在windows server 2008的DC上想要刪除一個OU,但是操作失敗,提示您“沒有足夠的權限刪除,或則該對象受保護,以防止意外刪除”. 您進行該操作的時候使用的是 “Administrator”.以爲是系統故障,但這確實windows server 2008 ADDS的一個新功能——防止容器被意外刪除。
首先,我們介紹的是windows server 2003時代的活動目錄。
大家都知道,在2000和2003時代,當我們從AD中刪除某個對象時,其實AD並非將此對象直接刪除,而是將此對象標記爲墓碑對象。並且,墓碑對象會在活動目錄中再保存180天時間(2000和2003是60天,2003打了SP1之後是180天),這個時間即墓碑生存時間。此墓碑生存時間可由管理員使用Adsiedit.msc進行修改,我們只需要找到Configuration\Services\Windows NT\Directory Service下的tombstoneLifetime屬性進行更改即可。
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
![]()
再在attribute中輸入另一個屬性distinguishedName,在Values中,輸入準備恢復對象存放的位置DN,在operation中,選擇replace,點擊enter,將其添加到entry list中。
選擇勾選Synchronous和Extended,然後點擊Run按鈕。被刪除的對象,就得以恢復了
![]()
選擇勾選Synchronous和Extended,然後點擊Run按鈕。被刪除的對象,就得以恢復了
現在,我們在看看用微軟的活動目錄LDP工具查看。
選擇connection,輸入要連接的域控制器。我們可以發現LDAP協議所用的端口爲389號端口。
![]()
在Windows Server 2008 時代活動目錄對象保護
除了以上03的基礎上,在windows server 2008中的ADDS。我們在創建對象時,可直接勾選是否啓用防誤刪保護。
![]()
如何刪除OU,打開AD管理中心刪除即可![]()
注:墓碑生存時間(tombstoneLifetime)是指:從在AD中刪除某對象開始,到該對象真正被刪除的時間間隔,默認值爲180天,這樣做是爲了保證:這種刪除操作被複制到域中其它的DC。恢復DC的“系統狀態數據”備份是有時間限制的,不能從比墓碑默認的180天生存時間更舊的系統狀態數據的備份中,恢復活動目錄。活動目錄對象如果被刪除,並不直接消失,而是放入一個不可見的CN,名字叫deleted object,裏面存放180天(默認),在這180天內,可以進行恢復,在域控制器上,每24小時執行一次名叫“垃圾收集”的進程,將超過180天的被刪除記錄真正的刪除。那隻能通過備份加以恢復了。在這裏討論的是在180天之內的情況。
在Windows Server 2008 時代活動目錄對象保護
