Корзина Active Directory — это набор сервисов в товарных знаках Microsoft, являющийся неотъемлемой частью архитектуры Windows 2000. Как и другие службы каталогов, AD является централизованной и стандартизованной системой, которая автоматизирует сетевое управление пользовательскими данными, безопасностью и распределенными ресурсами и позволяет взаимодействовать с другими каталогами. Корзина Active Directory разработана специально для распределенных сетевых сред и является важным компонентом в работе операционной системы.
Основные понятия
Active Directory — системная база данных, которая отслеживает информацию об учетных записях пользователей и паролей в организации. Позволяет хранить данные в одном защищенном месте, что повышает безопасность и снижает уязвимость.
AD подразделяется на одно или несколько доменных имен. Домен — это граница безопасности. Каждый из них размещается на сервере, который называется контроллером домена и управляет всеми учетными записями и паролями для домена.
Домены получают свое наименование с использованием системы доменных имен. Домен безопасности в AD напрямую привязывается к DNS.
Для крупных организаций Active Directory подразделяется на дочерние домены (например, по географическому принципу). Для каждого требуется серверный компьютер.
Active Directory играет первостепенную роль в безопасном режиме работы сетей Windows. Служба позволяет администраторам защитить каталог от хакерской атаки и делегировать задачи другим пользователям. Именно за эту возможность отвечает модель конфиденциальности AD, которая связывает уровень управления доступом с атрибутом контейнера и предмета в каталоге.
Корзина Active Directory: функции
Основной функционал службы AD:
- Поддержка стандарта X-500 для глобальных каталогов.
- Возможность безопасного расширения сетевых операций в интернете.
- Иерархическая организация, предоставляющая единую точку доступа для системного администрирования (например, управление учетными записями, клиентами, серверами и приложениями) для уменьшения избыточности и ошибок.
- Объектно-ориентированная организация хранения, которая обеспечивает более легкий доступ к информации.
- Поддержка элементарного протокола доступа (LDAP) для обеспечения совместимости между каталогами.
Служебные компоненты Active Directory хранят информацию о составляющих сети и позволяют находить объекты в именной среде. Этот термин относится к области, в которой располагается сетевой компонент. Это можно объяснить на примере книги, где оглавление создает пространство имен, в котором разделы соотносятся с номерами страниц. DNS — это пространство имен, которое назначает имена узлов IP-адресам.
В этой статье представлены пошаговые рекомендации и справочная информация для включения и использования функции корзины Active Directory в Windows Server 2008 R2. Также перечислены многие отличительные особенности, которые были реализованы в данной версии операционной системы.
Корзина Active Directory в Windows Server 2008
Функции Active Directory помогают сократить время вынужденной остановки службы каталогов, повышая способность системы хранить и реанимировать случайно удаленные файлы без восстановления данных из резервных копий, перезапуска служб домена или перезагрузки контроллеров.
При первом включении корзины Active Directory все атрибуты с привязкой к значению и без ссылки на удаленный контент сохраняются, и данные восстанавливаются в полной мере до того состояния, в котором они были зафиксированы перед удалением. Например, восстанавливают учетные данные пользователей в автоматизированном режиме членства в сообществах и соответствующие права доступа, которые они имели перед удалением.
Характерные особенности
Корзина Active Directory в Windows Server 2008 R2 деактивирована по умолчанию. Чтобы включить ее, необходимо сначала повысить функциональный уровень вашей среды AD до версии 2008 R2. Затем использовать инструкции, приведенные ниже, чтобы включить настройки корзины Active Directory.
В ОС Windows Server 2008 R2 алгоритм запуска корзины не может быть отменен впоследствии. После включения службы в своей среде пользователь не сможет ее отключить.
Как включить корзину AD?
Пошаговое руководство:
запустите «Центр администрирования» службы каталогов;
выберите домен;
активируйте опцию «Включить корзину» в меню «Задачи», также возможно кликнуть свое доменное имя и выбрать «Включить корзину» в раскрывающемся меню.
После того как вы решите включить корзину, вам будет предложено отправить сообщение с просьбой подтвердить активацию службы. После того как корзина включена, ее нельзя отключить.
После активации, в зависимости от размера инфраструктуры активного каталога, может пройти какое-то количество времени, прежде чем служба будет готова к использованию.
Когда вы запускаете корзину Active Directory, все параметры, удаленные до активации службы, не могут быть восстановлены. Единственный способ реанимировать эти объекты — использовать авторитарное восстановление из резервной копии AD DS, которая была выполнена до запуска корзины AD.
Удаленное состояние
Удаленный объект сохраняет все свои атрибуты, ссылки и членства в группах, существовавшие до удаления. Объект останется в этом статусе определенный период времени, который называется сроком жизни удаленных объектов. По истечении срока службы объект переносится в восстановленное состояние. В состоянии «Удалено» элемент может быть восстановлен со всеми его исходными атрибутами, ссылками и членством в группах.
Вторичное состояние
Когда удаленный объект переносится в восстановленное состояние, остаются только атрибуты, необходимые для репликации нового статуса. Элемент останется в восстановленном состоянии в течение настраиваемого периода времени, который называется временем жизни рециркулируемого объекта.
Удаленные объекты также могут быть восстановлены с использованием авторитетного восстановления из бэкапа AD DS.
Чтобы восстановить объект, необходимо открыть «Центр администрирования корзины Active Directory» в Windows Server 2012 и щелкнуть папку «Удаленные объекты». Затем нужно выполнить поиск по списку удаленных объектов, чтобы найти элемент, который требуется восстановить. Кликните правой клавишей мыши нужный элемент и выберите в раскрывающемся меню пункт «Восстановить».
Включение корзины Active Directory увеличит размер файла базы данных AD. Прежде чем активировать службу, убедитесь, что достаточно места на диске. Предел по умолчанию для корзины - 20 000 объектов, но это можно изменить до 100 000 объектов, выбрав «Параметры списка управления» в меню «Управление».
Резервное копирование данных
Процедура запуска корзины Active Directory в Windows Server 2012 r2 не должна заменять обычную процедуру резервного копирования. Важный нюанс, который следует учитывать, чтобы предотвратить случайное удаление данных: необходимо заблокировать разрешения на удаление по умолчанию для объектов AD.
Резервное копирование и восстановление Active Directory - это то, что нужно планировать. Одним из способов быстрого восстановления объектов AD является включение корзины.
Плюсы и минусы работы службы
Преимущества корзины Active Directory:
- сокращение времени простоя службы каталогов;
- восстановление удаленных элементов без восстановления данных из резервных копий, перезапуска DSRM или перезагрузки контроллеров домена;
- включение корзины сохраняет все атрибуты с привязкой к ссылке удаленных элементов, когда вы восстанавливаете удаленные объекты, они возвращаются в одно и то же согласованное логическое состояние, в котором они находились, прежде чем были удалены.
Недостаток традиционного рабочего процесса Active Directory состоит в том, что процесс должен выполняться в режиме бэкапа служебных каталогов (DSRM). Когда сервер загружается в DSRM, он должен оставаться в автономном режиме, что мешает ему обслуживать клиентские запросы и некритично сказывается на общей работоспособности. Кроме того, любые изменения объектов, которые произошли между резервным копированием и восстановлением, не могут быть восстановлены. Например, если вы поместите учетную запись пользователя в новую группу и затем случайно удалите ее, авторитарное восстановление этой информации о пользовательских данных из резервной копии, которая была выполнена за 2 суток до этого, восстановит учетную запись, но потеряет информацию о членстве в последней группе.