活动目录对象删除与保护深入学会

时间：2023-04-07 08:32:56 其他范文收藏本文下载本文

下面是小编帮大家整理的活动目录对象删除与保护深入学会，本文共5篇，希望对大家的学习与工作有所帮助。

活动目录对象删除与保护深入学会

篇1：活动目录对象删除与保护深入学会

大家都知道，在和时代，当我们从AD中删除某个对象时，其实AD并非将此对象直接删除，而是将此对象标记为墓碑对象，并且，墓碑对象会在活动目录中再保存180天时间(2000和2003是60天，2003打了SP1之后是180天)，这个时间即墓碑生存时间。此墓碑生存时间可由管理员使用Adsiedit.msc进行修改，我们只需要找到Configuration\Services\Windows NT\Directory Service下的tombstoneLifetime属性进行更改即可。

注：墓碑生存时间(tombstoneLifetime)是指：从在AD中删除某对象开始，到该对象真正被删除的时间间隔，默认值为180天，这样做是为了保证：这种删除操作被复制到域中其它的DC。恢复DC的“系统状态数据”备份是有时间限制的，不能从比墓碑默认的180天生存时间更旧的系统状态数据的备份中，恢复活动目录。活动目录对象如果被删除，并不直接消失，而是放入一个不可见的CN，名字叫deleted object，里面存放180天(默认)，在这180天内，可以进行恢复，在域控制器上，每24小时执行一次名叫“垃圾收集”的进程，将超过180天的被删除记录真正的删除。那只能通过备份加以恢复了。在这里讨论的是在180天之内的情况。

现在，我们在看看用微软的活动目录LDP工具查看。

选择connection，输入要连接的域控制器。我们可以发现LDAP协议所用的端口为389号端口。

在菜单bind中，选择输入连接操作者的身份凭据。在输入后，我们可以见到显示出authendicated user=“administrator”

选择菜单当中的options，选择菜单项controls,在其中，选择return deleted object

注意，在Active controls窗口中，显示出ID，该号码是管理信息库所识别的一个ID，代表着被删除对象

view菜单中，选择tree,输入域的DN

在子目录下，选择cn=deleted object容器，在其中找到被删除的对象

输入attribute 值为 isdeleted ，在operation中选择delete, 点击Enter将其添加到entry list中

再在attribute中输入另一个属性distinguishedName，在Values中，输入准备恢复对象存放的位置DN，在operation中，选择replace，点击enter,将其添加到entry list中，

选择勾选Synchronous和Extended，然后点击Run按钮。被删除的对象，就得以恢复了

在Windows Server 时代活动目录对象保护

除了以上03的基础上，在windows server 2008中的ADDS。我们在创建对象时，可直接勾选是否启用防误删保护。

勾选这个，conan.han觉得不赖，至少在某些情况下防止热血工程师删除资源(包括我自己，哈哈)，保护OU，资源的重要性相比不用多说，误删除一个OU，那这个部门的资料就...如果要删，此时，windows就会提醒你刀下留人!

好了，刚刚的客户问题就出来了，那怎么解决呢。

给大家说说这个原理，大家自然知道怎么解决了。let's go!

首先不多说，打开ADUC的“高级功能”，我们才可以看安全选项

大家看见了么?everyone的特殊权限是Deny!!!!!

在进入高级中看看，编辑everyone的高级权限

大家应该就知道怎么回事了吧，也知道怎么操作了吧!嗯，提示一点，权限是叠加的!administrator，domain admin都是属于everyone里面的哦!~

OK，今天给大家聊了03，08的删除保护对象，过段时间给大家讲windows server 2008 R2的活动目录对象删除保护...

篇2：活动目录对象删除与保护深入理解

大家都知道，在2000和2003时代，当我们从AD中删除某个对象时，其实AD并非将此对象直接删除，而是将此对象标记为墓碑对象，并且，墓碑对象会在活动目录中再保存180天时间(2000和2003是60天，2003打了SP1之后是180天)，这个时间即墓碑生存时间。此墓碑生存时间可由管理员使用Adsiedit.msc进行修改，我们只需要找到Configuration\Services\Windows NT\Directory Service下的tombstoneLifetime属性进行更改即可。

现在，我们在看看用微软的活动目录LDP工具查看。

选择connection，输入要连接的域控制器。我们可以发现LDAP协议所用的端口为389号端口。

在菜单bind中，选择输入连接操作者的身份凭据，

在输入后，我们可以见到显示出authendicated user=“administrator”

选择菜单当中的options，选择菜单项controls,在其中，选择return deleted object

注意，在Active controls窗口中，显示出ID，该号码是管理信息库所识别的一个ID，代表着被删除对象

view菜单中，选择tree,输入域的DN

在子目录下，选择cn=deleted object容器，在其中找到被删除的对象

输入attribute 值为 isdeleted ，在operation中选择delete, 点击Enter将其添加到entry list中

再在attribute中输入另一个属性distinguishedName，在Values中，输入准备恢复对象存放的位置DN，在operation中，选择replace，点击enter,将其添加到entry list中。

选择勾选Synchronous和Extended，然后点击Run按钮。被删除的对象，就得以恢复了

在Windows Server 2008 时代活动目录对象保护

除了以上03的基础上，在windows server 2008中的ADDS。我们在创建对象时，可直接勾选是否启用防误删保护。

好了，刚刚的客户问题就出来了，那怎么解决呢。

篇3：删除URL (一)：URL与目录

现在互联网上的内容五花八门无奇不有，有时您发表了一些不该发表的内容——比如一气之下发了篇博文，事后却后悔不已；又如无意间泄露了保密数据等。大多数情况下，只要删除内容或限制访问，内容就不再出现在搜索结果中了。然而，如果您迫不及待地想删除一些不愿为人所知、但已经被Google索引的内容，可以使用我们的URL删除工具；只要符合特定条件（下面将讨论），就能将内容从我们的搜索结果中迅速删除。

我们将发表一系列博文，教您如何成功地删除各种内容以及如何避免常见错误。在第一个博文中，我将讨论一些基本情况：删除单个URL，删除整个目录或网站，重新添加已删除的内容。我强烈建议您访问管理网络上关于您的信息读一读我们以前发表的博文。

删除单个URL

一般而言，为了成功执行删除请求，相关URL的主人——无论是您本人还是其他人——必须表示同意删除该内容。对于单个URL而言，可以有三种方式表示同意：

通过robots.txt file拦截页面阻止其被搜索

通过noindex元标签拦截页面阻止其被索引

通过返回一个404或410状态码表示当前页面不存在

在提交删除请求之前，可以先查看一下该URL是否已经被拦截：

robots.txt: 使用站长工具中的Fetch as Googlebot或Test robots.txt功能，查看该URL是否已经被拒绝访问。

noindex元标签: 您可以使用Fetch as Googlebot来确保元标签出现在标签之间。如果想查看一个用站长工具无法核对的页面，可以在浏览器中打开该URL，点击查看>网页资源，确保元标签位于标签之间。

404 / 410状态码:可以使用Fetch as Googlebot，或者Live HTTP Headers或web-sniffer.net之类的工具来确认该URL确实返回了正确的代码。有时，“已删除”的页面可能会显示“404”或“无法找到该页面”，但却在页头返回一个200状态码。因此最好使用适当的页头核对工具复查一遍。

如果您已经从网页上删除了不想要的内容，但还没有用以上方法拦截该页面，还是不能将该URL从我们的搜索结果中完全删除。如果发表该内容的网站不属于您，上述情况就会很常见，在删除URL系列文章的第二部分中我们将谈到如何应对这种情况。

如果一个URL符合以上任意一个条件，您可以访问www.google.com/webmasters/tools/removals，输入您想要删除的URL，选择“站长已经拦截该页面”选项，就能将其删除，

注意：应输入包含该内容的URL，而非Google搜索出显示内容的URL。比如，应该输入

www.example.com/embarrassing-stuff.html

而非

www.google.com/search?q=embarrassing+stuff

本文还详细介绍了如何确保输入正确的URL。请记住，如果您没有告诉我们给困扰您的准确URL，我们也无法删除您不想要的内容。

删除整个目录或网站

要想成功地删除整个目录或网站，必须在该网站的robots.txt file中拒绝访问该目录或网站。比如，要删除www.example.com/secret/目录，robots.txt file需要包含：

User-agent: *

Disallow: /secret/

根目录返回一个404状态码，但这还不够，因为即使目录返回了一个404状态码，但仍然有可能在下面显示文件。使用robots.txt拦截一个目录（或整个网站）能确保该目录（或网站）下的所有URL都被拦截。可以使用站长工具中的Fetch as Googlebot或Test robots.txt功能来测试目录是否被完全拦截。

只有通过验证的网站所有人才能请求删除站长工具中的整个网站或目录。想要请求删除一个目录或网站，先进入相关网站，然后点击网站配置 >抓取工具访问 >删除 URL。如果您进入了网站的根目录，且希望删除该URL，您需要确认希望删除整个网站。如果您进入的是子目录，应选择下拉菜单中的“删除目录”选项。

重新添加内容

您可以随时取消删除自己网站的请求，包括其他人提交的请求。为此，您必须是站长工具中通过验证的网站所有人。一旦您通过验证，可以进入网站配置 >抓取工具访问 >删除 URL（或 >他人提交），点击您想取消的请求旁边的“取消”按钮。

还有问题吗？我们将发表其他关于如何将内容从Google搜索结果中删除的系列博文，请静候更新。如果您实在等不及，可访问我们的帮助论坛，上面有许多关于删除URL和排除故障的个案。如果您阅读了其他人的经历之后仍然心存疑问，敬请垂询。请注意：大多数情况下，如果不知道相关的网址或URL，则很难对具体删除操作给出相关建议。我们建议您使用URL缩短服务（URL shortening service）分享您的URL，这样您所顾虑的URL就不会作为您博文的一部分被索引；问题解决后，一些缩短服务甚至还能让捷径变得无效。

篇4：保护WindowsServer活动目录

如果我告诉你，WindowsNTServer4.0的安全性要高于WindowsServer，你也许会认为我在说胡话，但是有时候，事实比胡话更加令人不可思议。在某些情况下，WindowsNTServer确实要比Windows2000Server具有更好的安全性。不过Microsoft已经发现了这个问题，并在WindowsServer2003的活动目录中重新采用了类似于WindowsNT4.0的安全架构。下面我们就来研究一下这个安全问题，然后我会提供几个小技巧，帮助你更好的确保AD环境的安全。

物理安全是首位

当我们试图保证AD环境的安全时，首先要考虑的就是它的物理环境是否安全。如果任何你不信任的人可以随意接触到你的域控制器或DNS服务器，那么你的AD环境肯定不会安全。很多管理工具以及灾难恢复工具的存在也可以为提供相当大的便利。

假如可以从物理上接触到服务器，那么就算是电脑水平一般的人也可以在较短时间内进入你的系统。因此，在你没有确保服务器位于一个安全环境时，也不用考虑如何加强AD的安全性了。

WindowsNT对阵Windows2000不要误解我在文章开始时所说的话。在很多情况下，Windows2000所提供的安全性确实要强于WindowsNT。但是不能忘记计算机领域的一个基本规则：越是复杂的程序越容易出现可被利用的安全漏洞。毫无疑问，Windows2000要比WindowsNT复杂的多。

这方面最好的例子就是在不同操作系统中，域模式的实现方式不同。在WindowsNT中，域是唯一的组织结构。一个域可以包含整个公司内的全部用户、组、以及计算机。如果这个公司非常大，那么可以设立多个域，并在域之间建立信任关系，但是每个域都是独立的结构。

在开发Windows2000时，微软意识到WindowsNT中的域模式并不能很好的用于更大型的企业，因此微软在一个被称为森林（forest）的结构上采用了活动目录（AD）模式。在一个森林中，你可以创建多个不同的域，甚至可以使用父域以及子域等树木结构。和在WindowsNT环境中一样，每一个域仍然有自己的管理员，不过相似性也就只有这些了。

在Windows2000中，微软认为应该让域变得更加易于管理，因此它为域的管理创建了不同的等级。比如，一个DomainAdmins组的成员可以管理当前域以及当前域的子域。而EnterpriseAdmins组的成员则可以管理整个森林中的任何一个域，

由此也产生了一些问题。

在Windows2000的AD模式中，最大的问题是森林中所有的域都是相互信任的，这将引发一系列问题。首先，当安全规则没有设立好时，域管理员可以通过把自己添加到EnterpriseAdmins组的方式提高自己的管理权限，这样他们就具有了管理整个森林中任何一个域的权限。如果该域具有一定的安全规则，那么恶意的管理员也可以通过篡改SID纪录以及运行提升权限操作等对整个森林进行攻击。通过操作SID纪录，管理员可以赋予自己EnterpriseAdmin的权限。

另外，Windows2000的AD安全模式中还存在一些固有的薄弱环节。也许你知道，每一个域都至少需要一个域控制器，而每一个域控制器都包含了该域以及整个森林的信息。这些信息包括AD结构以及一些基本的配置。

现在设想一下，假如公司里的一个管理员一时疏忽，安装了一个恶意程序，或者对AD做了一些不正确的配置。如果这个配置的改动是针对森林级的AD组件进行的，那么最终这个改变将传递到整个森林里的每个域控制器上，这将破坏每个域控制器上的AD配置副本并有可能造成整个公司的网络瘫痪。

让我们再来对比一下WindowsNT中的情况。就算一个域信任另一个域，每个域中都会包含和各自域有关的安全帐户管理副本。因此，怀有恶意的管理员无法通过修改本地域的SAM文件来间接破坏对方域的SAM文件。同样，在WindowsNT中没有一个足够大的管理员权限可以让某个域的管理员将权限提升到可以控制公司网络内其它域的地步。

另一个有关WindowsNT的信任关系的优势在于，这种信任关系既可以是单向的，也可以是双向的，并且这种信任关系本质上是不可以传递的。这种单向性意味着，假如你有两个域，Users域和Admin域，你可以让他们之间相互信任，也可以仅让Users域信任Admin域，而Admin域不信任Users域。而信任关系的不可传递性意味着，假如域A信任域B，而域B又信任域C，那么域A依然不会信任域C，除非管理员亲自指定这种信任关系。

WindowsServer2003的安全性

看到这里，你也许会很好奇，在WindowsServer2003中，这种域的安全性到底有什么特点呢？我之所以在一开始介绍了WindowsNT和Windows2000的区别，就是为了让大家更好的理解WindowsServer2003的特点。在WindowsServer2003种，微软将WindowsNT和Windows2000的两种模式融合在一起，因此，为了更好的保护你的WindowsServer2003网络，你必须理解上两个系统的安全模式中存在的优势和不足。Windows2000中最大的AD安全弱点就是一个森林中的所有域都是通过一个通用的管理架构相联系的，这个通用的管理架构也就是森林本身。在WindowsServer2003中，森林架构依然被沿用下来，并且其作用也和Windows2000中没有什么区别。