對於一位身為掌管數以千計人員帳戶的網域管理員而言,最害怕遭遇的倒楣事就是誤刪某個組織容器、群組或是人員帳戶。因為即使您在誤刪後趕緊建立一個同樣命名的網域帳戶,此帳戶對於 Active Directory 而言只是一個全新帳戶而非原來的帳戶,這是因為作業系統本身識別的是該帳戶的安全識別碼,而不是帳戶名稱或顯示名稱。如此一來所有屬於原人員帳戶的各種權限(例如:網域內所有伺服器的檔案共用設定),都需要全新設定一遍才能夠讓該人員正常存取。
為了防範像這樣的倒楣事持續發生在管理人員的身上,從 Windows Server 2008 R2 開始便推出了防止誤刪組織容器的功能,以及提供了 Active Directory 專屬的資源回收桶功能。不過此功能在當時只能使用 Windows PowerShell 的 Restore-ADObject 命令,搭配相關參數的使用來進行個別的物件還原,或是進一步結合 Get-ADObject 命令的使用,來完成指定組織容器下所有已刪除物件的還原。不過在 Windows Server 2012 以後的版本,管理員只要在[Active Directory 管理中心]介面中,就可以從如圖 43 所示的[工作]窗格內,找到[啟用資源回收桶]功能。
請注意!Active Directory 的樹系功能等級,必須先提高到 Windows Server 2008 R2 以上版本,才能夠開始使用資源回收桶功能。
圖 43 Active Directory 管理中心
點選後將會出現如圖 44 所示的警示訊息,這表示一旦啟用之後就無法再停用此功能,而這背後所代表的意義,就是當您所管理的網域帳戶有數以萬計以上時,只要完成刪除就會被保存在[已刪除物件(Deleted Objects)]的儲存容器之中。完成啟用之後請重新開啟[Active Directory 管理中心]。
圖 44 啟用資源回收桶功能
接下來您可以嘗試透過任何方式來刪除現行的使用者帳戶、群組或是組織容器,緊接著便可以在[已刪除物件]的儲存容器之中,像如圖 45 所示一樣找到所有已被刪除的物件,然後對於所有想要還原的物件,在連續選取之後點選[工作]窗格之中的[還原]或[還原到]即可。
圖 45 已刪除物件管理
如圖 46 所示便是執行[還原到]功能時所開啟的視窗,在此您可以挑選當物件還原時所要存放的組織容器。
圖 46 還原到指定容器
如何修改誤刪物件的保存期限?
在系統預設的狀態下已刪除物件的保存期限為 180 天,您可以透過[Windows PowerShell 的 Active Directory 模組]介面中執行下列命令範例的修改,來自訂想要的保存期限天數,例如:365 天。您只要將範例中的網域資訊修改成實際環境中所使用的即可。
Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com” –Partition “CN=Configuration,DC=contoso,DC=com” –Replace:@{“msDS-DeletedObjectLifetime” = 365}
結論
藉由本系列文章,用戶可以明白到以 Active Directory 作為企業 IT 營運的基礎建設,是一項明智的絕佳選擇,主要原因是它不僅簡化了電腦與人員帳戶的集中控管需要,更是為接下來一連串的資訊安全管理需求,奠定了一個穩固的安全作業平台,在未來只要各項應用系統的導入,都能夠與 Active Directory 做到無縫整合之應用,那麼幾乎沒有什麼資訊安全管理的需求是無法解決的。不過話又說回來,既然以人為根本的政策落實,是資訊安全管理中最重要的基礎,那麼順應人性化的員工管理政策,相信也會是每一位企業老闆首要修習的一門課題。
|