Active Directory (AD) містить наступні файли:
Ntds.dit - база даних Active Directory в якій зберігається схема, об'єкти і атрибути домена (розташування за замовчуванням -% systemroot% \ NTDS \ Ntds.dit)
Edb * .log - файл журналу транзакцій Будь-яка зміна спочатку заноситься в журнал транзакцій і тільки потім записується в базу AD, забезпечуючи її цілісність. Файл Edb.log має розмір 10Mб. Якщо файл журналу транзакцій переповнюється, AD створює новий EdbX.log, де X - число починається з 1.
Edb.chk - файл контрольної точки використовуваний для відстеження змін, що записуються в базу даних AD, він вказує на інформацію яка в разі збою повинна бути відновлена (записана в подальшому)
Res1.log і Res2.log - резервні файли журналу транзакцій, що дозволяють AD вести журнал в разі відсутності вільного місця на жорсткому диску.
З метою підвищити швидкодію системи Microsoft рекомендує розміщувати файли журналів і базу даних на різних дисках. Для переміщення бази даних і файлів журналу транзакцій використовується утиліта Ntdsutil в режимі Directory Services Restore Mode:
Ntdsutil - files - move DB to drive: \ directory - quit -
Ntdsutil - files - Move logs to drive: \ directory - quit -
- реєстр містить відомості про конфігурацію комп'ютера
- базу даних AD
- папку SYSVOL містить шаблони групової політики і сценарії входу
- базу даних зареєстрованих класів СОМ +
- завантажувальні файли системи і системні файли
- базу даних служб сертифікації (на сервері сертифікатів)
- інформацію необхідну для відновлення кластера, якщо запущена служба Cluster.
- базу даних IIS, якщо IIS встановлений
- системні файли захищені Windows File Protection
За допомогою оснащення Active Directory Users and Computers (ADUC), ADSIEdit, LDP або утиліти DSACLS можна запобігти випадковому видаленню об'єкта. Захистимо за допомогою ADUC Організаційний підрозділ (ОП) Sales вкладене в ОП Company домену karba.local від випадкового видалення або переміщення:
ОП Company - додаємо DENY ACE групі Everyone на видалення DELETE CHILD з областю дії This object only:
DSACLS OU = Company, DC = KARBA, DC = LOCAL / D EVERYONE: DC
ОП Sales - додаємо DENY ACE групі на видалення DELETE and DELETE TREE з областю дії This object only:
DSACLS OU = Sales, OU = Company, DC = KARBA, DC = LOCAL / D EVERYONE: SDDT
відновлення AD
Для відновлення AD сервер повинен бути перевантажений в режим відновлення служби каталогу (Directory Service Restore Mode).
Існує два способи відновлення даних з резервної копії, примусове (Authoritative) і непримусового (Non-Authoritative).
Примусове використовується в разі, якщо потрібно відновити випадково видалений об'єкт. Примусове відновлення гарантує, що відновлений об'єкт не буде змінений в ході реплікації.
Непримусового відновлення повертає AD в стан на момент створення резервної копії, а реплікація з інших серверів (партнерів по реплікації) оновлює дані, приводячи об'єкти до поточного стану (якщо використовується один контролер домену, то всі зміни відбулися з моменту резервного копіювання, будуть втрачені).
Для примусового відновлення об'єкта, відразу після відновлення даних стану системи, запускається утиліта Ntdsutil і в командному рядку вводиться:
authoritative restore - restore subtree distinguished name of object - quit - quit
Для примусового відновлення всієї бази AD в командному рядку Ntdsutil вводиться:
authoritative restore - restore database - quit - quit
Після закінчення процедури відновлення контролер домену можна перезапустити в звичайному режимі.
Все примусово відновлені об'єкти реплицируются на інші контролери - партнери по реплікації.
Віддалений з AD об'єкт поміщається в прихований контейнер CN = Deleted Objects, атрибут об'єкта isDeleted приймає значення True, до Distinguished Name додається прапор ADEL і встановлюється значення Tombstone Lifetime (TSL). Позначений на видалення об'єкт (Tombstoned) може бути відновлений протягом TSL, потім запис про об'єкт остаточно видаляється з бази даних Active Directory.
На контролері домену кожні 12 год запускається процес Garbage Collection. при цьому остаточно видаляються об'єкти у яких закінчилося TSL і виконується дефрагментація бази даних AD. Можна змінити цей інтервал за допомогою ADSI Edit присвоївши значення атрибуту garbageCollPeriod (CN = Directory Service, CN = Windows NT, CN = Services, DC = DomainName, DC = local, CN = Configuration)
Для відновлення позначеного на видалення об'єкту потрібно видалити атрибут isDeleted і відновити колишнє значення DistinguishedName. Для цього запускаємо Ldp.exe з Windows Support Tools, вибираємо з меню Connections команду Connect, вказуємо NetBios ім'я контролера домену та порт 389 (LDAP). В меню Connections вибираємо команду Bind, вводимо облікові дані адміністратора підприємства (Enterprise Admins). У меню Options вибираємо Controls і в поле Load Predefined зі списку вибираємо Return deleted objects і тиснемо Ок. Вибираємо в меню View пункт Tree, в поле BaseDN вводимо DC = DomainName, DC = local. У списку контейнерів лівій панелі шукаємо контейнер CN = Deleted Objects, DC = DomainName, DC = local і клацаємо по ньому два рази. Знаходимо віддалений об'єкт, наприклад:
CN = Олена Муратова \ 0ADEL: a49bb628-11b5-427f-85cf-6441b8b94970, CN = Deleted Objects, DC = DomainName, DC = local
Виділяємо його, клацаємо правою кнопкою миші і вибираємо Modify. У розділі Edit Entry, в поле Attribute вводимо isDeleted, в панелі Operation вибираємо Delete, потім тиснемо кнопку Enter.
У розділі Edit Entry в поле Attribute вводимо distinguishedName, в поле Values вводимо Common Name об'кта і після коми значення lastKnownParent зі списку атрибутів об'єкта (см.правую панель), наприклад:
CN = Олена Муратова, OU = Sales Users, OU = Sales, DC = DomainName, DC = local
У розділі Operation вибираємо Replace і тиснемо кнопку Enter. Встановлюємо прапорці Synchronous і Extended натискаємо кнопку Run
При відновленні облікового запису користувача потрібно заново прописати всі її атрибути, за винятком sAMAccountName, SID і GUID, встановити пароль і включити її.