Средства удаленного администрирования Active Directory в Windows 10

Восстановление удаленных объектов в Active Directory Печать

Изменено: Чт, 14 Апр, 2016 at 12:06 AM

Процедура восстановления

В качестве примера возьмем учетную запись пользователя Ivanov Vasiliy и удалим ее. Прощай Vasiliy Для восстановления воспользуемся утилитой LDP. LDP — это служебная программа для работы с Active Directory, немного схожая с проводником Windows. В Windows Server 2008 она включена в состав операционной системы, в Server 2003 входит в средства поддержки (Support tools) и устанавливается отдельно, с установочного диска. Для запуска LDP нажимаем Win+R и в строке выполнить вводим ldp. Затем идем в меню Connection, выбираем пункт Connect и в открывшемся окне вводим имя контроллера домена, к которому надо подключиться. Если вы запускаете LDP на контроллере домена, то можно просто ввести localhost.

Теперь необходимо пройти проверку подлинности. Открываем меню Connection, выбираем Bind (Привязка), вводим учетные данные и жмем OK. Для работы нам понадобятся учетные данные пользователя с правами администратора домена или предприятия (только они имеют право просматривать и восстанавливать объекты в контейнере Deleted Objects).

Контейнер Deleted objects надежно скрыт от посторонних глаз, и для того, чтобы его увидеть, необходимо включить элемент управления LDAP «Возврат удаленных объектов». Для этого открываем меню Options и выбираем пункт Controls, чтобы вывести диалог элементов управления. Открываем список Load Predefined, в нем выбираем пункт Return Deleted Objects (Вернуть удаленные объекты) и нажимаем кнопку Check in. Это добавит идентификатор объекта (OID) для элемента управления «Вернуть удаленные объекты» () в список активных элементов управления. Нажимаем OK, чтобы сохранить настройки элемента управления.

Затем открываем меню View, выбираем режим просмотра Tree, в поле BaseDN выбираем DC=contoso,DC=com.

Заходим в корень, раскрываем контейнер Deleted Objects и видим перечень удалённых объектов. В этом перечне находим нужный нам объект-пользователя CN=Ivanov Vasily. Кликаем правой клавишей мыши на найденом объекте и в выпадающем меню выбираем пункт Modify. Кстати, будьте готовы к тому, что в Deleted Objects очень много объектов, что может затруднить поиск.

Для восстановления объекта надо провести две операции: 1) Удалить отметку об удалении — набираем в строке Attribute: isDeleted, в поле Operation выбираем Delete и нажимаем Enter; 2) Переместить из Deleted objects в исходный контейнер — набираем в поле Attribute: distinguishedName, в поле Values пишем: CN=Ivanov Vasily, OU=Managers, DC=contoso, DC=com (это исходный DN пользователя). Исходный контейнер пользователя можно посмотреть в правом окне, он записан в атрибуте lastKnownParent. В качестве операции выбираем Replace и опять нажимаем Enter. Далее отмечаем оба пункта Synchronous и Extended и жмём кнопку Run.

Всё! Теперь объект пользователя полностью восстановлен, в чем можно убедиться, открыв консоль Active Directory Users and Computers.

Была ли эта статья полезной? Да Нет

Отправить отзывК сожалению, мы не смогли помочь вам в разрешении проблемы. Ваш отзыв позволит нам улучшить эту статью.

Сводка по новым событиям аудита служб каталогов Active Directory

Приведенная ниже таблица содержит описания событий для каждой операции, подлежащей аудиту, которые отображаются в журнале событий безопасности. Столбцы таблицы содержат указанные ниже данные.

• Операция: описывает операцию службы каталогов Active Directory, которая может быть источником события аудита изменения.
• Код события: код, который присваивается каждому новому событию в журнале событий безопасности.
• Описание события: краткое описание параметров, которые заносятся в журнал для определенного события.
• Элемент управления доступом в системном списке управления доступом, создающем событие: тип элемента управления доступом, который должен присутствовать в системном списке управления доступом для создания определенного события. Этот столбец также описывает, какой объект должен хранить элемент управления доступом.

Операция	Код события	Описание события	Элемент управления доступом в системном списке управления доступом, создающем событие
Изменение	5136	<Различающееся имя объекта> <Операция>: Добавить/Удалить <Имя атрибута> <Значение> Для существующих объектов: <Различающееся имя объекта> – это различающееся имя существующего объекта. Для новых объектов: <Различающееся имя объекта> – это различающееся имя нового объекта. Для восстановленных объектов: <Различающееся имя объекта> – это целевое различающееся имя объекта (после перемещения объекта из контейнера удаленных объектов в его новое расположение).	Элемент управления доступом {Запись свойства; <атрибут> или <набор свойств> или пустой; Доверенное лицо} Для существующих объектов: Элемент управления доступом должен находиться в системном списке управления доступом объекта. Для новых объектов: Элемент управления доступом должен находиться в системном списке управления доступом нового объекта. Дескриптор безопасности нового объекта (включая системный список управления доступом) – это сумма явно присвоенных элементов управления доступом + элементы управления доступом по умолчанию в определении схемы объекта. Для восстановленных объектов: Элемент управления доступом должен находиться в системном списке управления доступом восстановленного объекта. Дескриптор безопасности (включая системный список управления доступом) восстановленного объекта – это сумма дескрипторов безопасности, сохраненных после удаления объекта + элементы управления доступом, унаследованные от нового родительского объекта.
Создать	5137	<Новое различающееся имя объекта>	{Создать дочерний; <тип объекта> или пустой; Доверенное лицо} Элемент управления доступом должен быть на родительском объекте
Восстановление	5138	<Старое различающееся имя объекта> <Новое различающееся имя объекта>	{Создать дочерний; <тип объекта> или пустой; Доверенное лицо} Элемент управления доступом должен быть на целевом родительском объекте (не на исходном)
Перемещение	5139	<Старое различающееся имя объекта> <Новое различающееся имя объекта>	{Создать дочерний; <тип объекта> или пустой; Доверенное лицо} Элемент управления доступом должен быть на целевом родительском объекте (не на исходном)

Репликация данных в Active Directory

Репликация — это процедура копирования, которую проводят при необходимости хранения одинаково актуальных сведений, существующих на любом контроллере.

Она производится без участия оператора. Существуют такие виды содержимого реплик:

• Реплики данных создаются из всех существующих доменов.
• Реплики схем данных. Поскольку схема данных едина для всех объектов леса Активных Директорий, ее реплики сохраняются на всех доменах.
• Данные конфигурации. Показывает построение копий среди контроллеров. Сведения распространяются на все домены леса.

Основными типами реплик являются внутриузловая и межузловая.

В первом случае, после изменений система находится в ожидании, затем уведомляет партнера о создании реплики для завершения изменений. Даже при отсутствии перемен, процесс репликации происходит через определенный промежуток времени автоматически. После применения критических изменений к каталогам репликация происходит сразу.

Процедура репликации между узлами происходит в промежутках минимальной нагрузки на сеть, это позволяет избежать потерь информации.

Для чего вы можете использовать Active Directory — пользователи и компьютеры?

Надстройка «Active Directory — пользователи и компьютеры» может покрыть большинство задач и обязанностей администратора AD. У него есть свои ограничения — например, он не может управлять объектами групповой политики.

Но вы можете использовать его для сброса паролей, редактирования членства в группах, разблокировки пользователей и многого другого. Вот некоторые основные инструменты в вашем распоряжении, когда вы включаете ADUC на вашем компьютере.

1. Active Directory Домены и трасты. С помощью этого инструмента вы можете управлять функциональными уровнями леса, UPN (основными именами пользователей), функциональными уровнями нескольких доменов. Это также позволяет управлять доверием между лесами и доменами.
2. Центр администрирования Active Directory. В этом разделе ADUC вы можете управлять своей историей PowerShell, политиками паролей и корзиной AD.
3. Сайты и службы Active Directory. Этот инструмент дает вам контроль и понимание сайтов и услуг. Это позволяет планировать репликацию и определять топологию AD.

Получение компьютеров через LDAP запрос

И так получить я хочу компьютеры у которых в качестве операционной системы выступает Windows Server 2008 R2. Для этого откройте оснастку "Active Directory Пользователи и компьютеры". В оснастке ADUC найдите раздел "Сохраненные запросы" и через правый клик по контейнеру, выберите пункт "Создать — Запрос".

Задаете понятное имя LDAP запроса и нажимаем кнопку "Запрос".

Выбираете "Пользовательский поиск", в поле выбираете "Компьютер — Операционная система".

В значении пишите Windows Server 2008 и нажимаете кнопку добавить.

Сохраняем настройки, нажимая кнопку "Ок".

В результате мы получили вот такой LDAP зарос:

На выходе вы получите список компьютеров с нужной вам операционной системой, у меня получилось 86 серверов, большая часть из них имеет статус отключен, об этом говорит стрелка вниз на значке. Так же удобно будет добавить столбец последнего изменения.