【WS2008 R2】Active Directory Recycle Bin の有効期限(msDS-DeletedObjectLifeTime)
※本記事はベータ版段階での情報です。RTM後変更される可能性があることをご了承ください。
週末のオープンソースカンファレンスの準備を完了せねばならないため、ひとまず、この投稿が今週最後になるかな..と思っております。
過去の Active Directory Recycle Bin に関する投稿記事の一覧
Windows Server 2008 R2 - Active Directory Recycle Bin に関する投稿
Active Directory Recycle Bin は大変に有用な機能ですが、運用に関する考慮事項が増えたことを無視するわけにはいきません。
2つの考慮事項があります。
- ADから削除したオブジェクトが未来永劫、復活可能なわけではない
- Deleted 状態では ガベージコレクションの対象外である(DBの容量は減らない)
以下の図にも示すとおり、削除したオブジェクトは段階的に状態を変えます。
Deleted 状態が保持されるのは、規定で180日です。つまり、削除してから180日以内であれば、属性値を失うことなく復活することが可能です。
180日が経過すると Recycled 状態となり多くの属性が消去されます。
そして、さらに180日後に 物理的に削除されます。
これらの期間(LifeTime)は変更することが可能です。
1点目の留意事項については、LifeTime の変更で運用にあわせることが可能ですが、それによって2点目の問題について考慮しなければなりません。
不必要に長く保存することが必ずしもよいわけではないと言うことをご理解ください。
さて、それでは実践です。
Deleted 状態の継続期間を決めるのは msDS-DeletedObjectLifeTime 属性であり、Recycled 状態の継続期間を決めるのは tombstoneLifetime 属性です。
この属性はユーザーに紐づいたものではなく、以下のオブジェクトの属性として定義されます。
“CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=mydomain,DC=com”
つまり、システムで一意の値となります。
これらの属性は lpd.exe や ADSI Edit で確認することができます。以下の画面は、使い慣れた ADSI Edit で確認したものです。
ご覧の通り、msDS-DeletedObjectLifeTime には規定で Null が設定されており、tombstoneLifeCycle には 180(日)が設定されていることがわかります。
実は、msDS-DeletedObjectLifeTime = Null の場合、tombstoneLifeCycle の値が継承されるため、結果的に規定値が180日となります。tombstoneLifeCycle = 365 と設定されていれば、msDS-DeletedObjectLifeTime も 365 になります。
この値を変更する方法として ステップバイステップ で紹介されているのは、
- PowerShell で Set-ADObject コマンドレットを使用する
- lpd.exe を使用する
ですが、
- ADSI Edit を使用する
ことでも変更できます。
せっかくですので、ステップバイステップに書かれていない、かつ使い慣れた ADSI Edit で変更する手順について説明します。
1) ADSI Edit を起動
2) [操作] - [接続] を選択して、[既知の名前付けコンテキストを選択する] で [構成] を選択し、[OK]
3) 以下のパスを開く
“CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=mydomain,DC=com”
4) CN=Directory Service のプロパティを開く
5) msDS-DeletedObjectLifeTime の値を入力する(単位は"日")
ステップバイステップによれば、最小単位は 3(日)とのことですが...私が試したところでは 1日 でも Recycled 状態に移行されたようです...
この辺りの仕様は、まだ fix していないのかな...。
それにしても...Active Directory Recycle Bin を使うと、AD統合認証環境でのプロビジョニングに大きな可能性が見えてきますね。
このあたりは、Tech Fielders のエバンジェリストコラムにでも書いてみようかと思います。
Comments
Anonymous
January 01, 2003
PingBack from http://blogs.technet.com/junichia/pages/Article-List-2D00-Windows-Server-2008-R2-Active-Directory-Recycle-Bin.aspxAnonymous
January 01, 2003
The comment has been removedAnonymous
January 01, 2003
The comment has been removed