嘿,我在一个大约有 150 个用户的网络上使用 Active Directory,所有成员都属于具有不同策略的不同组等。如果管理员有一天错误地删除了所有用户或所有组,那么对我们的网络来说这将是一个巨大的问题...
你们当中有人知道有什么方法可以让 AD 创建其当前用户和组的日志吗?我不认为它可以创建备份,但文本形式至少会给人一些安慰,这样我们就能知道它“是”什么样子。
答案1
在没有可靠备份的情况下运行 AD 肯定会限制职业生涯。
你可以使用类似ldifde
(文档) 或者csvde
(文档) 来转储 AD 对象,但这实际上不足以从重大故障或删除中恢复。在这些情况下,您需要对 Active Directory 环境进行可靠的备份,并且可能需要执行称为“权威还原”的操作。
微软有很多关于备份和恢复 Active Directory,你应该阅读并理解如果您负责维护组织中的 AD。从 Server 2008 开始,Microsoft 包括Windows 服务器备份,如果您没有其他支持 Windows 系统状态恢复的备份产品,则应使用它。(事实上,我使用它此外我的企业备份产品。)
最后,如果您使用的是最新最好的 Windows Server 2008 R2,并且您正在运行 Server 2008 R2 Forest 功能级别,那么您可能需要研究新的Active Directory 回收站功能。但这并不意味着就不需要可靠的已测试您的 AD 基础设施的备份过程。
答案2
每当您对域控制器进行系统状态备份时,都会备份 Active Directory。您确实备份了域控制器,对吗?确保它包含系统状态。
答案3
不只你一个人想知道是否有更好的方法来保护 AD 中的关键对象。原生保护只能帮你到这一步 - 当你犯错时(删除关键 OU、删除 CEO 的用户帐户,或者做一些简单的事情,比如将错误的人添加到域管理员组),总会有“糟糕”的时刻,然后你会想也许有更好的方法来保护自己。
备份必不可少,但很多情况下,恢复整个目录并不是解决办法。如果情况危急,你可以这样做,但错误仍然存在,你仍然需要花费大量时间和资源来恢复并重新实施自上次良好备份以来的所有更改。
有一些工具可以解决这个问题,而不必从过去的某个时间点完全恢复 AD。这些工具可以主动防止发生重大更改,锁定关键对象,从而永远不会发生错误。我工作的公司有这样一种工具 - 用于 AD 和 GPO 的 StealthINTERCEPT - 快速谷歌搜索可能会找到其他工具。StealthINTERCEPT 的方法是识别 AD 中的关键对象并锁定它们。锁定它们意味着通过控制何时以及是否可以删除、移动、重命名或以其他方式修改 AD 中的对象来防止管理员(如果需要,也可以包括您自己)犯某些重大错误。StealthINTERCEPT 提供的安全性存在于 AD 本机权限之外,这意味着即使是组织中拥有最高权限的用户仍然可以依靠我们的工具来阻止他们做真正具有破坏性的事情。
如果您想了解该工具的实际效果,请观看我们的演示或联系我们http://www.stealthbits.com/contact-us-company。
答案4
据我了解,Server 2008 级 AD 林提供了回收站从意外删除操作中恢复。
微软提供了分步指南关于使用 AD 中的回收站:
除此之外,你永远不应该将整个域/森林的管理权限授予那些习惯于这样做的人任何事物 意外地你需要的是能做事的人”按书本“。
AD 提供组织单位来划分您的权限和许可。使用它们!不要让单个用户控制您的整个目录。
当然,你可以在你的层级结构顶端拥有一个权威机构,但一定要确保这个人能够认真对待这份工作,并且意识到他所管理的数据的重要性。
底线是,那些偶然删除内容并且不保留所述数据备份的人不是您应该委托您的目录的人。