Sdílet prostřednictvím

Vytváření a odstraňování objektů ve službě Active Directory Domain Services

  • Článek

Postup používaný k programovému vytváření a odstraňování objektů ve službě Active Directory Domain Services závisí na použité programovací technologii. Další informace o vytváření a odstraňování objektů ve službě Active Directory Domain Services s konkrétní programovací technologií naleznete v tématech uvedených v následující tabulce.

Programovací technologie Další informace
rozhraní služby Active Directory vytváření a odstraňování objektů
protokolu Lightweight Directory Access Protocol úprava položky adresáře
System.DirectoryServices vytvoření, odstranění, přejmenování a přesunutí objektů

 

Vytvoření objektu

Obecně platí, že jedinými atributy vyžadované pro vytvoření objektu jsou cn a objectClass atributy. Pouze vytvoření objektu nemusí nutně být funkčním objektem. Některé typy objektů, jako jsou uživatelé a skupiny, mají další požadované atributy, aby byly funkční. Další informace o vytváření konkrétních typů objektů naleznete v tématu Vytváření uživatelských a Vytváření skupin v doméně.

Windows Server 2003: Když je objektuživatele, skupina nebo počítač třída vytvořen na řadiči domény, který běží na WWindows Server 2003 nebo novější, řadič domény automaticky nastaví atribut sAMAccountName objektu na jedinečný řetězec, pokud není zadána.

Odstranění objektu

Server služby Active Directory provádí při odstranění objektu následující akce:

  • Atribut isDeleted odstraněného objektu je nastaven na hodnotu TRUE. Objekty s hodnotou atributu isDeleted nastavenou na hodnotu TRUE se nazývají náhrobky .

  • Odstraněný objekt se přesune do kontejneru Odstraněné objekty pro jeho kontext pojmenování. Pokud objekt systemFlags vlastnost obsahuje příznak 0x02000000, objekt není přesunut do kontejneru Odstraněné objekty. Další informace o vazbě k kontejneru Odstraněné objekty a jejich výčet naleznete v tématu Načítání odstraněných objektů.

  • Kontejner Odstraněné objekty je plochý, takže všechny objekty se nacházejí na stejné úrovni v kontejneru Odstraněné objekty. Proto je změněn relativní rozlišující název odstraněného objektu, aby se zajistilo, že název je jedinečný v rámci kontejneru Odstraněné objekty. Pokud je původní název delší než 75 znaků, zkrátí se na 75 znaků. K novému názvu se pak připojí následující:

    1. Znak 0x0A
    2. Řetězec "DEL:"
    3. Řetězcová forma jedinečného identifikátoru GUID, například "947e3228-70c9-4311-8b7a-e5c9b5bd4432"

    Příkladem názvu odstraněného objektu je:

    Jeff Smith\0ADEL:947e3228-70c9-4311-8b7a-e5c9b5bd4432

  • Odebere se většina hodnot atributů odstraněného objektu. Následující atributy se automaticky zachovají:

    • id atributu
    • atributSyntaxe
    • významné jméno
    • dNReferenceUpdate
    • flatName
    • spravujeID
    • typ skupiny
    • instanceType
    • lDAPDisplayName
    • legacyExchangeDN
    • mS-DS-CreatorSID
    • mSMQOwnerID
    • název
    • nCName
    • objectClass
    • objectGUID
    • objektový identifikátor SID (objectSid)
    • oMSyntax
    • proxiedObjectName
    • replPropertyMetaData
    • sAMAccountName
    • identifikátor zabezpečení
    • je podtřídou
    • systemFlags
    • trustAttributes
    • trustDirection
    • důvěryhodnýPartner
    • trustType
    • userAccountControl
    • uSNChanged
    • uSNCreated
    • při vytváření

    Další atributy, které mají searchFlags hodnotu atributu, která obsahuje 0x00000008 jsou také zachovány.

    Z odstraněného objektu se vždy odeberou následující hodnoty atributů:

    • kategorie objektu
    • samAccountType

  • Popisovač zabezpečení odstraněného objektu je zachován a zděděné položky řízení přístupu nejsou rozšířeny. Popisovač zabezpečení se uchovává as-is v okamžiku odstranění objektu.

  • Odkazy na odstraněný objekt a z odstraněného objektu jsou vymazány. To se provádí na pozadí po odstranění objektu. Pokud se odstraněný objekt obnoví před vymazáním všech odkazů, zobrazí se chyba.

  • Pokud je objekt odstraněn v řadiči domény systému Windows Server 2003, lastKnownParent atribut odstraněného objektu je nastaven na rozlišující název kontejneru, ve kterém byl objekt obsažen při odstranění.

Odstraněný objekt zůstává v kontejneru Odstraněné objekty po určitou dobu známou jako doba životnosti náhrobku. Ve výchozím nastavení je životnost náhrobku 60 dní, ale tuto hodnotu může změnit správce systému. Po vypršení platnosti životnosti náhrobku se objekt trvale odebere z adresářové služby. Aby se zabránilo chybějící operaci odstranění, musí aplikace provádět přírůstkové synchronizace častěji než doba života náhrobku.

Windows Server 2003 přidává možnost obnovit odstraněné objekty. Další informace o obnovení odstraněného objektu naleznete v tématu Obnovení odstraněných objektů.

Když je položka odstraněna, nelze upravit žádný z atributů objektu. V systému Windows Server 2003 je možné upravit popisovač zabezpečení (ntSecurityDescriptor atribut) u odstraněného objektu. "To má umožnit obnovení objektů, když obnovitel nemá oprávnění k zápisu k nutným atributům." Aby volající mohl aktualizovat popisovač zabezpečení u odstraněného objektu, musí mít kromě běžných přístupových práv WRITE_DAC a WRITE_OWNER také právo řízení přístupu "Reanimate Tombstone" v rámci pojmenovacího kontextu. I když je popisovač zabezpečení omezující, může správce nejprve převzít vlastnictví objektu, za předpokladu, že správce má SE_TAKE_OWNERSHIP_NAME oprávnění, a pak upravit popisovač zabezpečení. K tomu použijte funkci ldap_modify_ext_s s ovládacím prvku LDAP_SERVER_SHOW_DELETED_OID. Seznam úprav musí obsahovat náhradu jednoho atributu atributu ntSecurityDescriptor.