Backup / Logging - Active Directory

Question

Backup / Logging - Active Directory

#1 resposta do (2 votos)
#2 resposta do (1 votos)
#3 resposta do (0 votos)
#4 resposta do (0 votos)

1

Ei, estou usando o Active Directory em uma rede com cerca de 150 usuários, todos os membros de grupos diferentes com políticas diferentes etc. seria um grande problema para a nossa rede se, e. por engano um administrador um dia apagou todos os usuários ou todos os grupos ...

Algum de vocês sabe de alguma forma que você pode obter o AD para criar logs de seus usuários e grupos atuais? Eu não suponho que isso possa criar um backup, mas apenas um formulário de texto seria pelo menos alguma forma de conforto, para que pudéssemos ver como ele estava '.

active-directory user

por Allan Pedersen 02.05.2012 / 15:48

4 respostas

Tags active-directory user

Executando ps com cláusulas como AND em vez de OR Como instalar silenciosamente / autônomo o JavaEE no Linux?

score 2 · Answer 1

A execução do AD sem backups confiáveis é um Lance Limite de Carreira garantido.

Você poderia usar uma ferramenta como ldifde ( doc ) ou csvde ( doc ) para despejar objetos do AD, mas isso realmente venceu t ser adequado para recuperar de uma falha grave ou supressão. Nesses casos, você precisa ter um backup confiável do ambiente do Active Directory e talvez seja necessário executar uma operação chamada de restauração autoritativa.

A Microsoft tem muita documentação sobre backup e recuperação do Active Directory , que você deve ler e entender se você é responsável por manter o AD em sua organização. A partir do Server 2008, a Microsoft inclui o Backup do Windows Server , que você deve ser usado se você não tiver outro produto de backup que suporte a recuperação do estado do sistema do Windows. (Na verdade, uso além do meu produto de backup corporativo.)

Por fim, se você estiver usando o Windows Server 2008 R2 mais recente e melhor, e estiver executando um nível funcional da Floresta do Servidor 2008 R2, talvez queira examinar o novo Recurso Lixeira do Active Directory . Mas, novamente, isso não elimina a necessidade de ter um processo de backup confiável, testado para sua infraestrutura de AD.

score 1 · Answer 2

O backup do Active Directory é feito sempre que você faz um backup de estado do sistema do controlador de domínio. Você faz backup de seu controlador de domínio, correto? Certifique-se de incluir o estado do sistema.

Mais aqui: link

score 0 · Answer 3

Você não está sozinho imaginando se existe uma maneira melhor de proteger objetos críticos no AD. Protecções nativas só o levam até aqui - há sempre a possibilidade desse momento de "oops" quando você cometer um erro (excluir uma UO crítica, remover a conta de usuário do CEO ou algo simples como adicionar o nome errado ao grupo de administradores de domínio) e acho que talvez exista uma maneira melhor de se proteger.

Os backups são obrigatórios, mas em muitos casos a restauração de todo o diretório não é uma resposta. É algo que você pode fazer se estiver desesperado, mas o erro ainda está por aí e você ainda está gastando muito tempo e recursos restaurando e, em seguida, reimplementando todas as alterações desde o seu último backup.

Existem algumas ferramentas que resolvem esse problema sem precisar recorrer a uma restauração completa do seu AD de algum ponto no passado. Ferramentas que impedem proativamente mudanças críticas de acontecer, bloqueando objetos críticos para que os erros nunca aconteçam. A empresa para a qual trabalho tem essa ferramenta - StealthINTERCEPT para AD e GPOs - e uma pesquisa rápida no google provavelmente pode atrair outras pessoas. A abordagem com o StealthINTERCEPT é identificar objetos chave no AD e bloqueá-los. Bloquear o htem significa impedir que seus administradores (e você, se desejar) cometa certos erros críticos controlando quando e se você puder excluir, mover, renomear ou modificar objetos no AD. A segurança que o StealthINTERCEPT fornece existe fora das permissões nativas do AD, o que significa que mesmo os usuários com o nível mais alto de privilégio dentro de sua organização ainda podem confiar em nossa ferramenta para impedir que eles façam coisas verdadeiramente destrutivas.

Se você gostaria de ver a ferramenta em ação, comparecer a uma de nossas demonstrações ou entrar em contato conosco pelo link .

score 0 · Answer 4

No meu entender, as florestas de nível AD do Server 2008 fornecem uma Lixeira para recuperar de operações de exclusão acidental.

A Microsoft fornece um Guia passo a passo sobre usando a Lixeira no AD:

Além disso, você nunca deve dar acesso administrativo a todo o seu domínio / floresta a pessoas que têm o hábito de fazer qualquer coisa por acidente . Você quer pessoas que fazem coisas " pelo livro ".

O AD fornece Unidades Organizacionais para segmentar suas autoridades e permissões. Use-os! Não permita que um único usuário controle seu diretório inteiro.

Claro, você pode ter uma única autoridade no topo de sua hierarquia, mas certifique-se de que é alguém que leva o trabalho a sério e está ciente da importância dos dados que está gerenciando.

Resumindo, as pessoas que acidentalmente excluem as coisas e que não mantêm backups dos dados não são o tipo de pessoa para quem você deve confiar seu diretório.