Instantània Active Directory

Les instantànies d’Active Directory ens permeten disposar d’una foto en el temps consultable de la seva configuració. M’explico amb un exemple, suposem que disposem d’un Active Directory amb els seus usuaris i grups. Resulta que un administrador, o tu mateix, t’has dedicat a reassignar usuaris a grups de seguretat. I arriba el dia menys esperat en què un usuari et diu que no té accés allí on havia de tenir accés. Com sabem en quins grups de seguretat pertanyia aquest usuari per poder tornar a afegir-lo? Amb la instantània d’Active Directory. No és una operació habitual, però ens pot salvar d’un que altre ensurt. Tampoc és una operació complicada que diguem, pel que el seu ús és recomanable. Això si, a partir de Windows 2008 R2 amb Service Pack 1.

Crear i muntar la instantània Active Directory

Des d’un controlador d’Active Directory amb els permisos d’Administrador de domini, obrir una consola de sistema. Botó dret damunt el símbol de Windows, clicar a Símbol de sistema (administrador).

S’inicia la consola de sistema, per les operacions amb l’Active Directory s’utilitza l’eina ntdsutil. Molt coneguda per fer les neteges del propi Active Directory, sobretot de servidor “desapareguts en combat”. Escriure per iniciar-la:

ntdsutil

Apareix el símbol de comandes ntdsutil: on s’executen les comandes relacionades. Entrem a l’apartat de gestió de instantànies, escriure:

snapshot

El símbol de comandes canvia de context a instantània:. Cal seleccionar la instància a la que li volem fer. Si es tracta del propi Active Directory de producció, executar la següent instrucció on el paràmetre ntds fa referència al productiu:

activate instance ntds

Crear la instantània:

 create

El sistema genera una instantània de l’Active Directory assignant-li un número identificatiu aleatori. Per veure les instantànies que disposa el servidor:

list all

Ens salva la data i hora per poder identificar quan es va fer la instantània. Quedeu-vos amb el número GUID (el llarg) que se li assigna a cada instància, ja què és el que necessitem per poder muntar o esborrar la instantània.

Podem comprovar les instantànies que hi ha muntades actualment amb la comanda:

list mounted

Fem una mica el destraler, eliminant la pertinença al grup de seguretat (LOPD) d’un usuari de l’Active Directory (Núria).

Com podem tornar a saber a quins grups de seguretat pertanyia aquest usuari?

Tornant al símbol de comandes amb l’eina NTDSUTIL en el context d’instantània, tenint localitzat l’identificador (el número llarg) de la que es vol muntar, en el meu exemple:

mount {88569c58-f9b2-45cf-9501-5c257e55971b}

El sistema indica on es munta la instantània dins el sistema de fitxers. Obrir l’explorador de Windows, on a l’arrel de les unitats trobem la instantània muntada, sota el nom $SANP_….

Accedir a la carpeta de la instantània, dins el directori Windows\NTDS (o el què correspongui on hi hagi l’Active Directory), per localitzar el fitxer ntds.dit. Botó dret del ratolí prement la tecla Shift. Del menú contextual, clicar a copiar com a ruta d’accés.

Obrir una nova consola de símbol de sistema. Aquest cop s’utilitza l’eina DSAMAIN per carregar (enganxar la ruta que s’ha copiat abans del fitxer ntds.dit) i donar servei de l’Active Directory de la instantània, per un altre port a l’habitual (per exemple, el 10389).

dsamain -dbpath "C:\$SNAP_201505301044_VOLUMEC$\Windows\NTDS\ntds.dit" -ldapport 10389

Es carrega l’Active Directory en el port especificat. No tancar aquesta finestra de la consola.

Accedir a l’administrador d’usuaris i equips d’Active Directory. Botó dret damunt la branca arrel, Usuaris i equips d’Active Directory… que indica el servidor on s’ha connectat. Clicar l’opció Canviar el controlador de domini.

Es visualitzen els controladors que formen part de l’Active Directory. Seleccionar l’opció Aquest controlador de domini o instància de AD LDS. I, en la primera fila de la llista, escriure el nom del servidor seguit de dos punts i el port que s’ha especificat en la instrucció anterior dsamain. En el meu exemple: srvDC:10389. Després d’introduir el nom del servidor es comprova l’estat d’aquest, si no és correcte no podrem continuar.

Esperar que l’estat del servidor estigui en línia i clicar el botó Acceptar.

Obtenim els usuaris i equips de l’Active Directory de la instantània.

Comprovem la pertinença a grups de seguretat de l’usuari Núria, on es visualitza el grup LOPD.

Volià, ja hem obtingut les dades que buscàvem, prendre nota per fer les modificacions corresponents a l’Active Directory “real”.

Per cert, es pot programar al controlador d’Active Directory perquè de quan en quan faci una instantània automàticament, la comanda a introduir al programador de tasques seria:

ntdsutil "activate instance NTDS" snapshot create quit quit

Desmuntant la instantània Active Directory

Per desconnectar la instantània, botó dret damunt de Usuaris i equips d’Active Directory i clicar canviar controlador de domini, per tornar-se a connectar a un controlador d’Active Directory i no a la instantània.

De la llista de servidor, seleccionar Qualsevol controlador de domini i clicar el botó Acceptar.

Per veure que no hi ha trampes, es carrega l’Active Directory d’un controlador. Si es comprova de nou la pertinença a grups de seguretat de l’usuari Núria, no apareix el grup LOPD, ja què és del que s’havia eliminat.

Tornant a la consola de sistema on s’executa DSADMAIN, fer un Control + C per cancel·lar el muntatge de la instantània de l’Active Directory.

Tornant a la consola de sistema on s’executa NTDSUTIL, comprovar les instantànies muntades:

list mounted

Desmuntar la instantània, indicant el número d’ordre pel que està muntada:

unmount 1

Si es comprova l’explorador de Windows, ja no apareix la carpeta amb la instantània d’Active Directory.

Esborrar la instantània Active Directory, indicant el número d’ordre de la instantània:

list all

delete 6

Per sortir de NTDSUTIL, escriure quit fins arribar al símbol del sistema:

instantània: quit
ntdsutil: quit

Recuperar objectes Active Directory esborrats

La instantània, com a tal, no serveix per recuperar objectes esborrats de l’Active Directory. Recordo que aquesta opció permet veure l’estat de l’Active Directory en un moment donat, per exemple la pertinença a grups de seguretat, valors, atributs, etc… en què no s’ha esborrat cap objecte, sinó que només ha canviat la seva configuració.

Però també s’ha de dir que existeixen eines que a partir de la instantània poden recuperar objectes, com pot ser LDAP o ADRESTORE on no és massa trivial fer-ho que diguem. Per anar ràpids, en cas d’esborrar accidentalment un usuari, recomano l´activació i ús de la paperera d’Active Directory. El temps de vida per defecte d’un objecte dins la paperera és de 180 dies, si ens passem, haurem de tirar de còpia de seguretat. Aquest temps és suficient per recuperar elements accidentats. No obstant, es pot modificar editant la propietat:

Canviar els dies de permanència d’un objecte a la paperera Active Directory

Botó dret damunt el símbol de Windows, clicar a Executar.

Escriure la instrucció: ldp.exe i clicar el botó Acceptar.

S’inicia l’aplicació, en el menú clicar a Connexió i Enllaçar per carregar l’Active Directory actual.

En les opcions de connexió, si es fa amb un Administrador de domini, es poden deixar per defecte. Si l’usuari actual no pot modificar l’Active Directory, cal canviar a un usuari que si tingui els permisos adequats. Clicar el botó Acceptar.

Carregar l’arbre de configuració, en el menú, clicar a Veure > Arbre.

En el DN base per carregar l’arbre seleccionar CN=Configuration,…. , clicar el botó Acceptar.

Amb l’arbre carregat al panell esquerra, localitzar la clau CN=Services > CN=Windows NT > CN=Directory Service, (l’adreça DN correspon a: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration), botó dret damunt d’aquest i clicar l’opció Modificar.

En l’apartat d’Editar entrada, indicar com:

Atribut: msDS-DeletedObjectLifeTime
Valor, el número de dies que es vol mantenir l’element a la paperera, sent 3 el mínim.

En l’apartat d’operació, seleccionar Reemplaçar. Clicar el botó Entrar i el botó Executar.

Clicar el botó Tancar per tornar a l’aplicació. Per comprovar el valor establert, en el menú, clicar a Examinar > Buscar.

Com a DN base, introduir la ruta DN de la configuració del servei d’Active Directory, per exemple: CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=domini,DC=com. Recordeu canviar el nom del domini i el .com pel correcte. A l’apartat d’atributs, indicar: msDS-DeletedObjectLifeTime. Clicar el botó Executar.

En l’apartat de resultats, es pot observar el valor que disposa l’atribut, en aquest cas 360 dies.

Recuperar un usuari de la paperera d’Active Directory

Des de l’Administrador del servidor, clicar al menú superior Eines i seleccionar Centre d’administració d’Active Directory.

Des del Centre d’administració d’Active Directory, clicar damunt el nom del domini. En cas que el domini sigui Windows 2008 R2 o superior, a la part dreta de gestió de tasques, hi ha la possibilitat d’habilitar la paperera de reciclatge, si no ho està.

Permetent visualitzar una branca (Deleted Objects) on s’ubiquen els objectes esborrats. Clicant damunt el grup es veuen aquests objectes en qüestió. En l’exemple, apareix un usuari “Pepito” que s’ha esborrat expressament. Seleccionar-lo i, a la banda dreta de tasques, se’ns permet recuperar-lo. Clicar l’opció Recuperar.

Així de fàcil. A què espereu en habilitar aquestes opcions? No tenen massa complicació fer-ho i te’n recordes d’elles quan ja és massa tard.

T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!

Crear i muntar la instantània Active Directory

Desmuntant la instantània Active Directory

Recuperar objectes Active Directory esborrats

Canviar els dies de permanència d’un objecte a la paperera Active Directory

Recuperar un usuari de la paperera d’Active Directory

Similar Posts by The Author:

Compartir: