Papelera Active Directory - Limitar a últimos 3 meses
Pregunta
Respuestas
-
Hola IT BCN3D
Gracias por levantar tu consulta en los foros de TechNet. Con respecto a la misma, por defecto, el tiempo que un Objeto eliminado de tu AD, es el mismo que el TombstoneLife del mismo. Esto viene definido por la versión de Sistema Operativo que utilices:
Para comprobar que valor está establecido, puedes probar el siguiente comando:
dsquery * "cn=directory service,cn=windows nt,cn=services,cn=configuration,dc=<forestDN>" –scope base –attr tombstonelifetime
Si el atributo tiene un valor, la vida útil de Tombstone es ese valor en días. Las versiónes de Windows Server 2003 SP1 y superiores (consulta la tabla anterior) de schema.ini establece simplemente el valor 180 en el atributo tombstoneLifetime.
Para modificar este valor, puedes introducir el siguiente comando:
Set-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<your forest root domain>" -Partition "CN=Configuration,DC=<your forest root domain>" -Replace:@{"msDS-DeletedObjectLifetime" = <value in days>}
Por último, también puedes borrar los objetos de Ad borrados que se encuentren en tu papelera de AD:
Get-ADObject -Filter 'isDeleted -eq $true -and Name -like "*DEL:*"' -IncludeDeletedObjects | Remove-ADObject -Confirm:$false
Igualmente te comparto a continuación el siguiente enlace que contiene documentación oficial sobre el tema que nos presentas y un extracto de un artículo relacionado con el tema:
The AD Recycle Bin: Understanding, Implementing, Best Practices, and Troubleshooting
"
deletedObjectLifetime: El número de días que existe un objeto eliminado antes de que se transforme en un objeto reciclado. Si no se especifica ningún valor, se utiliza en su lugar el valor del atributo tombstoneLifetime.
Objeto borrado: Un objeto que ha sido eliminado, pero que permanece almacenado hasta que haya transcurrido una cantidad de tiempo configurada (el tiempo de vida del objeto eliminado), tras lo cual el objeto se transforma en un objeto reciclado. A diferencia de un objeto reciclado o de un tombstone, un objeto borrado mantiene prácticamente todo el estado del objeto antes de ser borrado, y puede ser recuperado sin pérdida de información. Los objetos borrados sólo existen cuando la función opcional de la papelera de reciclaje está activada.
Básicamente: El período de tiempo que un objeto eliminado se mantiene en el almacenamiento antes de que se transforme en un objeto reciclado.
--> objeto reciclado: Un objeto que ha sido borrado, pero que permanece en el almacenamiento hasta que ha pasado un tiempo configurado (el tiempo de vida de tombstone), después del cual el objeto se elimina permanentemente del almacenamiento. A diferencia de un objeto borrado, la mayor parte del estado del objeto se ha eliminado, y el objeto ya no se puede deshacer sin pérdida de información. Al mantener el objeto reciclado en existencia durante el tiempo de vida de tombstone, el estado borrado del objeto es capaz de replicarse. Los objetos reciclados sólo existen cuando la función opcional de la papelera de reciclaje está activada.
tombstoneLifetime: El número de días que existe un tombstone u objeto reciclado antes de que se recoja la basura.
Si la función opcional Papelera de reciclaje no está activada, este atributo especifica el número de días que transcurren antes de que un objeto eliminado se retire de los servicios de directorio. Si la función opcional Papelera de reciclaje está habilitada, este atributo especifica el número de días antes de que un objeto reciclado se elimine de los servicios de directorio.
Resumiendo (si la función Papelera de reciclaje está activada):
- Si se elimina un objeto, éste se transforma en un objeto eliminado. Este objeto mantiene todos los atributos de antes de la eliminación y puede ser recuperado sin pérdida de información. Sigue siendo un objeto borrado hasta que alcanza el deletedObjectLifetime.
- Una vez alcanzado el deletedObjectLifetime, el objeto se transforma en un objeto reciclado. Este objeto no conserva todos los atributos de antes del borrado y no puede ser borrado sin pérdida de información. Sigue siendo un objeto reciclado hasta que alcanza el tombstoneLifetime.
- Cuando se alcanza el tombstoneLifetime el objeto se elimina permanentemente del almacenamiento.
- Se puede establecer un valor de deletedObjectLifetime mayor que el valor de tombstoneLifetime y lo contrario: son independientes. tombstoneLifetime sólo empieza a contar después de que el objeto haya alcanzado el estado de objeto reciclado. Así que los valores no son acumulativos.
- Así que si estableces deletedObjectLifetime = 365, y tombstoneLifetime = 180, el archivo permanecerá almacenado durante un año y medio. Durante los primeros 365 será totalmente recuperable sin pérdida de datos, y durante los últimos 180 días sólo será recuperable con pérdida de datos"
Cualquier duda referente a productos Microsoft, puedes consultarnos. Es un gusto informarte.
Gracias por usar los foros de TechNet.
Miguel Mosquera
--------------------------------------------------------------------------
Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde.
Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.
Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.
- Propuesto como respuesta Miguel_Mos_MirMicrosoft contingent staff, Moderator martes, 9 de febrero de 2021 21:02
- Marcado como respuesta Miguel_Mos_MirMicrosoft contingent staff, Moderator jueves, 11 de febrero de 2021 22:19
Todas las respuestas
-
Hola IT BCN3D
Gracias por levantar tu consulta en los foros de TechNet. Con respecto a la misma, por defecto, el tiempo que un Objeto eliminado de tu AD, es el mismo que el TombstoneLife del mismo. Esto viene definido por la versión de Sistema Operativo que utilices:
Para comprobar que valor está establecido, puedes probar el siguiente comando:
dsquery * "cn=directory service,cn=windows nt,cn=services,cn=configuration,dc=<forestDN>" –scope base –attr tombstonelifetime
Si el atributo tiene un valor, la vida útil de Tombstone es ese valor en días. Las versiónes de Windows Server 2003 SP1 y superiores (consulta la tabla anterior) de schema.ini establece simplemente el valor 180 en el atributo tombstoneLifetime.
Para modificar este valor, puedes introducir el siguiente comando:
Set-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<your forest root domain>" -Partition "CN=Configuration,DC=<your forest root domain>" -Replace:@{"msDS-DeletedObjectLifetime" = <value in days>}
Por último, también puedes borrar los objetos de Ad borrados que se encuentren en tu papelera de AD:
Get-ADObject -Filter 'isDeleted -eq $true -and Name -like "*DEL:*"' -IncludeDeletedObjects | Remove-ADObject -Confirm:$false
Igualmente te comparto a continuación el siguiente enlace que contiene documentación oficial sobre el tema que nos presentas y un extracto de un artículo relacionado con el tema:
The AD Recycle Bin: Understanding, Implementing, Best Practices, and Troubleshooting
"
deletedObjectLifetime: El número de días que existe un objeto eliminado antes de que se transforme en un objeto reciclado. Si no se especifica ningún valor, se utiliza en su lugar el valor del atributo tombstoneLifetime.
Objeto borrado: Un objeto que ha sido eliminado, pero que permanece almacenado hasta que haya transcurrido una cantidad de tiempo configurada (el tiempo de vida del objeto eliminado), tras lo cual el objeto se transforma en un objeto reciclado. A diferencia de un objeto reciclado o de un tombstone, un objeto borrado mantiene prácticamente todo el estado del objeto antes de ser borrado, y puede ser recuperado sin pérdida de información. Los objetos borrados sólo existen cuando la función opcional de la papelera de reciclaje está activada.
Básicamente: El período de tiempo que un objeto eliminado se mantiene en el almacenamiento antes de que se transforme en un objeto reciclado.
--> objeto reciclado: Un objeto que ha sido borrado, pero que permanece en el almacenamiento hasta que ha pasado un tiempo configurado (el tiempo de vida de tombstone), después del cual el objeto se elimina permanentemente del almacenamiento. A diferencia de un objeto borrado, la mayor parte del estado del objeto se ha eliminado, y el objeto ya no se puede deshacer sin pérdida de información. Al mantener el objeto reciclado en existencia durante el tiempo de vida de tombstone, el estado borrado del objeto es capaz de replicarse. Los objetos reciclados sólo existen cuando la función opcional de la papelera de reciclaje está activada.
tombstoneLifetime: El número de días que existe un tombstone u objeto reciclado antes de que se recoja la basura.
Si la función opcional Papelera de reciclaje no está activada, este atributo especifica el número de días que transcurren antes de que un objeto eliminado se retire de los servicios de directorio. Si la función opcional Papelera de reciclaje está habilitada, este atributo especifica el número de días antes de que un objeto reciclado se elimine de los servicios de directorio.
Resumiendo (si la función Papelera de reciclaje está activada):
- Si se elimina un objeto, éste se transforma en un objeto eliminado. Este objeto mantiene todos los atributos de antes de la eliminación y puede ser recuperado sin pérdida de información. Sigue siendo un objeto borrado hasta que alcanza el deletedObjectLifetime.
- Una vez alcanzado el deletedObjectLifetime, el objeto se transforma en un objeto reciclado. Este objeto no conserva todos los atributos de antes del borrado y no puede ser borrado sin pérdida de información. Sigue siendo un objeto reciclado hasta que alcanza el tombstoneLifetime.
- Cuando se alcanza el tombstoneLifetime el objeto se elimina permanentemente del almacenamiento.
- Se puede establecer un valor de deletedObjectLifetime mayor que el valor de tombstoneLifetime y lo contrario: son independientes. tombstoneLifetime sólo empieza a contar después de que el objeto haya alcanzado el estado de objeto reciclado. Así que los valores no son acumulativos.
- Así que si estableces deletedObjectLifetime = 365, y tombstoneLifetime = 180, el archivo permanecerá almacenado durante un año y medio. Durante los primeros 365 será totalmente recuperable sin pérdida de datos, y durante los últimos 180 días sólo será recuperable con pérdida de datos"
Cualquier duda referente a productos Microsoft, puedes consultarnos. Es un gusto informarte.
Gracias por usar los foros de TechNet.
Miguel Mosquera
--------------------------------------------------------------------------
Por favor recuerde "Marcar como respuesta" las respuestas que hayan resuelto su problema, es una forma común de reconocer a aquellos que han ayudado, y hace que sea más fácil para los otros visitantes encontrar la solución más tarde.
Microsoft ofrece este servicio de forma gratuita, con la finalidad de ayudar a los usuarios y la ampliación de la base de datos de conocimientos relacionados con los productos y tecnologías de Microsoft.
Este contenido es proporcionado "tal cual" y no implica ninguna responsabilidad de parte de Microsoft.
- Propuesto como respuesta Miguel_Mos_MirMicrosoft contingent staff, Moderator martes, 9 de febrero de 2021 21:02
- Marcado como respuesta Miguel_Mos_MirMicrosoft contingent staff, Moderator jueves, 11 de febrero de 2021 22:19
