Gyors helyreállítását véletlenül törölt Active Directory-objektumok
Szerencsére némi tudást hasznos Active Directory, különösen töredékes ismerete néhány „Sírkő tárgyak» (Tombstone Objects).
Tény, hogy az Active Directory építettünk egy jó védelem „bolond bizonyíték”, mint például, mint én. Ezek a Tombstone-objektumokat. Eltávolítása az AD adatbázis nem helyes, ez a boldogság. Már a kezdet kezdetén tárgy és a hozzá kapcsolódó attribútumok belefér egy rejtett tároló «törölt objektumok» megszerzése ugyanakkor, hogy néhány funkció a „távoli objektum”, azaz:
1. megjelenik attribútum isDeleted. tudja, hogy logikai értékek igaz és hamis. Azt jelzi, hogy a tárgy van megjelölve hagyni.
2. A value attribútum MegkulonboztetoNev neve után az objektum megjelenik Adel zászló.
3. további attribútum Tombstone Élettartam. aki vezeti a visszaszámlálás az élet emlékművet tárgy, ami után az objektum törlődik örökre.
Minden 15 percben (alapértelmezés szerint), a tartályt törölt objektumok fut szemétgyűjtő (garbage collector vagy Hóhér), amely beolvassa található a konténer objektum attribútum értéke Tombstone Élettartam, tárgyak, ez az attribútum értéket értek el, amely a küszöböt el kell távolítani. És most örökre. Alapértelmezésben objektum található a tárgyak műemlékek 60 napon belül (bár a Microsoft azt javasolja, hogy ezt az értéket, 120 nap)
AttributaTombstone Élettartam értéket meg lehet változtatni az ADSIEdit. Menj a cn = Directory Service, cn = WindowsNt, cn = szolgáltatás, CN = Configuration, dc = társaság, dc = com (helyett a természetben dc = társaság, dc = com a valós adatok). Kattintson a jobb gombbal a tartály CN = Directory Service, és válassza ki a Tulajdonságok menüpontot. Keresés: Tombstone Élettartam attribútumok a listában, kattintson a Szerkesztés gombra, és adja meg a szükséges napok számát tárolására törölt objektumokat.
Így eltávolítjuk a vezető programozó. Mit kell tenni? Hiteles visszaállítás funkciója velem nem jött több okból is:
- Szükséges, hogy indítsa újra a tartományvezérlő eléréséhez az Active Directory hasznosítási mód (Active Directory helyreállító módja)
- Nem voltam biztos a jelentősége, és van egy tartalék egyáltalán.
- Idő túl rövid volt
Úgy döntöttek, hogy a másik irányba:
Egy törölt objektum elvileg elegendő, hogy távolítsa el isDeleted attribútum és módosítsa az értéket a MegkulonboztetoNev.
Futás az Ldp.exe. válassza ki a Kapcsolatok menüben a Csatlakozás gombra.
1. Ha az aktuális felhasználó tagja a Vállalati rendszergazdák, akkor használja az aktuális felhasználó kontextusában.
2. Minden más esetben - adja a felhasználó hitelesítő adatait tartalmazza a Vállalati rendszergazdák csoport.
Dalle, engedélyezni kell a térképen skrytorgo Directory törölt objektumok, amelyek a Beállítások menüből válassza ki a parancsot Controls.
A megnyíló ablakban a Load Előre a legördülő listából válassza ki a Return törölt objektumokat.
Ezután válassza ki a Nézet menüben kattintson a fa. jelenítse meg a tartályokat a bal oldali panelen fa.
A fa nézetben a BaseDN mezőben válassza ki az erdő gyökerében, az én esetemben ez DC = ad, DC = webzavod, DC = ru.
Duplán kattintva a gyökér a fa kap egy listát Contener, ami keresünk konténer CN = törölt objektumokat, DC = ad, DC = webzavod, DC = ru. természetes helyettesítője a saját adatait. Ismertetjük a tartályba, és megtalálja benne egy távoli tárgyat, amit vissza kíván állítani. Hívtak, mint ez:
CN = Oleg Krylov ADEL: 41057e80-84fd-4c96-8e54-26886519b6e8, CN = törölt objektumok, DC = ad, DC = webzavod, DC = ru
Figyeljük Adel zászló. Ő :)
A jobb oldali panelen, látjuk a nagyon szerencsétlen attribútum isDeleted: IGAZ. Így történt, hogy ...
Aztán minden nagyon gyorsan történik:
1. Jelölje ki az objektumot a bal oldali panelen.
2. Jobb klikk a helyi menüben válassza ki az elemet, hogy módosítsa.
3. A Bejegyzés szerkesztése, a Képesség mezőbe írja isDeleted. Operation panelen válassza ki a Törlés lehetőséget. majd nyomja meg az Enter. Ennek eredményeként az Entry List jelenik string [Törlés] isDeleted:
4.Dalee nélkül fellépés alkalmazásáról szóló változások megváltoztatjuk distiguishedName. Ehhez:
- Kevesebb Bejegyzés szerkesztése, a Képesség mezőbe írja be a nevét a tulajdonság, azaz distiguishedName
- Kevesebb Bejegyzés szerkesztése, a Értékek, adja meg az értéket attribútum lastKnownParent. amelyek figyelembe a jobb oldali panelen, a listán az attribútumok az objektum. Az én esetemben ez OU = Webzavod, DC = ad, DC = webzavod, DC = ru
- Kezdetben a hozzáadottérték-objektum nevét, ismét az én esetemben, CN = Oleg Krylov. ne felejtsük el, hogy egy vessző!
- Ennek eredményeként megkapjuk az értéket attribútum CN = Oleg Krylov, OU = Webzavod, DC = ad, DC = webzavod, DC = ru
- Működés közben részben. jelölje be a négyzetet - Csere. Hit az Enter billentyűt
5. Entry List mező megjelenik a második karakterlánc értéke az: [Replace] MegkulonboztetoNev: CN = Oleg Krylov, OU = Webzavod, DC = ad, DC = webzavod, DC = ru
6. Ezután ellenőrizze, hogy a kiválasztott zászló és Extended szinkron kattintson a Futtatás gombra
A sikeres eredmény, akkor jelezni bejegyzés a jobb oldali panelen, típusa:
*** Hívjon Módosítás ...
ldap_modify_ext_s (ld, 'CN = Oleg KrylovADEL: 41057e80-84fd-4c96-8e54-26886519b6e8, CN = törölt objektumok, DC = ad, DC = webzavod, DC = RU', [2] attrs, SvrCtrls, ClntCtrls);
Módosított «CN = Oleg KrylovADEL: 41057e80-84fd-4c96-8e54-26886519b6e8, CN = törölt objektumokat, DC = ad, DC = webzavod, DC = ru».
Nyissa meg az Active Directory felhasználók és számítógépek, a megfelelő OU (ugyanaz, amelyből törölték a balsorsú létesítmény) találjuk meg él és virul, bár egy kicsit off ssostoyanii. Ha megpróbálja kap egy hiba, mint ez:
Bekapcsolásához hogy meg kell változtatni a jelszót.
Minden, én mentve! Megsértése esetén ez a hangsúly, hogy elvitt egy perc és fél. Az egyetlen hátránya - hogy meg kell változtatni a jelszót. De azt hiszem, a fény az esetleges problémákat a végső felhasználó elveszíti ezt a dolgot!
Szeretném kifejezni hálámat Gary Olsen egy tisztességes cikk
Artem Sinitsyn a támogatást az első néhány perc a sokk, és mindenféle mondatok megnyugtató érzése ( „Not SSY, minden rendben van”)
És persze, Stepan Golosunovu (lásd. Kép az elején), szenvedett méltó szerepe az áldozat, a megértést.
Mint látható, nem minden „nem-win” helyzet valóban reménytelen.