Artigo: Entendo a exclusão de objetos no Active Directory

Quando um objeto é excluído do Active Directory, ele não é apagado da base, mas entra num período de retenção conhecido como Tombstone Limetime (TSL). O TSL existe para poder replicar as informações de objetos excluídos e dar a chance do Administrador de rede recuperar o objeto excluído, caso deseje. Para isso o AD efetua as seguintes tarefas:

- Altera no objeto excluído o atributo isDeleted para TRUE.
– Move objeto para o conteiner Deleted Objects que fica localizado na partição de diretório em que o objeto estava antes de ser excluído.
– Altera o nome do objeto para o seguinte formato: <RDN>ADEL:<GUID>, onde RDN é o Relative Distinguished Name do objeto e GUID é seu Global Unique Identfier.
– Remove diversos atributos do objeto (afinal, ja que ele foi excluído não é necessário reter todas as informações).

Nota: Todas as partições de diretório possuem um conteiner para armazenar objetos excluídos, exceto a partição de esquema, pois essa partição não permite excluir os objetos (apenas desabilitar).

Então, se o objeto CN=ThiagoC,OU=Users,DC=empresa,DC=corp fosse excluído ele seria alterado para CN=ThiagoC\ADEL: c2c5ea9e-a5ec-4a29-97e1-c8013e538d2c,CN=Deleted Objects,DC=empresa,DC=corp.

O motivo disso é garantir que cada objeto deletado seja único.

No Windows 2000 e 2003 o tempo do TSL era de 60 dias. A partir do Windows 2003 com SP1 o valor passou a ser de 180 dias. Porém, se o seu domínio era 2000 ou 2003 e foi atualizado para 2008 ou superior esse valor deve ser alterado manualmente.

Após esse período, cada Domain Controller executa um processo chamado Garbage Collection onde os objetos são definitivamente excluídos. O Garbage Collection ocorre a cada 12 horas (além disso, o Garbage Collection exclui Logs desnecessários e executa um desfragmento online (porém básico) no Banco de Dados do AD).

Contudo, mesmo após o objeto ter sido excluído permanentemente, o arquivo de Banco de Dados do AD (NTDS.dit) não é diminuído, isso porque o AD utiliza essas “lacunas” para preencher com novos objetos. Caso queira forçar a compressão da base, é necessário utilizar o ntdsutil para executar uma desfragmentação offline.

Fonte:
Information about lingering objects…
Viewing deleted objects in Active Directory
Some details about Tombstones, Garbage Collection…

About these ads

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s