1

Эй, я использую Active Directory в сети, в которой около 150 пользователей, все члены разных групп с разными политиками и т.д., Это будет огромной проблемой для нашей сети, если, например, по ошибке администратор однажды удалит всех пользователей или все группы. ,

Кто-нибудь из вас знает, каким образом можно заставить AD создавать журналы своих текущих пользователей и групп? Я не думаю, что это может создать резервную копию, но просто текстовая форма была бы по крайней мере некоторой формой комфорта, поэтому мы могли видеть, как это было.

4 ответа4

2

Запуск AD без надежных резервных копий является гарантированным ограничением карьеры.

Вы можете использовать такой инструмент, как ldifde(doc) или csvde(doc) для выгрузки объектов AD, но этого на самом деле недостаточно для восстановления после крупного сбоя или удаления. В этих случаях вам необходимо иметь надежную резервную копию вашей среды Active Directory, и вам может потребоваться выполнить операцию, которая называется принудительным восстановлением.

У Microsoft есть много документации о резервном копировании и восстановлении Active Directory, которую вы должны прочитать и понять, если вы несете ответственность за поддержание AD в своей организации. Начиная с Server 2008, Microsoft включает Windows Server Backup, который следует использовать, если у вас нет другого продукта для резервного копирования, который поддерживает восстановление состояния системы Windows. (На самом деле, я использую его в дополнение к своему корпоративному продукту резервного копирования.)

Наконец, если вы используете новейшую и лучшую версию Windows Server 2008 R2 и используете функциональный уровень леса Server 2008 R2 Forest, то вам может потребоваться новая функция корзины Active Directory . Но опять же, это не избавляет от необходимости иметь надежный, проверенный процесс резервного копирования для вашей инфраструктуры AD.

1

Резервное копирование Active Directory выполняется каждый раз, когда вы делаете резервную копию состояния системы контроллера домена Вы делаете резервную копию вашего контроллера домена, правильно? Убедитесь, что оно включает состояние системы.

Подробнее здесь:http://www.youtube.com/watch?v=4ZgupfaJOG0

0

Вы не одиноки, задаетесь вопросом, есть ли лучший способ защитить критические объекты в AD. Встроенные средства защиты только позволяют вам продвинуться вперед - всегда существует вероятность того, что "упс" наступит момент, когда вы совершите ошибку (удалите критическое подразделение, удалите учетную запись генерального директора или что-то простое, например добавьте не того парня в группу администраторов домена) и думаю, может быть, есть лучший способ защитить себя.

Необходимы резервные копии, но во многих случаях восстановление всего каталога не является ответом. Это то, что вы можете сделать, если будете в отчаянии, но ошибка все еще остается, и вы по-прежнему тратите много времени и ресурсов на восстановление и последующую реализацию всех изменений со времени последней хорошей резервной копии.

Существуют некоторые инструменты, которые решают эту проблему, не прибегая к полному восстановлению вашей AD с некоторого момента в прошлом. Инструменты, которые активно предотвращают критические изменения, блокируя критические объекты, чтобы ошибок не было. У компании, в которой я работаю, есть такой инструмент - StealthINTERCEPT для AD и объектов групповой политики - и быстрый поиск в Google, вероятно, может найти других. Подход с StealthINTERCEPT состоит в том, чтобы идентифицировать ключевые объекты в AD и заблокировать их. Блокировка htem down означает предотвращение некоторых критических ошибок ваших администраторов (и вас самих, если это необходимо), контролируя, когда и если вы можете удалять, перемещать, переименовывать или иным образом изменять объекты в AD. Безопасность, которую обеспечивает StealthINTERCEPT, существует за пределами собственных разрешений AD, а это означает, что даже пользователи с наивысшим уровнем привилегий в вашей организации могут по-прежнему полагаться на наш инструмент, чтобы они не могли совершать действительно разрушительные действия.

Если вы хотите увидеть этот инструмент в действии, посетите одну из наших демонстраций или свяжитесь с нами по адресу http://www.stealthbits.com/contact-us-company.

0

Насколько я понимаю, леса AD уровня Server 2008 предоставляют корзину для восстановления после случайных операций удаления.

Microsoft предоставляет пошаговое руководство по использованию корзины в AD:

Кроме того, вы никогда не должны предоставлять административный доступ ко всему домену / лесу людям, которые имеют привычку делать что-либо случайно. Вы хотите людей, которые делают вещи " по книге ".

AD предоставляет организационные единицы для сегментирования ваших полномочий и полномочий. Используй их! Не позволяйте одному пользователю контролировать весь каталог.

Конечно, вы можете иметь один авторитет на вершине своей иерархии, но убедитесь, что это кто-то, кто серьезно относится к работе и знает о важности данных, которыми он управляет.

В итоге, люди, которые случайно удаляют вещи и которые не сохраняют резервные копии указанных данных, - это не те люди, которым вы должны доверять свой каталог.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .