Active Directory Recycle Binに関して~その3

Active Directory Recycle Binに関して深掘りして調査してもらいました。その結果を書いておきます。

オブジェクトが完全に削除されるまでの期間

  • ゴミ箱が無効な場合には Tombstone Lifetime
  • ゴミ箱が有効な場合には Deleted ObjectLife time +Tombstone Lifetime

となります。

それぞれの属性は

  • Deleted Object Lifetime (msDS-deletedObjectLifetime 属性)
  • Tombstone Lifetime (tombstoneLifetime 属性)

となります。

ゴミ箱が無効な場合、オブジェクトが削除されるとすぐに isDeleted=TRUE 、isRecycled=TRUE の状態になります。ここから Tombstone Lifetime (既定で 180 日) が経過した後のガベージ コレクションにてデータベースから削除されます。

ゴミ箱が有効な場合、オブジェクトが削除されると isDeleted=TRUE 、isRecycled は設定されません。ここから Deleted Object Lifetime (既定で 180 日) を経過した後、isRecycled=TRUE が設定されます。

そこからさらに Tombstone lifetime (既定で 180 日) が経過後のガベージ コレクションにてオブジェクトはデータベースから削除されます。

Windows Server 2008 R2ではmsDS-deletedObjectLifetime属性やtombstoneLifetime属性は既定ではNULLになっています。既定でNULLになっているのでTombstone Lifetime (tombstoneLifetime 属性)はハードコートされた180日が設定されているということになります。

ではActive Directory Recycle Binを有効にした場合Deleted Object Lifetime (msDS-deletedObjectLifetime 属性)がNULLで設定されていますが、削除されたオブジェクトの有効期間は、廃棄済みオブジェクト (Tombstone) の有効期間の値に設定されますので、結果的に180日が使用されることになります。

設定を変更するにはPowerShellを使用するのが推奨となります

削除済オブジェクト の ライフタイム を変更するには以下のコマンドを使用

Set-ADObject -Identity“CN=Directory Service, CN=Windows NT,CN=Services,CN=Configuration,DC=mydomain,DC=com”-Partition“CN=Configuration,DC=mydomain,DC=com”-Replace:@{“msDS-DeletedObjectLifetime”= 60}

リサイクル済オブジェクトのライフタイムを変更するするには以下のコマンドを使用

Set-ADObject -Identity“CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=mydomain,DC=com”-Partition“CN=Configuration,DC=mydomain,DC=com”-Replace:@{“tombstoneLifetime”= 365}

ここで注意しなくてはいけないのが、リサイクル済オブジェクトのライフタイムであるTombstone Lifetime (tombstoneLifetime 属性)のみ変更した場合は、Deleted Object Lifetime (msDS-deletedObjectLifetime 属性)はNULLのままなので、結果的に削除済オブジェクト の ライフタイムも同じ値になるということです。

参考:

付録 A: Active Directory のごみ箱の追加作業
廃棄済みオブジェクト (Tombstone) の有効期間および削除されたオブジェクトの有効期間を変更する
http://technet.microsoft.com/ja-jp/library/dd392260(WS.10).aspx

スポンサーリンク
レクタングル(大)広告
レクタングル(大)広告
  • このエントリーをはてなブックマークに追加

コメントをどうぞ

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

*

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください