嘿,我正在一個大約有150 個用戶的網路上使用Active Directory,不同群組的所有成員都有不同的策略等。說將是一個巨大的問題。
你們有人知道有什麼方法可以讓 AD 建立其目前使用者和群組的日誌嗎?我不認為它可以創建備份,但只是文字形式至少會是某種形式的安慰,所以我們可以看到它是如何「是」的。
答案1
在沒有可靠備份的情況下運行 AD 肯定是職業生涯的限制措施。
你可以使用類似的工具ldifde(文件) 或csvde(文件)來轉儲 AD 對象,但這確實不足以從重大故障或刪除中恢復。在這些情況下,您需要對 Active Directory 環境進行可靠的備份,並且可能需要執行稱為「權威還原」的操作。
微軟有很多關於備份和還原 Active Directory,你應該閱讀並理解如果您負責維護組織中的 AD。從 Server 2008 開始,Microsoft 包含Windows 伺服器備份,如果您沒有其他支援 Windows 系統狀態復原的備份產品,則應該使用它。 (其實我用的是另外我的企業備份產品。
最後,如果您使用的是最新最好的 Windows Server 2008 R2 並且正在運行 Server 2008 R2 林功能級別,那麼您可能需要研究新的活動目錄回收站特徵。但同樣,這並不能消除對可靠的、經測試AD 基礎架構的備援流程。
答案2
每當您執行網域控制站的系統狀態備份時,都會備份 Active Directory。您確實備份了網域控制器,對嗎?確保它包含系統狀態。
答案3
您並不是唯一一個想知道是否有更好的方法來保護 AD 中的關鍵物件的人。本機保護只能讓您到目前為止- 當您犯錯時(刪除關鍵OU,刪除CEO 的使用者帳戶,或簡單的事情,例如將錯誤的人新增至網域管理員群組),總是有可能出現「哎呀」時時刻刻想想也許有更好的方法來保護自己。
備份是必須的,但在許多情況下,恢復整個目錄並不能解決問題。如果你絕望了,你可以這樣做,但錯誤仍然存在,你仍然花費大量時間和資源來恢復,然後重新實施自上次良好備份以來的所有更改。
有一些工具可以解決此問題,而無需從過去的某個時間點完全恢復您的 AD。能夠主動阻止關鍵變更發生、鎖定關鍵物件以防止錯誤發生的工具。我工作的公司有這樣一個工具 - 用於 AD 和 GPO 的 StealthINTERCEPT - 並且快速谷歌搜索可能會找到其他工具。 StealthINTERCEPT 的方法是識別 AD 中的關鍵物件並鎖定它們。鎖定對象意味著透過控制何時以及是否可以刪除、移動、重新命名或以其他方式修改 AD 中的對象,防止您的管理員(以及您自己,如果需要)犯某些嚴重錯誤。 StealthINTERCEPT 提供的安全性存在於 AD 本機權限之外,這意味著即使是組織內擁有最高權限的使用者仍然可以依靠我們的工具來防止他們執行真正具有破壞性的操作。
如果您想查看該工具的實際運作情況,請觀看我們的演示之一或透過以下方式與我們聯絡:http://www.stealthbits.com/contact-us-company。
答案4
據我了解,Server 2008等級的AD森林提供了回收站從意外刪除操作中恢復。
微軟提供了一個逐步指南關於在 AD 中使用回收站:
除此之外,您永遠不應該向習慣這樣做的人授予對整個網域/林的管理存取權限任何事物 意外地。你想要的是做事的人”按書本」。
AD提供組織單位來劃分您的權限和權限。使用它們!不要讓單一使用者控制您的整個目錄。
當然,您可以在層次結構的頂層設置一個權威,但請確保該人認真對待這項工作並意識到他所管理的資料的重要性。
底線是,那些偶然刪除內容以及不保留所述資料備份的人不應該是您應該將目錄委託給的人。