【WS2008 R2】Active Directory Recycle Bin の有効期限(msDS-DeletedObjectLifeTime)

※本記事はベータ版段階での情報です。RTM後変更される可能性があることをご了承ください。 週末のオープンソースカンファレンスの準備を完了せねばならないため、ひとまず、この投稿が今週最後になるかな..と思っております。 過去の Active Directory Recycle Bin に関する投稿記事の一覧 Windows Server 2008 R2 – Active Directory Recycle Bin に関する投稿 Active Directory Recycle Bin は大変に有用な機能ですが、運用に関する考慮事項が増えたことを無視するわけにはいきません。 2つの考慮事項があります。 ADから削除したオブジェクトが未来永劫、復活可能なわけではない Deleted 状態では ガベージコレクションの対象外である(DBの容量は減らない) 以下の図にも示すとおり、削除したオブジェクトは段階的に状態を変えます。 Deleted 状態が保持されるのは、規定で180日です。つまり、削除してから180日以内であれば、属性値を失うことなく復活することが可能です。 180日が経過すると Recycled 状態となり多くの属性が消去されます。 そして、さらに180日後に 物理的に削除されます。 これらの期間(LifeTime)は変更することが可能です。 1点目の留意事項については、LifeTime の変更で運用にあわせることが可能ですが、それによって2点目の問題について考慮しなければなりません。 不必要に長く保存することが必ずしもよいわけではないと言うことをご理解ください。 さて、それでは実践です。 Deleted 状態の継続期間を決めるのは msDS-DeletedObjectLifeTime 属性であり、Recycled 状態の継続期間を決めるのは tombstoneLifetime 属性です。 この属性はユーザーに紐づいたものではなく、以下のオブジェクトの属性として定義されます。 “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=mydomain,DC=com” つまり、システムで一意の値となります。 これらの属性は lpd.exe…

3

【WS2008 R2】Active Directory Recycle Bin が有効かどうかを確認するには

※本記事はベータ版段階での情報です。RTM後変更される可能性があることをご了承ください。 覚書程度の話なのですが、今回は、Active Directory Recycle Bin が本当に有効になったかどうかを確認する方法について書き留めておきます。 以下の記事の補足としてお読みください。 【WS2008 R2】Active Directory Recycle Bin を使ってみる その1~ 準備編 過去の Active Directory Recycle Bin に関する投稿記事の一覧 Windows Server 2008 R2 – Active Directory Recycle Bin に関する投稿   Active Directory Recycle Bin が有効かどうかは、イベントログで確認するのが簡単です。   ■ 無効の場合 Active Directory のセットアップ後 イベント ID 2120   Active Directory の起動時 イベントID 2121 ■有効な場合 有効になった直後 イベントID…

1

[まとめ]Windows Server 2008 R2 – Active Directory Recycle Bin に関する投稿

投稿順 【WS2008 R2】Active Directory にも Recycle Bin が用意される時代に 【WS2008 R2】Active Directory Recycle Bin を使ってみる その1~ 準備編 【WS2008 R2】Active Directory Recycle Bin を使ってみる その2 ~ ldp.exe を使用した場合 【WS2008 R2】Active Directory Recycle Bin が有効かどうかを確認するには 【WS2008 R2】Active Directory Recycle Bin の有効期限(msDS-DeletedObjectLifeTime) 2009/08/25 【Management】Active Directory Recycle Bin(ゴミ箱)を PowerGUI から操作    

2