在windows server 2008的DC上想要删除一个OU,但是操作失败,提示您“没有足够的权限删除,或则该对象受保护,以防止意外删除”. 您进行该操作的时候使用的是 “Administrator”.以为是系统故障,但这确实windows server 2008 ADDS的一个新功能——防止容器被意外删除。

首先,我们介绍的是 windows server 2003时代的活动目录。  

大家都知道,在2000和2003时代,当我们从AD中删除某个对象时,其实AD并非将此对象直接删除,而是将此对象标记为墓碑对象。并且,墓碑对象会在活动目录中再保存180天时间(2000和2003是60天,2003打了SP1之后是180天),这个时间即墓碑生存时间。此墓碑生存时间可由管理员使用Adsiedit.msc进行修改,我们只需要找到Configuration\Services\Windows NT\Directory Service下的tombstoneLifetime属性进行更改即可。
 

 

 

 

 

 

 

 

 

 

 

 

 

再在attribute中输入另一个属性distinguishedName在Values中,输入准备恢复对象存放的位置DN,在operation中,选择replace,点击enter,将其添加到entry list中。

 

 
 
 
现在,我们在看看用微软的活动目录LDP工具查看。
选择connection,输入要连接的域控制器。我们可以发现LDAP协议所用的端口为389号端口。

在Windows Server 2008 时代活动目录对象保护

 

 

如何删除OU,打开AD管理中心删除即可

   

  

:墓碑生存时间(tombstoneLifetime)是指:从在AD中删除某对象开始,到该对象真正被删除的时间间隔,默认值为180天,这样做是为了保证:这种删除操作被复制到域中其它的DC。恢复DC的“系统状态数据”备份是有时间限制的,不能从比墓碑默认的180天生存时间更旧的系统状态数据的备份中,恢复活动目录。活动目录对象如果被删除,并不直接消失,而是放入一个不可见的CN,名字叫deleted object,里面存放180天(默认),在这180天内,可以进行恢复,在域控制器上,每24小时执行一次名叫“垃圾收集”的进程,将超过180天的被删除记录真正的删除。那只能通过备份加以恢复了。在这里讨论的是在180天之内的情况。