Usunięcie obiektu z domeny nie powoduje jego natychmiastowego usunięcia, jest on wciąż przechowywany przez określony czas (lecz nie może być już używany) w celu replikacji zmian do pozostałych kontrolerów domeny. W zależności od posiadanej wersji systemu Windows Server czas ten trwa od 60 dni (WS2003) do 180 dni (WS2008/R2). Dodatkowo w Windows Server 2008 R2 czas ten wydłuża się o kolejne 180 dni przechowywania obiektu w koszu Active Directory – o czym wspominałem we wcześniejszym wpisie.

Czas przechowywania skasowanych obiektów jest trwale zapisany w systemie, jednak może zostać nadpisany poprzez modyfikację atrybutów kontenera CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration. Akcje należy podjąć na atrybutach:

  • tombstoneLifetime – dla czasu przechowywania obiektów przekazanych do usunięcia bez użycia kosza lub po upływie okresu przechowywania w AD Recycle Bin
  • msDS-DeletedObjectLifeTime – w przypadku WS2008 R2, który korzytsa z funkcji kosza

Domyślnie każdy z powyższych atrybutów ma wartość „null” i odwołuje się do domyślnych wartości systemu operacyjnego. W celu modyfikacji tych wartości należy skorzystać z ldp.exe lub modułu active driectory dla Windows PowerShell.

Modyfikacja z użyciem PowerShell (WS2008 R2)

Należy wykonać poniższe polecenia z poziomu konsoli PowerShell z aktywnym modułem AD.

Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=skalski,DC=info” –Partition “CN=Configuration,DC=skalski,DC=info” –Replace:@{“tombstoneLifetime” = 365}

Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=skalski,DC=info” –Partition “CN=Configuration,DC=skalski,DC=info” –Replace:@{“msDS-DeletedObjectLifetime” = 365}

365 300x57

Modyfikacja z użyciem ldp.exe (WS2003 – 2008 R2)

1. Uruchomić z wiesza poleceń ldp.exe

2. Podłączyć się do domeny wybierając Connections -> Connect w polu server name podać nazwę kontrolera domeny, po czym wybrać przycisk Bind

3. W drzwie przejść do kontenera wybierając View -> Tree i podając ścieżkę CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=skalski,DC=info, po zatwierdzeniu wybrać opcję Modify na kontenerze

4. W oknie modyfikacji podać parametry:

Edit Entry Attribute: tombstoneLifetime

Value: 365

dla modyfikacji czasu obowiązywania tabliczki nagrobnej lub…

Edit Entry Attribute: msDS-DeletedObjectLifeTime

Value: 365

dla modyfikacji czasu przechowywania obiektu w koszu Acitive Directory

5. Zatwierdzić zmiany wybierając opcję Replace, przycisk Enter w celu zatwierdzenia operacji, a następnie przycisk Run by wykonać modyfikację

ldp 276x300