Odzyskiwanie usuniętych obiektów Active Directory w Windows Server 2008

Opublikowano: 29 stycznia 2008
Autor: Paweł Weichbroth

Zawartość strony

	Wstęp
	Typy obiektów
	Jak Active Directory przechowuje usunięte elementy?
	Wyszukiwanie obiektów typu tombstone
	Stworzenie i usunięcie konta dla użytkownika
	Odzyskanie usuniętego obiektu w Active Directory
	Weryfikowanie wyników zapytania ldp
	Odzyskiwanie usuniętych obiektów bazy Active Directory
	Wykorzystanie ldp do przywrócenia obiektu
	Wykorzystanie narzędzia adrestore do przywracania usuniętych obiektów
	Podsumowanie

Wstęp

Odzyskiwanie danych nie należy do rutynowych czynności administratora sieci komputerowej danej organizacji. Plan wykonywanych kopii zapasowych oraz staranność ich wykonywania świadczy o stopniu zabezpieczenia danych przed ich utratą wskutek awarii. Sytuację przypadkowego usunięcia obiektu w katalogu Active Directory można rozwiązać, nie uciekając się do całkowitego odzyskiwania bazy danych. Niniejszy artykuł traktuje, w jaki sposób przy wykorzystaniu narzędzi ldp oraz adrestore można przywrócić omyłkowo usunięty obiekt w usłudze Active Directory.

 Do początku strony

Typy obiektów

Active Directory jest rozszerzalną i skalowalną usługą katalogową, która umożliwia efektywne zarządzanie zasobami sieciowymi. Po raz pierwszy została udostępniona w wersji Windows Server 2000, będąc tym samym najważniejszym powodem migracji z systemu Windows NT 4.0. Pozwala na centralne zarządzanie katalogiem obiektów poprzez przystawkę Active Directory Users and Computers ( patrz rysunek 1.).

Rys. 1. Centralne zarządzanie katalogiem obiektów poprzez przystawkę Active Directory Users and Computers.

Poniżej znajduje się lista dostępnych obiektów oraz ich funkcjonalność.

 Do początku strony

Jak Active Directory przechowuje usunięte elementy?

Po potwierdzeniu usunięcia obiektu z Active Directory, jest on natychmiast kasowany z bazy danych, lecz zostaje oznaczany jako usunięty poprzez zmianę atrybutu isDeleted na wartość TRUE (prawda). Następnie nazwa obiektu zostaje zmieniona zaś pozostałe jego atrybuty zdemontowane.

Obiekt taki umieszczany jest w specjalnym kontenerze nazewniczym Deleted Objects (CN) . Taki obiekt nazywać będziemy z ang. tombstone (nagrobek). Staje się on niewidoczny we wszystkich przystawkach mmc, służących do zarządzania bazą danych, jak również w narzędziach diagnostycznych protokołu LDAP.

Rodzi się więc pytanie: po co Active Directory przechowuje informacje o usuniętych obiektach? Odpowiedź na to pytanie związana jest ze spójnością bazy danych, czyli z procesem replikacji. Aby upewnić się, iż usunięty obiekt zostanie trwale skasowany, tombstone jest replikowany na wszystkie kontrolery domeny.

Active Directory usuwa obiekt z katalogu na prośbę protokołu LDAP lub na żądanie menedżera kont zabezpieczeń (Security Accounts Manager). Ta operacja, nazywana usunięciem początkującym, odróżnia się od operacji przeprowadzanej przez proces replikacji Active Directory. Wyjątek stanowią tutaj obiekty dynamiczne, które posługują się własnym mechanizmem usuwania i są bezpośrednio kasowane przez Active Directory, kiedy ich czas życia (time to live) wygasa .

Kiedy Active Directory otrzymuje polecenie usunięcia obiektu z bazy, wówczas sprawdza, czy wskazany obiekt może być usunięty. Proces ten bada, czy spełnione są następujące warunki:

• Czy wartość atrybutu isDeleted nie posiada wartości TRUE (nie można usunąć obiektu, który został już usunięty),
• Czy flaga deskryptora zabezpieczeń dla zasobów „obiektu prywatnego” nie jest ustawiona (jest to nieudokumentowana cecha obiektu, flaga prywatna obiektu posiada binarną wartość jeden w bajcie Sbz1 w strukturze zabezpieczeń deskryptora),
• Czy bit „disallow delete” (0x80000000) nie jest ustawiony w atrybutach systemFlags dla obiektu,
• Czy atrybut isCriticalSystemObject nie posiada wartości TRUE,
• Czy deskryptor zabezpieczeń dla obiektu zawiera uprawnienia dla użytkownika, aby ten mógł go usunąć (czy użytkownik jest uprawniony do usunięcia obiektu i obiektów mu podrzędnych),
• Czy obiekt nie jest odsyłaczem obiektu objectClass=crossRef dla istniejącej przestrzeni nazewniczej,
• Czy obiekt nie posiada żadnych podrzędnych obiektów (jeżeli operacja usunięcia LDAP odnosi się do całego drzewa, Active Directory usunie wszystkie obiekty podrzędne, za wyjątkiem obiektów, które posiadają atrybut isCriticalSystemObject ustawiony na TRUE, co zapobiega to usunięciu krytycznych obiektów).

Dodatkowo, obok wyżej wymienionych kryteriów, Active Directory musi być w odpowiednim trybie, aby możliwe było przeprowadzenie operacji usunięcia obiektu. Na przykład, jeżeli Active Directory jest w trakcie zmiany nazwy domeny, nie będzie możliwe usunięcie relacji zaufania lub obiektu skrótu (crossRef object).

Jeżeli zostanie już przesądzone, iż obiekt może być usunięty, Active Directory zmienia jego typ na tombstone. W pierwszej kolejności demontuje niepotrzebne atrybuty obiektu, zostawiając tylko te przedstawione poniżej:

Następnie zostaje zmieniona relatywna wyróżniona nazwa (RDN) obiektu na CN=<old RDN>\0ADEL:<objectGUID>, gdzie \OA wskazuje na znak ASCII, zaś <objectGUID> jest to atrybut globalny obiektu objectGUID , wyrażony w postaci łańcucha.

Atrybut lastKnownParent jest określany poprzez nazwę wyróżnioną (DN) kontenera, w którym znajdował się obiekt, zaś atrybut isDeleted jest ustawiany na wartość TRUE. W dalszej kolejności Active Directory usuwa wszystkie przednie oraz wsteczne atrybuty z obiektu. Na końcu, jeżeli atrybut system flag nie posiada ustawionego bitu na „disallow move on delete”, obiekt zostaje przeniesiony do kontenera Obiekty usunięte (CN=Deleted Objects).

W tym miejscu należy zaznaczyć, iż kontener Deleted Objects jest płaski i nie zawiera żadnej hierarchii. Nie spowoduje to konfliktu nazw – nawet wtedy, gdy zostaną usunięte dwa obiekty o identycznych nazwach. Dzieje się tak dlatego, że atrybut objectGUID jest włączany do każdego RDNu obiektu tombstone. Tym samym w przestrzeni kontenera Deleted Objects każdy obiekt ma unikatową nazwę.

Obiekty te nie są zachowywane trwale i ich domyślny czas życia wynosi 60 dni dla lasów pierwotnie utworzonych na poziomie lasu Windows 2000 i Windows 2003 oraz 180 dni dla lasu na poziomie Windows Server 2003 SP1 i Windows 2008.

Parametr ten można zmienić w sekcji CN=Directory Service,CN=Windows NT, CN=Services,CN=Configuration, DC=<root domain> atrybutu tombstoneLifetime , znajdującym się w pliku %systemroot%\system32\schema.ini.

Zawartość sekcji dla wspomnianego atrybutu znajduje się poniżej:

[Directory Service]

...

msDS-Other-Settings=DynamicObjectDefaultTTL=86400

msDS-Other-Settings=DynamicObjectMinTTL=900

msDS-Other-Settings=DisableVLVSupport=0

tombstoneLifetime=180

Każdy kontroler domeny co 12 godzin uruchamia proces zarządzania śmieciami (parametr ten także można zmienić w sekcji CN=Directory Service,CN=Windows NT, CN=Services, CN=Configuration, DC=<root domain> dla atrybutu garbageCollPeriod ), który skanuje wszystkie obiekty typu tombstone na kontrolerze domeny oraz fizycznie usuwa wszystkie dla których czas życia wygasł.

 Do początku strony

Wyszukiwanie obiektów typu tombstone

Program ldp jest narzędziem podobnym do Eksploratora Windows, stworzonym na potrzeby Active Directory, pierwotnie zaprojektowanym przez zespół Active Directory do testowania kodu źródłowego protokołu LDAP. Obecnie jest on składnikiem Support tools rodziny systemów Windows Server, wykorzystywanym do zaawansowanych operacji na katalogu AD.

Pomimo iż obiekty typu tombstone są niewidoczne w normalnym katalogu, można je znaleźć przy pomocy rozszerzenia Controls opcji Search dostępnego w ldp (rysunek 2.).

Rys. 2. Szukanie obiktów typu tombstone przy pomocy rozszerzenia Controls.

Jest to mechanizm, zdefiniowany w standardzie LDAP, wykorzystywany do rozszerzenia funkcjonalności protokołu w taki sposób, aby był zgodny z dostawcami firm trzecich. Active Directory wspiera 22 kontrolki, m.in. kontrolkę Return Deleted Objects, która po wykonaniu zapytania zwróci obiekty usunięte.

 Do początku strony

Stworzenie i usunięcie konta dla użytkownika

Dla prezentacji wyżej omówionej procedury zostanie utworzone konto użytkownika Jan Kowalski (CN=Jan Kowalski, CN=Users, DC=contoso, DC=local). W celu wykonania powyższej operacji posłużono się przystawką Active Directory Users and Computers (ADUC) (rysunek 3.).

Rys. 3. Stworzenie konta dla użytkownika.

Następnie konto dla wspomnianego użytkownika zostaje usunięte z katalogu Active Directory.

 Do początku strony

Odzyskanie usuniętego obiektu w Active Directory

Po wykonaniu operacji usunięcia obiektu należy uruchomić program ldp w celu wyświetlenia obiektu tombstone dla konta użytkownika. Pierwszymi krokami są podłączenie się do właściwego kontrolera domeny i uwierzytelnienie przy pomocy konta administratora. W tym celu należy wybrać Connect z menu Connection . Jeżeli praca odbywa się lokalnie, wystarczy kliknąć OK , aby podłączyć się do lokalnego kontrolera domeny. W sytuacji, kiedy praca odbywa się zdalnie, należy podać nazwę kontrolera domeny, do jakiego chcemy się podłączyć. Po pomyślnym podłączeniu ldp wyświetli atrybuty konfiguracji domeny (rootDSE) ( patrz rysunek 4.).

Rys. 4. Atrybuty konfiguracji domeny (rootDSE).

Aby dokonać uwierzytelnienia na kontrolerze domeny przy pomocy konta administratora, należy wybrać Bind z menu Connection . Jeżeli praca odbywa się na koncie Administratora należącego do grupy Enterprise Admins (domyślnie użytkownicy należący do grupy Administratorów domeny oraz przedsiębiorstwa mają uprawnienia do wyświetlenia i przywrócenia obiektów znajdujących się w kontenerze CN=Deleted Objects), wystarczy w menu kontekstowym pozostawić pola username i password puste i kliknąć OK. W przypadku pracy na innym koncie, podanie nazwy użytkownika i hasła jest konieczne.

W kolejnym kroku należy wyświetlić zawartość kontenera w domenie CN=Deleted Objects, DC=contoso, DC=local. Jak można zauważyć, po wybraniu opcji Tree z menu View kontener ten jest niewidoczny (rysunek 5).

Rys. 5. Uwierzytelnienia na kontrolerze domeny przy pomocy konta administratora.

Jedynym sposobem jest użycie kontrolki LDAP Return Deleted Objects. W tym celu należy z menu Browse wybrać opcję Search . Pole Base Dn pozwala na określenie, w którym miejscu drzewa katalogu ma się rozpocząć wyszukiwanie. Należy wprowadzić nazwę kontenera Deleted Objects oraz składowe domeny DC=contoso,DC=local. Aby ograniczyć wyniki wyszukiwania do kont użytkowników, w polu Filter należy wprowadzić nazwę obiektu user . Dostępne są trzy możliwe opcje dla zakresu wyszukiwania: Base zwróci tylko obiekty określone w polu Base Dd, One Level zwróci obiekty bezpośrednio podrzędne w stosunku do obiektu określonego w polu Base Dn, zaś opcja Subtree zwróci wszystkie obiekty podrzędne w stosunku do Base Dn. Ze względu na płaską strukturę kontenera CN=Deleted Objects, zaznaczona została opcja One level - tak, aby zapytanie zwróciło wszystkie obiekty tombstone. W polu Attributes (atrybuty) należy wprowadzić znak *, aby wyświetlić wszystkie atrybuty, nie ograniczając się tylko do domyślnych protokołu LDAP (rysunek 6.).

Rys. 6. Zaznaczenie opcji One level tak, aby zapytanie zwróciło wszystkie obiekty tombstone.

Zdefiniowane tak zapytanie zwróci błąd – kontener CN=Deleted Objects, DC=contoso, DC=local nie istnieje. Aby rozwiązać ten problem, należy zaznaczyć Options i wybrać z Search Call Type opcję Extended (rysunek 7.).

Rys. 7. Zaznaczenie Options i wybranie z Search Call Type opcji Extended.

Następnie, aby dodać kontrolkę Return Deleted Objects LDAP , należy kliknąć Controls i wybrać ją z listy Load Predefined (rysunek 8.).

Rys. 8. Kliknięcie Controls i wybranie jej z listy Load Predefined.

Okno dialogowe posiada szczególne właściwości, gdyż nawet jeżeli pojawi się identyfikator obiektu (1.2.840.113556.1.4.417), nie do końca oznacza to, iż kontrolka zadziała. Warto upewnić się, klikając przycisk Check Out i następnie Check in .

Następnie klikamy OK w obydwu okienkach i Run w celu uruchomienia kwerendy. Wynik poszukiwania obiektów tombstone dla klasy użytkowników przedstawia rysunek 9.

Rys. 9. Wynik poszukiwania obiektów tombstone dla klasy użytkowników.

 Do początku strony

Weryfikowanie wyników zapytania ldp

Zapytanie do bazy Active Directory zwróciło dwa obiekty typu tombstone. Nazwa względna (DN) pierwszego obiektu to Dn: CN=Jan Kowalski\0ADEL:3ccb41b4-1cb5-4969-aeb8-aa38160b4314,CN=Deleted Objects,DC=contoso,DC=local, zaś atrybut objectGUID jest reprezentowany przez łańcuch 3ccb41b4-1cb5-4969-aeb8-aa38160b4314 . Wartość TRUE dla atrybutu isDeleted świadczy o tym, iż obiekt został usunięty. Warty uwagi jest fakt, iż wartość atrybutu ObjectSid została oryginalnie zachowana, co jest ważne w celu odzyskiwania kont użytkowników oraz grup. Wartość atrybutu lastKnownParent jest nie mniej ważna, gdyż reprezentuje lokalizację obiektu w bazie danych.

W powyższym przykładzie zapytanie ldp zwróciło dwa obiekty tombstone, obydwa dla konta użytkownika Jan Kowalski. Jest to wynik poprawny, gdyż wcześniej zostało utworzone konto dla identycznego użytkownika - i ono także zostało usunięte. Można zauważyć, iż są to unikatowe obiekty, różniące się wartością atrybutu objectGUID. Z tego powodu można je odzyskać niezależnie od siebie.

 Do początku strony

Odzyskiwanie usuniętych obiektów bazy Active Directory

Active Directory posiada zaimplementowany mechanizm odzyskiwania usuniętych obiektów, analogiczny do polecenia undelete znanego z systemów operacyjnych. Składają się na niego dwie modyfikacje obiektu tombstone: należy zmienić wartość atrybutu isDeleted (nie wystarczy zmienić jego wartości na FALSE) i należy go przenieść do innego kontenera poprzez zmianę atrybutu distinguishedName . Nowo nadana nazwa względna DN przeważnie wykorzystuje atrybut lastKnownParent jako kontener i przechowuje ten sam RDN, odejmując od niego komponent \0ADEL:<objectGUID> , który Active Directory dodaje, kiedy tworzy obiekt tombstone.

Przed odtworzeniem usuniętego obiektu Active Directory sprawdza, czy zalogowany użytkownik posiada odpowiednie uprawnienia zapisane w nagłówku danego obiektu (dany użytkownik nie może odzyskać własnego konta). Następnie sprawdzana jest wartość atrybutu isDeleted, która musi posiadać wartość TRUE, oraz deskryptor zabezpieczeń identyfikatora, którego SID musi zawierać SID domeny z lasu lub domeny zaufanej.

Jeżeli obiekt znajduje się w przestrzeni nazewniczej konfiguracji lub schematu, wówczas bity w flagach FLAG_CONFIG_ALLOW_RENAME oraz FLAG_ CONFIG_ALLOW_MOVE muszą być ustawione na wartość atrybutu systemFlags danego obiektu. W przypadku obiektu z ustawioną flagą FLAG_CONFIG_ALLOW_LIMITED_MOVE możliwe jest wyłącznie przeniesienie do kontenera, który posiada taki sam obiekt nadrzędny drugiego poziomu (grandparent). Jeżeli obiekt należał do przestrzeni nazewniczej domeny lub aplikacji, to bity flag FLAG_DOMAIN_DISALLOW_RENAME i FLAG_DOMAIN_DISALLOW_MOVE nie powinny być ustawione.

Jak wcześniej wspomniano, użytkownik musi posiadać uprawnienia w deskryptorze zabezpieczeń, aby być w stanie zmodyfikować względną nazwę wyróżnioną RDN oraz dodać obiekt do nowego kontenera. Kontener taki musi być nadrzędny w stosunku do obiektu tombstone w schemacie katalogu. Pomimo tego, iż przenoszenie z i do kontenera systemowego jest niedozwolone (chyba, że wpis Unlock system subtree jest niezerowy), to odzyskiwanie obiektu do kontenera System jest dozwolone. Nie jest możliwe usunięcie obiektu ze schematu (możliwa jest tylko jego dezaktywacja) - tym samym nie ma również możliwości jego odzyskania.

Jeżeli wszystkie powyższe warunki zostały spełnione, Active Directory wykona następujące kroki w celu odzyskania wskazanego obiektu:

• Zmiana wartości atrybutu isDeleted ,
• Ustawienie wartości atrybutu objectCategory ,
• Ustawienie nowej wartości RDN w odniesieniu do nowego kontenera nadrzędnego.

Przywrócony obiekt będzie posiadał atrybuty objectGUID oraz objectSid identyczne jak przed usunięciem. Oznacza to, iż zewnętrzne odwołania do obiektu, takie jak kontrolne listy dostępu (ACL), będą posiadały właściwe odwołania. Odzyskany obiekt w Active Directory zachowuje się i wygląda identycznie jak przed usunięciem, za wyjątkiem tych atrybutów, które nie zostały zachowane w tombstone.

 Do początku strony

Wykorzystanie ldp do przywrócenia obiektu

Aby odzyskać obiekt CN=Jan Kowalski należy:

1. Podłączyć się do kontrolera domeny w programie ldp, z menu View wybrać Tree i jako Base DN określić domenę, w której chcemy przywrócić obiekt (DC=contoso,DC=local). Rozwijamy ją i przechodzimy do kontenera Deleted Objects . Ustawiamy się na obiekcie, który chcemy przywrócić, po czym z menu podręcznego wybieramy Copy DN .
2. Z menu Browse wybieramy opcję Modify . W polu DN należy wkleić wartość wcześniej skopiowaną (CN=Jan Kowalski\0ADEL:3ccb41b4-1cb5-4969-aeb8-aa38160b4314,CN=Deleted Objects,DC=contoso,DC=local). W polu Edit Entry należy dla Attribute wpisać isDeleted , zaznaczyć opcję Delete oraz potwierdzić klikając Enter . Ponownie w polu Edit Entry wpisać dla Attribute distinguishedName oraz dla Values CN=Jan Kowalski,CN=Users,DC=Contoso,DC=local, zaznaczyć opcję Replace i potwierdzić klikając Enter (rysunek 10.).

Rys. 10. Wykorzystanie ldp do przywrócenia obiektu.

Na wyjściu programu ldp (prawe okienko) powinien pojawić się komunikat:

***Call Modify...

ldap_modify_ext_s(ld, 'CN=Jan Kowalski\0ADEL:3ccb41b4-1cb5-4969-aeb8-aa38160b4314,CN=Deleted Objects,DC=contoso,DC=local',[2] attrs, SvrCtrls, ClntCtrls);

Modified "CN=Jan Kowalski\0ADEL:3ccb41b4-1cb5-4969-aeb8-aa38160b4314,CN=Deleted Objects,DC=contoso,DC=local".

Po odświeżeniu w zakładce ADUC pojawił się usunięty obiekt – konto użytkownika Jan Kowalski (rysunek 11.).

Rys. 11. Pojawienie się usuniętego obiektu w zakładce ADUC.

 Do początku strony

Wykorzystanie narzędzia adrestore do przywracania usuniętych obiektów

Firma Sysinternals, będąca obecnie częścią firmy Microsoft, opracowała narzędzie linii poleceń adrestore ( https://microsoft.com/technet/sysinternals/utilities/AdRestore.mspx ), które w istotny sposób upraszcza odzyskiwanie usuniętych obiektów z bazy danych Active Directory. Narzędzie to pracuje w dwóch trybach. Pierwszy po wydaniu polecenia wyświetli wszystkie obiekty typu tombstone z kontenera DN=Deleted Objects w postaci:

Enumerating domain deleted objects:



cn: Jan Kowalski

DEL:3ccb41b4-1cb5-4969-aeb8-aa38160b4314

distinguishedName: CN=Jan Kowalski\0ADEL:3ccb41b4-1cb5-4969-aeb8-aa38160b4314,CN

=Deleted Objects,DC=contoso,DC=local

lastKnownParent: CN=Users,DC=contoso,DC=local



cn: Jan Kowalski

DEL:80431d19-f59f-4b17-a9fe-d91162b116e5

distinguishedName: CN=Jan Kowalski\0ADEL:80431d19-f59f-4b17-a9fe-d91162b116e5,CN

=Deleted Objects,DC=contoso,DC=local

lastKnownParent: CN=Users,DC=contoso,DC=local



Found 2 items matching search criteria.

Drugi tryb adrestore to tryb odzyskiwania obiektów typu tombstone. Aby odzyskać usunięty obiekt, należy posłużyć się parametrem –r. Program za każdym razem będzie działał interakcyjnie w taki sposób, aby użytkownik potwierdził odzyskanie danego obiektu. Przykład odzyskania obiektu dla konta użytkownika Jan znajduje się poniżej:

adrestore –r  Jan

Enumerating domain deleted objects:



cn: Jan Kowalski

DEL:3ccb41b4-1cb5-4969-aeb8-aa38160b4314

distinguishedName: CN=Jan Kowalski\0ADEL:3ccb41b4-1cb5-4969-aeb8-aa38160b4314,CN

=Deleted Objects,DC=contoso,DC=local

lastKnownParent: CN=Users,DC=contoso,DC=local



Do you want to restore this object (y/n)? y



Restore succeeded.



cn: Jan Kowalski

DEL:80431d19-f59f-4b17-a9fe-d91162b116e5

distinguishedName: CN=Jan Kowalski\0ADEL:80431d19-f59f-4b17-a9fe-d91162b116e5,CN

=Deleted Objects,DC=contoso,DC=local

lastKnownParent: CN=Users,DC=contoso,DC=local



Do you want to restore this object (y/n)? n



Found 2 items matching search criteria.

 Do początku strony

Podsumowanie

Funkcjonalność lasu na poziomie Windows Server 2003 wzwyż udostępnia możliwość odzyskania usuniętych obiektów z bazy danych Active Directory, bez uciekania się do trybu autorytatywnego. Opisane w artykule obydwa bezpłatne narzędzia bardzo dobrze spełniają swoją rolę w stosunku do usługi Active Directory w najnowszej wersji systemu operacyjnego Windows Server 2008.

Paweł Weichbroth (Combidata Poland) Z wykształcenia statystyk, absolwent Uniwersytetu Gdańskiego. Obecnie pracuje w charakterze wykładowcy w Combidata Poland. Brał udział w wielu wdrożeniach opartych na platformie Windows Server 2000/ 2003, ekspert systemu Nowa Księga Wieczysta. Posiada certyfikaty firmy Microsoft MCSE+M, MCSE+S i MCT. W wolnym czasie uprawia sport: koszykówkę i tenis ziemny.

Do początku strony