Protecting AD – Active Directory Explorer
Incep seria Protecting Active Directory prin prezentarea unui tool foarte simplu dar si foarte util – Active Directory Explorer. Poate ca ar fi utila combinarea acestui tool cu ADSIEdit si includerea lui in sistemul de operare.
Tool-ul, dupa cum ii spune si numele poate fi folosit in special pentru a vizualiza informatiile din baza de date. Daca ne ducem pe un user account vom vedea toate atributele care au valori. Pentru a edita e putin mai dificil – click dreapta pe un atribut existent si selectam Modify sau New attribute – daca vrem sa editam un atribut care nu a fost populat inca:
Dar scopul acestui post e de a vedea cum ne poate ajuta acest tool in situatia in care “dispar” anumite date din AD. Si asta e adevarata valoare a lui AD Explorer – snapshot-urile (De la 2008 putem sa facem ceva similar fara acest tool, insa functioneaza diferit si o sa discutam in alt post). So … facem un snapshot al bazei de date
Atentie si la Throttle atunci cand lucrati pe un server pus in productie cu un NTDS.DIT destul de mare (in special in tipul orelor de program).
Ok, acum ca am facut un snapshot (care este o imagine a AD-ului la momentul in care a fost facuta) sa incercam sa gandim un scenariu in care ne putem folosi de acest tool pentru a recupera informatii din AD. Sa presupunem ca un operator de la helpdesk a sters din intamplare numarul de telefon al unui user. Sau poate ca cineva a modificat lista de membri a unui grup si am vrea sa o refacem. Pentru asa ceva nu e nevoie de restore din backup. E mult mai simplu sa facem snapshot-uri ale bazei de date la anumite intervale, dupa care sa refacem informatiile din AD (de mana) pe baza a ce vedem in snapshot.
Putem sa vizionam informatiile din snapshot la fel ca si pe cele din copia live. Nu putem face un compare intre copie si live, ci doar intre doua snapshot-uri. Deci pentru compare mai facem un snapshot dupa care incercam compare:
Deschidem primul snapshot, dupa care in fereastra de compare selectam cel de-al doilea snapshot si tipul de obiecte pentru care vrem sa vedem diferentele. Nu merge sa compari doar un anumit obiect:
In cazul de mai sus, era vorba de un grup cu un singur membru. Dupa ce am scos userul din grup, atributul member s-a modificat. In cazul meu imi spune Attribute missing pentru ca atributul este null acum.
Ar mai trebui retinut ca AD Explorer merge rulat si din linie de comanda – asa ca il puteti rula cu task scheduler pentru a face snapshoturi periodice ale AD-ului. Nu uitati si de BACKUP.
Pingback from Protecting AD – Tombstone objects » RO Windows Administrators Weblog
Time November 3, 2009 at 9:37 am
[…] articolul precedent am vazut cum putem recupera anumite date care au fost sterse accidental din Active Directory, […]