Oye, estoy usando Active Directory en una red con alrededor de 150 usuarios, todos miembros de diferentes grupos con diferentes políticas, etc. Sería un gran problema para nuestra red si, por ejemplo, por error un día un administrador eliminara a todos los usuarios o todos los grupos. .
¿Alguno de ustedes conoce alguna forma de hacer que AD cree registros de sus usuarios y grupos actuales? Supongo que no puede crear una copia de seguridad, pero solo un formulario de texto sería al menos una forma de comodidad, para que pudiéramos ver cómo "era".
Respuesta1
Ejecutar AD sin copias de seguridad confiables es un movimiento que limita la carrera profesional.
Túpodríautilizar una herramienta como ldifde(doc) o csvde(doc) para volcar objetos AD, pero eso realmente no será adecuado para recuperarse de una falla o eliminación importante. En esos casos, necesita tener una copia de seguridad confiable de su entorno de Active Directory y es posible que deba realizar una operación llamada Restauración autorizada.
Microsoft tiene mucha documentación sobrehacer una copia de seguridad y recuperar Active Directory, que tudebe leer y entendersi es responsable del mantenimiento de AD en su organización. A partir de Server 2008, Microsoft incluyeCopia de seguridad del servidor de Windows, que debe utilizar si no tiene otro producto de copia de seguridad que admita la recuperación del estado del sistema de Windows. (De hecho, lo usoademás demi producto de respaldo empresarial.)
Por último, si está utilizando el último y mejor Windows Server 2008 R2 Y está ejecutando un nivel funcional de Server 2008 R2 Forest, es posible que desee examinar el nuevoPapelera de reciclaje de Active Directorycaracterística. Pero repito, esto no elimina la necesidad de contar con un sistema confiable,probadoproceso de respaldo para su infraestructura AD.
Respuesta2
Se realiza una copia de seguridad de Active Directory cada vez que se realiza una copia de seguridad del estado del sistema del controlador de dominio. Haces una copia de seguridad de tu controlador de dominio, ¿correcto? Asegúrese de que incluya el estado del sistema.
Respuesta3
No es el único que se pregunta si existe una mejor manera de proteger objetos críticos en AD. Las protecciones nativas solo te llevan hasta cierto punto: siempre existe la posibilidad de que llegue ese momento de "ups" cuando cometas un error (eliminar una unidad organizativa crítica, eliminar la cuenta de usuario del CEO o algo simple como agregar a la persona equivocada al grupo de administradores de dominio) y Creo que tal vez haya una mejor manera de protegerse.
Las copias de seguridad son imprescindibles, pero en muchos casos restaurar todo el directorio no es la respuesta. Es algo que puede hacer si está desesperado, pero el error aún persiste y todavía está gastando mucho tiempo y recursos restaurando y luego reimplementando todos los cambios desde su última copia de seguridad buena.
Existen algunas herramientas que resuelven este problema sin tener que recurrir a una restauración completa de su AD desde algún momento del pasado. Herramientas que evitan de forma proactiva que se produzcan cambios críticos, bloqueando los objetos críticos para que nunca se produzcan errores. La empresa para la que trabajo tiene una herramienta de este tipo, StealthINTERCEPT para AD y GPO, y una búsqueda rápida en Google probablemente pueda encontrar otras. El enfoque con StealthINTERCEPT es identificar objetos clave dentro de AD y bloquearlos. Bloquearlo significa evitar que sus administradores (y usted mismo, si lo desea) cometan ciertos errores críticos al controlar cuándo y si puede eliminar, mover, cambiar el nombre o modificar objetos dentro de AD. La seguridad que proporciona StealthINTERCEPT existe fuera de los permisos nativos de AD, lo que significa que incluso los usuarios con el nivel más alto de privilegios dentro de su organización pueden confiar en nuestra herramienta para evitar que hagan cosas verdaderamente destructivas.
Si desea ver la herramienta en acción, asista a una de nuestras demostraciones o contáctenos enhttp://www.stealthbits.com/contact-us-company.
Respuesta4
Según tengo entendido, los bosques AD de nivel Server 2008 proporcionan unaPapelera de reciclajepara recuperarse de operaciones de eliminación accidental.
Microsoft proporciona unGuía paso por pasosobre el uso de la Papelera de reciclaje en AD:
Además de eso, nunca debes dar acceso administrativo a todo tu dominio/bosque a personas que tienen el hábito de hacerlo.cualquier cosa por accidente. Quieres gente que haga cosas"por el libro".
AD proporciona unidades organizativas para segmentar sus autoridades y permisos.¡Usalos, usalos a ellos!No permita que un solo usuario controle todo su directorio.
Claro, puede tener una única autoridad en la cima de su jerarquía, pero asegúrese de que sea alguien que se tome el trabajo en serio y sea consciente de la importancia de los datos que administra.
En pocas palabras, las personas queaccidentalmenteeliminar cosas y que no guardan copias de seguridad de dichos datos no son el tipo de personas a las que deberías confiar tu directorio.