB следует активировать отдельно. Для этого используется командлет Enable-ADOptionalFeature PowerShell:

PS C:\> Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=domain,DC=ru’ –Scope Forest –Target ‘domain.ru’

Восстановить удаленный объект теперь очень просто:

PS C:\> Get-ADObject -Filter {displayName -eq "user"} -IncludeDeletedObjects | Restore-ADObject

Командлеты Get-ADObject и Restore-ADObject имеют большое количество параметров, например позволяя найти OU к которой принадлежала удаленная учетная запись и затем восстановить весь OU. В документе «Restore a Deleted Active Directory Object» [7] все очень подробно изложено.

Не смотря на возможности новых серверных ОС от Microsoft резервное копирование контроллеров Active Directory должно проводиться планомерно и постоянно, без этого не возможно восстановление отдельных объектов или OU. Причем помимо Windows Server Backup следует создавать снимки при помощи «ntdsutil». Процесс резервирования упрощается, а объемы данных уменьшаются если контроллер домена не выполняет других функций.

Теги: ,

Понравилась статья? Оставьте комментарий или подпишитесь на RSS рассылку.

Комментарии

Комментариев пока что нет

Оставить комментарий

(required)

(required)