Рекомендации по защите Active Directory: Часть 4. Использование корзины Active Directory

Все публикации серии:

Эта статья является четвертой в серии, посвященной восстановлению объектов Active Directory и необходимым для восстановления инструментам.

В предыдущей статье я разбирал случаи, когда администраторам приходится работать с контроллерами домена, где в Active Directory установлен режим работы леса Windows Server 2003 или Windows Server 2008. Я описал шаги, которые необходимо предпринять для восстановления tombstone-объектов с помощью утилит LDP и Veeam Explorer для Microsoft Active Directory.

Сегодня я перейду к более современным системам, которые позволяют использовать функцию корзины Active Directory.

В ОС Windows Server 2008 R2 корпорация Microsoft впервые реализовала долгожданную корзину Active Directory. При этом увеличилось стандартное время существования объекта Active Directory и изменился порядок удаления объектов. С появлением этой функции объект сразу после удаления перемещается в контейнер удаленных объектов, где и находится до окончания времени существования удаленного объекта (оно по умолчанию равняется времени существования переработанного (recycled) объекта). И что самое важное, все связанные и несвязанные атрибуты объекта сохраняются в системе в течение того же времени. Это означает, что в течение указанного периода объект можно восстановить вместе со всеми атрибутами.

После окончания времени существования объекта система меняет его состояние на «переработанный» (recycled) и сбрасывает большинство атрибутов. Объект становится аналогичен удаленному (tombstone) в Windows Server 2003 и Windows Server 2008. Единственная разница заключается в том, что переработанный объект невозможно восстановить. По истечении времени существования переработанного объекта (по умолчанию 180 дней) его автоматически удаляет сборщик мусора.

Рис. 1. Жизненный цикл объекта Active Directory при включенной корзине Active Directory

Включение корзины Active Directory

В настоящее время корзина не включается по умолчанию ни в одной ОС Windows Server. Чтобы использовать этот инструмент, нужно подготовить инфраструктуру, убедиться, что все контроллеры домена в лесу работают под управлением Windows Server 2008 R2 или выше, и установить режим работы леса на Windows 2008 R2 или выше.

ПРИМЕЧАНИЕ. Включение корзины Active Directory, как и любые другие существенные изменения настроек Active Directory (или другой производственной системы) может вызвать затруднения. Чтобы предварительно протестировать обновление схемы или другие изменения, которые могут оказать влияние на работу производственной среды, можно использовать технологию виртуальной лаборатории Veeam. Кроме того, виртуальная лаборатория может включать и другие критически важные виртуальные машины, чтобы на них тоже можно было внести изменения и протестировать совместимость многоуровневых приложений после внесения таких изменений. В зависимости от конфигурации, виртуальную лабораторию можно запустить из резервных копий, реплик или даже аппаратных снимков. Это позволит избежать неприятных сюрпризов при изменении настроек производственной среды.

Прежде чем начать использовать корзину Active Directory, необходимо учесть следующее:

1. При включении корзины Active Directory все tombstone-объекты превратятся в переработанные (recycled), и восстановить их после этого будет уже невозможно.
2. Восстановление нескольких зависимых объектов может вызвать затруднения, поскольку его необходимо выполнять в строго определенном порядке, начиная с верхних уровней иерархии.
3. В Windows Server 2008 R2 все операции с корзиной выполняются с помощью командлетов PowerShell, GUI отсутствует. В Windows Server 2012 и выше появился Центр администрирования Active Directory (Active Directory Administration Center, ADAC), где все действия с корзиной можно выполнить через пользовательский интерфейс.
4. Корзина не имеет ничего общего с бэкапом Active Directory и не позволит восстановить контроллер домена целиком, если он поврежден.

Рис. 2. Включение корзины Active Directory в Windows Server 2012 через ADAC

Плюсы и минусы корзины Active Directory

При включении корзины Active Directory вы увидите в Центре администрирования Active Directory новый контейнер удаленных объектов Deleted Objects. В этом контейнере вы найдете все удаленные, но не переработанные объекты, сможете просмотреть их свойства и восстановить их в исходное или любое другое место по своему выбору.

Рис. 3. Просмотр контейнера удаленных объектов Deleted Objects в корзине Active Directory

Хотя на первый взгляд восстанавливать отдельные объекты с помощью этой функции гораздо проще, чем с помощью утилиты LDP или «authoritative»-восстановления контроллера домена, необходимо помнить о некоторых подводных камнях. Ниже я перечислю плюсы и минусы использования корзины Active Directory.

«За»:

• Универсальный способ для доменов Windows Server 2008 R2 (и более поздних)
• Длительное время существования объекта (по умолчанию 180 дней — достаточный срок для решения большинства задач)
• Атрибуты объекта сохраняются в течение времени его существования
• Не требуется перезапуск контроллера домена
• GUI для Windows Server 2012 и выше

«Против»:

• Не работает для доменов с режимом работы леса Windows Server 2008 и ранее
• Не работает для измененных объектов (восстановить объект можно, только если он был удален, но не изменен)
• Восстановление возможно только в течение времени существования объекта
• Не обеспечивает защиту от проблем с самим контроллером домена (не может сравниться с резервной копией)
• Не поддерживает автоматическое восстановление иерархии

Второй пункт здесь особенно важен. Что делать, если объект был не удален, а случайно изменен, и ошибка обнаружилась заметно позже? К сожалению, корзина здесь не поможет, и для этой проблемы требуется другое решение.

Как Veeam позволяет обойти ограничения корзины

Конечно, для большинства из вас минусы корзины не станут причиной отказаться от нее. Однако те, кто хочет получить универсальное решение для всех задач, должны задуматься о каком-то другом варианте. И здесь на сцену выходит Veeam с уже обсуждавшимся ранее Veeam Explorer для Active Directory. Этот инструмент полностью устраняет все ограничения, которые имеет корзина Active Directory. С помощью этой утилиты все объекты Active Directory будут защищены в течение всего срока хранения резервных копий. Ее можно использовать с контроллерами домена с режимом работы леса Windows Server 2003 и выше. Самое главное, что она входит в состав Veeam Backup & Replication, в том числе и в бесплатную редакцию.

Используя совместно Veeam Backup & Replication и Veeam Explorer для Active Directory, вы можете мгновенно восстановить контроллер домена целиком или восстановить отдельные объекты Active Directory: подразделения (OU), учетные записи компьютеров и пользователей вместе с паролями, объекты групповых политик, записи DNS и т. д. Кроме того, запустив Explorer, вы можете легко сравнить объекты в резервной копии с текущими объектами в производственной среде и обнаружить различия, а также выявить измененные атрибуты.

На рисунке ниже приведен пример ситуации, когда администратор обнаружил изменение атрибутов учетной записи пользователя и должен восстановить ее исходное состояние.

Рис. 4. Восстановление измененных объектов Active Directory

В любом случае, если вы заранее позаботитесь об устранении последствий возможных сбоев Active Directory и протестируете различные инструменты для решения этой задачи, в дальнейшем вы сможете спать спокойно.

Надеюсь, эта серия статей заставила вас задуматься о том, как улучшить стратегию защиты Active Directory. Приглашаю вас к дальнейшему обсуждению этой темы в комментариях.

Также вас может  заинтересовать:

• Статья Восстановление объектов Active Directory
• Подробная информация о Veeam Explorer для Microsoft Active Directory