Jak odzyskać utracone obiekty AD – cz.2 tombstone

Ostatnio odzyskiwaliśmy utracone obiekty usługi katalogowej przy użyciu kopi zapasowych, a dziś postaram się przestawić jak „wskrzesić” taki „zmarły” obiekt.

Analogicznie do testów tworzymy nowego użytkownika, przypisujemy go do grupy i „przypadkowo” go usuwamy:

NET USER zombie P@ssw0rd /ADD /DOMAIN /COMMENT:"I see dead people" /FULLNAME:"Zombie"
NET GROUP "Domain Admins" zombie /ADD /DOMAIN
NET USER zombie /DELETE

Następnie uruchamiamy narzędzie LDP.exe, z menu Connection wybieramy Bind – w przypadku wykonywania tego na kontrolerze domeny możemy użyć domyślnych parametrów połączenia.

Po podłączeniu się poprzez protokuł LDAP do usługi katalogowej z menu View wybieramy pozycję Tree i ustawiamy widok na korzeń naszej domeny.

Po załadowaniu struktury domeny szukamy kontenera Deleted Obcjets. W przypadku gdy nie będzie on dostępny z menu Options wybieramy Controls w celu nałożenia filtru do oglądania „martwych” obiektów. W nowym oknie w części Load Predefined szukamy pozycji Return deleted objects i klikamy OK.

Gdy już jest dostępny kontener Deleted Obcjets, szukamy w nim nasz usunięty obiekt.

W celu odzyskania obiektu klikamy na nim prawym klawiszem i wybieramy Modify. W obszarze Edit Entry wpisujemy atrybut isDeleted, wybieramy operację Delete i poprzez Enter dodajemy ją do listy.

Następnie wpisujemy atrybut distinguishedName w celu zmiany nazwy obiektu i podajemy jej starą wartość CN=zombie,CN=Users,DC=cds,DC=pol z przed usunięcia. Wybieramy operację Replace, zaznaczamy opcję Extended i znów dodajemy do listy operacji. Na koniec uruchamiamy operację klikając w przycisk Run.

W prawej części okna zobaczyć możemy raport z wykonanych operacji.

Metoda ta jest o wiele szybsza niż odzyskiwanie obiektów z backupu niestety ma ona swoje wady. Mianowicie odzyskane tak obiekty charakteryzują się zupełną amnezją, tzn. wszystkie atrybuty jak i powiązania z poszczególnymi grupa zostają skasowane. Wyjątkiem są Object-GUID, Object-SID, Object-Dist-Name i USN. Pozwala to na odzyskanie uprawnień do zasobów, które były przypisane do naszych usuniętych obiektów. Dodatkowo usunięte obiekty (posiadające atrybut isDeleted=True) są dostępne tylko przez domyślnie 180 dni, po upływie tego czasu są usuwane permanentnie ze struktury usługi katalogowej.

Dla ułatwienia możliwe jest użycie narzędzia AdRestore v1.1 wchodzącego w skład pakietu Sysinternals, którego autorem jest Mark Russinovich. Cała procedura odzyskiwania obiektu jest przeprowadzana za nas automatycznie.

adrestore.exe -r

Źródła:
http://technet.microsoft.com/en-us/library/dd379509(WS.10).aspx
http://technet.microsoft.com/en-us/sysinternals/bb963906.aspx

Reklamy

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj / Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj / Zmień )

Zdjęcie na Google+

Komentujesz korzystając z konta Google+. Wyloguj / Zmień )

Connecting to %s