墓碑生存时间(tombstoneLifetime)是指:从在AD中删除某对象开始,到该对象真正被删除的时间间隔,默 认值为60天(2k3  sp1和win2k8后增加为180天),这样做是为了保证:这种删除操作被复制到域中其它的DC。AD只备份当前有效的数据,对于已经标记删除的对象, 不备份。而AD中的对象删除并不是立即的,需要有60天的删除标记时间。因此,应避免恢复60天前的AD备份,以免导致AD不完整.明白了墓碑生存时间及 其作用后,我们很容易想到:可手动将墓碑生存时间的默认值,由60天修改为更大的值,

活动目录对象删除与保护深入理解

 大家都知道,在2000和2003时代,当我们从AD中删除某个对象时,其实AD并非将此对象直接删除,而是将此对象标记为墓碑对象。并且,墓碑 对象会在活动目录中再保存180天时间(2000和2003是60天,2003打了SP1之后是180天),这个时间即墓碑生存时间。此墓碑生存时间可由 管理员使用Adsiedit.msc进行修改

具体操作步骤如下:

  开始-管理工具-ADSI编辑器(运行-ADSIedit.msc)

 

点击连接到-选择一个已知命名上下文-选择配置-点击确定

 

进入目录,cn=configuration...\cn=services\cn=windows NT\CN=Directory services  右键属性,找到 tomblifetime 就可以修改墓碑时间。

 

 这样做是为了保证:这种删除操作被复制到中其它的DC。恢复DC的“系统状态数据”备份是有时间限制的,不能从比墓碑默认的180天生存时间更旧的系统状态数据的备份中,恢复活动目录。活动目录对象如果被删除,并不直接消失,而是放入一个不可见的CN,名字叫deleted object,里面存放180天(默认),在这180天内,可以进行恢复,在域控制器上,每24小时执行一次名叫“垃圾收集”的进程,将超过180天的被删除记录真正的删除。那只能通过备份加以恢复了。(注:通过adrestore可以方便的恢复被删除的域帐户)

 

还原已删除的Active Directory对象之不完全攻略(上)                   

还原已删除的Active Directory对象之不完全攻略篇(中)

还原已删除的Active Directory对象之不完全攻略篇(下)