Просмотр и восстановление удаленных объектов каталога
Удаленные объекты каталога (например, учетная запись пользователя или компьютера) в домене Windows сначала помещаются в специальный контейнер (аналог Корзины), в котором они сохраняются по умолчанию 60 суток. В течение этого времени данные объекты можно восстановить.
Для просмотра и восстановления удаленных объектов необходимо использовать утилиту ldp из состава Support Tools. После ее запуска нужно подключиться к контроллеру домена (операция Connect) и "предъявить" свои учетные данные (операция Bind), Если теперь отобразить дерево каталога домена, то в окне программы вы увидите папку Deleted Objects с удаленными объектами. Удобнее отобразить удаленные объекты с помощью операций поиска утилиты ldp. Для этого нужно выполнить команду меню Browse | Search. После появления окна опций поиска необходимо правильно настроить параметры операций:
в строке Base Dn ввести cn=Deieted Objects,, например: cn=Deleted Objects,dc=ask,dc=ru;
в строке Filter ограничить область поиска только удаленными объектами, введя (isDeleted=TRUE);
параметр Scope установить в значение One Level;
далее нажать кнопку Options и ввести следующие параметры: - Tile limit. Time out и т. п. — установить в соответствии с предполагаемым объемом поиска и временными затратами; - в строке Attributes через точку с запятой перечислить названия атрибу-тов объектов, которые должны быть отражены в результате поиска, например: name;lastKnownParent; - Search Call Туре установить в Extended:
нажать кнопку Controls и в списке Load Predefined выбрать значение Return Deleted Objects; если поиск производится на Windows 2000, то в этом случае ввести в строку Object identifier следующие символы 1.2.840.113556.1.4.417 и нажать кнопку Check In. В обоих случаях указанная последовательность цифр должна появиться в окне Active Controls;
закрыть два окна настройки параметров, вернуться к окну поиска и выполнить операцию Run.
В результате программа покажет список удаленных объектов, соответствующих заданным вами условиям поиска.
Восстановление удаленных объектов имеет некоторые особенности. Чтобы восстановить объект, нужно выполнить следующие действия:
удалить атрибут isDeleted для данного объекта;
заменить значение атрибута distinguishedName на то, куда будет восстановлен объект (обычно выбирается прежнее расположение, которое можно уточнить по значению параметра lastKnownParent);
установить обязательные атрибуты (если таковые требуются для данного типа объекта).
Все эти действия должны быть выполнены за одну операцию. Если описать кратко операцию восстановления по шагам, то следует:
1. Подключиться к контроллеру домена, ввести свои учетные данные. 2. Добавить контроль Return Deleted Objects (или 1.2.840.113556.1.4.417 для Windows 2000) в меню Options | Control. 3. Найти тот объект, который предполагается восстановить (так, как описано выше), и запомнить его DN. 4. Выполнить команду Browse | Modify и указать в качестве DN соответсвуюшее значение восстанавливаемого объекта. 5. В строке Attribute указать distinguishedName, в строке Value ввести новое значение (то, которое должно быть у восстановленного объекта), выбрать операцию Replace и нажать кнопку Enter. 6. Указать в качестве Attribute значение isDeleted, очистить строку Value, в качестве операции указать Delete и нажать кнопку Enter. 7. После этого следует добавить обязательные атрибуты, если они необходимы для восстанавливаемого объекта. 8. Отметить флажки Synchronous и Extended. 9. Нажать на кнопку Run.
Результаты операции можно будет увидеть в правой части окна утилиты ldp, предназначенной для вывода сообщений. После восстановления объектов, имеющих идентификаторы безопасности (SID), необходимо снова включить их в те группы безопасности, в которых они были до удаления. Эта операция необходима, т. к. процесс удаления очищает соответствующие значения. При восстановлении пользователя необходимо разблокировать его и восстановить в тех группах безопасности, членом которых он был. Если пользователь имел ящик на почтовом сервере Exchange, то рекомендуется очистить эти атрибуты его учетной записи и осуществить переподключение с помощью оснастки управления MS Exchange. По умолчанию правом восстановления объектов каталога обладают администраторы. Это право также можно делегировать другим пользователям, но данная операция нецелесообразна по соображениям безопасности (имея возможность восстановить пользователей, злоумышленник может получить доступ от имени такого восстановленного пользователя к ресурсам организации).
