バックアップ/ログ - Active Directory

Question 1

信頼できるバックアップなしで AD を実行すると、キャリアが制限されることは間違いありません。

あなたできたldifde（のようなツールを使用するドキュメント）またはcsvde（ドキュメント) を使用して AD オブジェクトをダンプすることもできますが、大規模な障害や削除からの回復には十分ではありません。このような場合は、Active Directory 環境の信頼性の高いバックアップが必要であり、Authoritative Restore と呼ばれる操作を実行する必要がある場合があります。

マイクロソフトには多くのドキュメントがありますActive Directory のバックアップと回復、あなたは読んで理解すべき組織内でADの保守を担当している場合、Server 2008以降では、MicrosoftはWindows Server バックアップWindowsシステム状態の回復をサポートする別のバックアップ製品をお持ちでない場合は、これを使用する必要があります。（実際、私はこれを使用していますに加えて私のエンタープライズバックアップ製品です。

最後に、最新かつ最高のWindows Server 2008 R2を使用しており、Server 2008 R2フォレスト機能レベルを実行している場合は、新しいActive Directory ごみ箱機能です。しかし、これは信頼できる、テスト済みAD インフラストラクチャのバックアッププロセス。

Answer

信頼できるバックアップなしで AD を実行すると、キャリアが制限されることは間違いありません。

あなたできたldifde（のようなツールを使用するドキュメント）またはcsvde（ドキュメント) を使用して AD オブジェクトをダンプすることもできますが、大規模な障害や削除からの回復には十分ではありません。このような場合は、Active Directory 環境の信頼性の高いバックアップが必要であり、Authoritative Restore と呼ばれる操作を実行する必要がある場合があります。

マイクロソフトには多くのドキュメントがありますActive Directory のバックアップと回復、あなたは読んで理解すべき組織内でADの保守を担当している場合、Server 2008以降では、MicrosoftはWindows Server バックアップWindowsシステム状態の回復をサポートする別のバックアップ製品をお持ちでない場合は、これを使用する必要があります。（実際、私はこれを使用していますに加えて私のエンタープライズバックアップ製品です。

最後に、最新かつ最高のWindows Server 2008 R2を使用しており、Server 2008 R2フォレスト機能レベルを実行している場合は、新しいActive Directory ごみ箱機能です。しかし、これは信頼できる、テスト済みAD インフラストラクチャのバックアッププロセス。

Question 2

Active Directory は、ドメインコントローラーのシステム状態バックアップを実行するたびにバックアップされます。ドメインコントローラーをバックアップしていますか? システム状態が含まれていることを確認してください。

詳細はこちら: http://www.youtube.com/watch?v=4ZgupfaJOG0

Answer

Active Directory は、ドメインコントローラーのシステム状態バックアップを実行するたびにバックアップされます。ドメインコントローラーをバックアップしていますか? システム状態が含まれていることを確認してください。

詳細はこちら: http://www.youtube.com/watch?v=4ZgupfaJOG0

Question 3

AD 内の重要なオブジェクトを保護するためのより良い方法があるのではないかと疑問に思っているのは、あなただけではありません。ネイティブの保護には限界があります。ミス (重要な OU の削除、CEO のユーザーアカウントの削除、または間違ったユーザーをドメイン管理者グループに追加するなどの単純な操作) を犯して、自分を保護するより良い方法があるかもしれないと考える「おっと」という瞬間が常に存在します。

バックアップは必須ですが、多くの場合、ディレクトリ全体を復元しても解決にはなりません。どうしても必要な場合は復元できますが、ミスは依然として残っており、前回の正常なバックアップ以降のすべての変更を復元して再実装するために、多くの時間とリソースを費やすことになります。

過去のある時点から AD を完全に復元しなくてもこの問題を解決できるツールがいくつかあります。重要な変更がまったく行われないようにプロアクティブに防止し、重要なオブジェクトをロックダウンしてミスが起こらないようにするツールです。私が勤務する会社には、AD および GPO 用の StealthINTERCEPT というそのようなツールがあり、Google で簡単に検索すれば、おそらく他のツールも見つかるでしょう。StealthINTERCEPT のアプローチは、AD 内の重要なオブジェクトを識別してロックダウンすることです。オブジェクトをロックダウンするとは、AD 内のオブジェクトを削除、移動、名前変更、またはその他の方法で変更できるタイミングと可能性を制御することで、管理者 (および必要に応じて自分自身) が特定の重大なミスを犯さないようにすることを意味します。StealthINTERCEPT が提供するセキュリティは、AD ネイティブのアクセス許可の外部に存在するため、組織内で最高レベルの権限を持つユーザーであっても、当社のツールを利用して、真に破壊的な操作を阻止することができます。

ツールの動作をご覧になりたい場合は、デモンストレーションにお越しいただくか、お問い合わせ。

Answer

AD 内の重要なオブジェクトを保護するためのより良い方法があるのではないかと疑問に思っているのは、あなただけではありません。ネイティブの保護には限界があります。ミス (重要な OU の削除、CEO のユーザーアカウントの削除、または間違ったユーザーをドメイン管理者グループに追加するなどの単純な操作) を犯して、自分を保護するより良い方法があるかもしれないと考える「おっと」という瞬間が常に存在します。

バックアップは必須ですが、多くの場合、ディレクトリ全体を復元しても解決にはなりません。どうしても必要な場合は復元できますが、ミスは依然として残っており、前回の正常なバックアップ以降のすべての変更を復元して再実装するために、多くの時間とリソースを費やすことになります。

過去のある時点から AD を完全に復元しなくてもこの問題を解決できるツールがいくつかあります。重要な変更がまったく行われないようにプロアクティブに防止し、重要なオブジェクトをロックダウンしてミスが起こらないようにするツールです。私が勤務する会社には、AD および GPO 用の StealthINTERCEPT というそのようなツールがあり、Google で簡単に検索すれば、おそらく他のツールも見つかるでしょう。StealthINTERCEPT のアプローチは、AD 内の重要なオブジェクトを識別してロックダウンすることです。オブジェクトをロックダウンするとは、AD 内のオブジェクトを削除、移動、名前変更、またはその他の方法で変更できるタイミングと可能性を制御することで、管理者 (および必要に応じて自分自身) が特定の重大なミスを犯さないようにすることを意味します。StealthINTERCEPT が提供するセキュリティは、AD ネイティブのアクセス許可の外部に存在するため、組織内で最高レベルの権限を持つユーザーであっても、当社のツールを利用して、真に破壊的な操作を阻止することができます。

ツールの動作をご覧になりたい場合は、デモンストレーションにお越しいただくか、お問い合わせ。

Question 4

私の理解では、Server 2008レベルのADフォレストは、ごみ箱誤って削除した操作から回復します。

マイクロソフトはステップバイステップガイドAD でのごみ箱の使用について:

それに加えて、次のようなことをする習慣のある人に、ドメイン/フォレスト全体の管理者権限を与えるべきではありません。何でも 偶然に. 物事を実行する人材が必要です」規則通りに「」。

AD は、権限とアクセス許可をセグメント化するための組織単位を提供します。使ってみてください！1 人のユーザーがディレクトリ全体を制御できないようにしてください。

もちろん、階層の最上位に 1 人の権限を置くこともできますが、その権限を持つ人物が、職務を真剣に受け止め、管理しているデータの重要性を認識している人物であることを確認してください。

結局のところ、偶然に何かを削除したり、そのデータのバックアップを保存しない人は、ディレクトリを託すべき人ではありません。

Answer