Esporta (0) Stampa
Espandi tutto

Novità di Servizi di dominio Active Directory: Cestino per Active Directory

Aggiornamento: gennaio 2009

Si applica a: Windows Server 2008 R2

Modifiche principali

L'eliminazione accidentale di oggetti Active Directory è un problema comune per gli utenti dei Servizi di dominio Active Directory e Active Directory Lightweight Directory Services.

Nei domini di Active Directory di Windows Server 2008 è possibile ripristinare gli oggetti eliminati accidentalmente utilizzando i backup dei Servizi di dominio Active Directory creati da Windows Server Backup. È possibile utilizzare il comando di ripristino autorevole ntdsutil per contrassegnare gli oggetti come autorevoli, in modo da assicurare che i dati ripristinati vengano replicati nell'intero dominio. La soluzione relativa al ripristino autorevole deve tuttavia essere eseguita nella modalità ripristino servizi directory e ciò costituisce uno svantaggio. In tale modalità, infatti, il controller di dominio da ripristinare deve rimanere offline e non è pertanto in grado di soddisfare le richieste dei client.

In Active Directory di Windows Server 2003 e nei Servizi di dominio Active Directory di Windows Server 2008 è possibile ripristinare gli oggetti Active Directory tramite il recupero degli oggetti contrassegnati per la rimozione. In Windows Server 2003 e Windows Server 2008 un oggetto eliminato di Active Directory non viene immediatamente rimosso fisicamente dal database. Il nome distinto dell'oggetto, viene modificato, la maggior parte degli attributi con valori non di collegamento dell'oggetto viene cancellata, tutti gli attributi con valori di collegamento dell'oggetto vengono rimossi fisicamente e l'oggetto viene spostato in un contenitore speciale nel contesto dei nomi dell'oggetto, denominato Oggetti eliminati. L'oggetto, ora definito come contrassegnato per la rimozione definitiva, diventa invisibile alle operazioni normali della directory. Gli oggetti contrassegnati per la rimozione definitiva possono essere recuperati in qualsiasi momento del periodo di durata per la rimozione definitiva e diventano nuovamente oggetti attivi di Active Directory. La durata predefinita per la rimozione definitiva è pari a 180 giorni in Windows Server 2003 e Windows Server 2008. È possibile utilizzare il recupero degli oggetti contrassegnati per la rimozione per ripristinare gli oggetti eliminati senza portare offline il controller di dominio o l'istanza di Active Directory Lightweight Directory Services. Non è tuttavia possibile ripristinare gli attributi con valori di collegamento degli oggetti recuperati, ad esempio l'appartenenza a gruppi degli account utente, che erano stati rimossi fisicamente e gli attributi con valori non di collegamento cancellati. Gli amministratori non possono pertanto avvalersi del recupero degli oggetti contrassegnati per la rimozione come soluzione ideale per l'eliminazione accidentale degli oggetti.

Il Cestino per Active Directory in Windows Server 2008 R2 si basa sull'infrastruttura esistente del recupero degli oggetti contrassegnati per la rimozione e offre una maggiore capacità di conservare e recuperare gli oggetti Active Directory eliminati accidentalmente. Per ulteriori informazioni sul recupero degli oggetti contrassegnati per la rimozione, vedere Recupero degli oggetti contrassegnati per la rimozione definitiva di Active Directory (http://go.microsoft.com/fwlink/?LinkID=125452).

Il Cestino per Active Directory in Windows Server 2008 R2 riduce al minimo il tempo di inattività del servizio di directory e può essere utilizzato per conservare e ripristinare interamente gli oggetti eliminati accidentalmente di Active Directory, senza dovere ripristinare i dati di Active Directory dai backup, riavviare i Servizi di dominio Active Directory o riavviare i controller di dominio.

Funzioni del Cestino per Active Directory

Quando si attiva il Cestino per Active Directory, vengono mantenuti tutti gli attributi con valori di collegamento e non di collegamento degli oggetti eliminati di Active Directory e gli oggetti vengono interamente ripristinati nello stesso stato logico coerente in cui si trovavano immediatamente prima dell'eliminazione. Gli account utente ripristinati, ad esempio, riottengono automaticamente tutte le appartenenze ai gruppi e i diritti di accesso corrispondenti di cui disponevano all'interno del dominio e tra domini immediatamente prima dell'eliminazione. Il Cestino per Active Directory supporta gli ambienti Servizi di dominio Active Directory e Active Directory Lightweight Directory Services.

Utenti interessati a questa funzionalità

È possibile che i gruppi di utenti seguenti siano interessati al Cestino per Active Directory in Windows Server 2008 R2:

  • Primi utenti di Windows Server 2008 R2 e amministratori di sistema, addetti alla pianificazione e analisti che stanno valutando Windows Server 2008 R2

  • Addetti alla pianificazione IT e progettisti IT dell'organizzazione

  • Responsabili IT che si occupano di gestione della rete e dei server, di budget relativi a IT per hardware e software e di decisioni tecniche

  • Amministratori di Active Directory

Note speciali

  • Per impostazione predefinita, il Cestino per Active Directory è disattivato. Per attivarlo, è innanzitutto necessario aumentare il livello di funzionalità della foresta dell'ambiente Servizi di dominio Active Directory e Active Directory Lightweight Directory Services, portandolo a Windows Server 2008 R2. A tale scopo, è necessario che tutti i controller di dominio della foresta o tutti i server che ospitano istanze dei set di configurazione di Active Directory Lightweight Directory Services eseguano Windows Server 2008 R2.

  • In Windows Server 2008 R2 il processo di attivazione del Cestino per Active Directory è irreversibile. Se si attiva il Cestino per Active Directory nell'ambiente in uso, non sarà più possibile disattivarlo.

Nuove funzionalità offerte dal Cestino per Active Directory

Nel diagramma seguente viene illustrato il ciclo di vita di un nuovo oggetto Active Directory in Windows Server 2008 R2 quando è attivata la funzionalità Cestino per Active Directory.

8eee582d-ce09-4d6b-96f8-b9e79794cc85

Dopo l'attivazione del Cestino per Active Directory in Windows Server 2008 R2, quando un oggetto Active Directory viene eliminato il sistema conserva tutti gli attributi con valori di collegamento e non di collegamento dell'oggetto e l'oggetto viene considerato eliminato a livello logico. Questo è un nuovo stato introdotto in Windows Server 2008 R2. Un oggetto eliminato viene spostato nel contenitore Oggetti eliminati e il nome distinto dell'oggetto viene modificato. L'oggetto eliminato rimane nel contenitore Oggetti eliminati con stato di eliminazione a livello logico per l'intera durata del ciclo di vita dell'oggetto eliminato.

Il ciclo di vita dell'oggetto eliminato viene determinato dal valore dell'attributo msDS-deletedObjectLifetime. La durata per la rimozione definitiva viene determinata dal valore dell'attributo tombstoneLifetime. Per impostazione predefinita, l'attributo msDS-deletedObjectLifetime è impostato su null. Quando msDS-deletedObjectLifetime è impostato su null, il ciclo di vita dell'oggetto eliminato viene impostato sul valore della durata per la rimozione definitiva. Per impostazione predefinita, anche l'attributo tombstoneLifetime è impostato su null. Quando tombstoneLifetime è impostato su null, per la durata per la rimozione definitiva viene utilizzato il valore predefinito pari a 180 giorni. È possibile modificare i valori degli attributi msDS-deletedObjectLifetime e tombstoneLifetime in qualsiasi momento. Se si imposta msDS-deletedObjectLife su un valore diverso da null, tale attributo non utilizzerà più il valore dell'attributo tombstoneLifetime.

Entro la durata del ciclo di vita dell'oggetto eliminato, tale oggetto può essere recuperato e può tornare a essere un oggetto attivo di Active Directory. Al termine del ciclo di vita dell'oggetto eliminato, l'oggetto eliminato a livello logico viene trasformato in oggetto riciclato e perde la maggior parte degli attributi.

noteNota
Per impostazione predefinita, un oggetto riciclato di Windows Server 2008 R2 conserva lo stesso insieme di attributi di un oggetto contrassegnato per la rimozione definitiva di Windows Server 2003 e Windows Server 2008. Per modificare l'insieme di attributi conservati per un oggetto riciclato di Windows Server 2008 R2, ovvero per assicurarsi che un attributo specifico di un oggetto venga conservato quando tale oggetto diventa riciclato, impostare il valore di searchFlags per tale attributo nello schema su 0x00000008. Questo processo è analogo a quello per la conservazione degli attributi degli oggetti contrassegnati per la rimozione definitiva in Windows Server 2003 e Windows Server 2008. Per ulteriori informazioni, vedere la pagina relativa all'attributo Search-Flags (http://go.microsoft.com/fwlink/?LinkID=125453).

Quando un oggetto eliminato di Active Directory si trasforma in un oggetto riciclato, non è più possibile ripristinarlo. Si tratta di un comportamento nuovo per Windows Server 2008 R2. L'oggetto riciclato rimane nel contenitore Oggetti eliminati fino al termine della durata per la rimozione definitiva.

noteNota
Per impostazione predefinita, se gli ambienti Servizi di dominio Active Directory o Active Directory Lightweight Directory Services sono stati creati eseguendo installazioni pulite di Windows Server 2008 R2, la durata per la rimozione definitiva è impostata su 180 giorni.

Al termine della durata per la rimozione definitiva, il processo di Garbage Collection elimina fisicamente l'oggetto riciclato di Active Directory dal database.

Dipendenze

Per impostazione predefinita, il Cestino per Active Directory è disattivato in Windows Server 2008 R2. Per attivarlo, è innanzitutto necessario aumentare il livello di funzionalità della foresta dell'ambiente Servizi di dominio Active Directory e Active Directory Lightweight Directory Services, portandolo a Windows Server 2008 R2. A tale scopo, è necessario che tutti i controller di dominio della foresta o tutti i server che ospitano istanze dei set di configurazione di Active Directory Lightweight Directory Services eseguano Windows Server 2008 R2.

Preparazione alla distribuzione del Cestino di Active Directory

Per attivare il Cestino per Active Directory nell'ambiente Servizi di dominio Active Directory, eseguire le operazioni seguenti:

  • Eseguire Adprep per aggiornare lo schema di Active Directory con gli attributi necessari del Cestino per Active Directory. Per completare le attività seguenti di Adprep, è necessaria almeno l'appartenenza al gruppo Schema Admins.

    noteNota
    Se si esegue un'installazione pulita di una foresta di Active Directory in Windows Server 2008 R2, non è necessario eseguire Adprep. Lo schema di Active Directory includerà inoltre automaticamente tutti gli attributi necessari per il corretto funzionamento del Cestino per Active Directory. Se tuttavia si introduce un controller di dominio di Windows Server 2008 R2 nella foresta esistente di Windows Server 2003 o Windows Server 2008 e quindi si aggiornano gli altri controller di dominio a Windows Server 2008 R2, è necessario eseguire Adprep per aggiornare lo schema di Active Directory con gli attributi necessari per il corretto funzionamento del Cestino per Active Directory.

    • Preparare la foresta, eseguendo il comando adprep /forestprep sul server che contiene il ruolo di master operazioni schema, noto anche come FSMO (Flexible Single Master Operation), per aggiornare lo schema.

    • Preparare il dominio, eseguendo il comando adprep /domainprep /gpprep nel server che contiene il ruolo di master infrastrutture per le operazioni infrastrutture.

    • Se nell'ambiente Servizi di dominio Active Directory è presente un controller di dominio di sola lettura, è inoltre necessario eseguire il comando adprep /rodcprep.

  • Verificare che tutti i controller di dominio della foresta di Active Directory eseguano Windows Server 2008 R2.

  • Aumentare il livello di funzionalità della foresta di Active Directory, portandolo a Windows Server 2008 R2.

Per attivare il Cestino per Active Directory nell'ambiente Active Directory Lightweight Directory Services, eseguire le operazioni seguenti:

  • Aggiornare lo schema del set di configurazione di Active Directory Lightweight Directory Services con gli attributi necessari del Cestino per Active Directory, utilizzando il comando ldifde -$ per importare il file MS-ADAM-Upgrade-2.ldf.

  • Verificare che tutti i server che ospitano istanze del set di configurazione di Active Directory Lightweight Directory Services eseguano Windows Server 2008 R2.

  • Aumentare il livello di funzionalità del set di configurazione di Active Directory Lightweight Directory Services, portandolo a Windows Server 2008 R2.

Edizioni che includono il Cestino per Active Directory

Il Cestino per Active Directory è disponibile nelle edizioni seguenti di Windows Server 2008 R2:

  • Windows Server 2008 R2 Standard

  • Windows Server 2008 R2 Enterprise

  • Windows Server 2008 R2 Datacenter

Il Cestino per Active Directory non è disponibile nelle edizioni seguenti di Windows Server 2008 R2:

  • Windows Server 2008 R2 per sistemi basati su Itanium

  • Windows Web Server 2008 R2

Ulteriori riferimenti

Per informazioni sulla procedura di attivazione del Cestino per Active Directory in Windows Server 2008 R2, vedere la Guida dettagliata sul Cestino per Active Directory (http://go.microsoft.com/fwlink/?LinkId=133971).

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

AGGIUNGI
Mostra:
© 2015 Microsoft