Compartilhar via

Entendendo a exclusão de objetos no Active Directory

  • Artigo

Quando um objeto é excluído do Active Directory, ele não é apagado da base, mas entra num período de retenção conhecido como Tombstone Limetime (TSL). O TSL existe para poder replicar as informações de objetos excluídos e dar a chance do Administrador de rede recuperar o objeto excluído, caso deseje. Para isso o AD efetua as seguintes tarefas:

- Altera no objeto excluído o atributo isDeleted para TRUE.

  • Move objeto para o conteiner Deleted Objects que fica localizado na partição de diretório em que o objeto estava antes de ser excluído.
  • Altera o nome do objeto para o seguinte formato: 0ADEL:, onde RDN é o Relative Distinguished Name do objeto e GUID é seu Global Unique Identfier.
  • Remove diversos atributos do objeto (afinal, ja que ele foi excluído não é necessário reter todas as informações).

Nota: Todas as partições de diretório possuem um conteiner para armazenar objetos deletados, exceto a partição de esquema, pois essa partição não permite excluir os objetos (apenas desabilitar).

Então, se o objeto CN=ThiagoC,OU=Users,DC=empresa,DC=corp fosse deletado ele seria alterado para CN=ThiagoCADEL: c2c5ea9e-a5ec-4a29-97e1-c8013e538d2c,CN=Deleted Objects,DC=empresa,DC=corp.

O motivo disso é garantir que cada objeto deletado seja único.

No Windows 2000 e 2003 o tempo do TSL era de 60 dias. A partir do Windows 2003 com SP1 o valor passou a ser de 180 dias. Porém, quando um domain controtroller é atualizado do 2003 para 2003 SP1 esse valor deve ser alterado manualmente.

Após esse período, cada Domain Controller executa um processo chamado Garbage Collection onde os objetos são definitivamente excluídos. O Garbage Collection ocorre a cada 12 horas (além disso, o Garbage Collection exclui Logs desnecessários e executa um desfragmento online (porém básico) no Banco de Dados do AD).

Contudo, mesmo após o objeto ter sido excluído permanentemente, o arquivo de Banco de Dados do AD (NTDS.dit) não é diminuído, isso porque o AD utiliza essas “lacunas” para preencher com novos objetos. Caso queira forçar a compressão da base, é necessário utilizar o ntdsutil para executar uma desfragmentação offline.

Fonte:
Information about lingering objects…
Viewing deleted objects in Active Directory
Some details about Tombstones, Garbage Collection…