Active Directory Domain Services 개체 만들기 및 삭제
Active Directory Domain Services 개체를 프로그래밍 방식으로 만들고 삭제하는 데 사용되는 절차는 사용되는 프로그래밍 기술에 따라 달라집니다. 특정 프로그래밍 기술을 사용하여 Active Directory Domain Services 개체를 만들고 삭제하는 방법에 대한 자세한 내용은 다음 표에 나열된 topics 참조하세요.
프로그래밍 기술 | 참조 항목 |
---|---|
Active Directory 서비스 인터페이스 | 개체 만들기 및 삭제 |
Lightweight Directory Access Protocol | 디렉터리 항목 수정 |
System.DirectoryServices | 개체 만들기, 삭제, 이름 바꾸기 및 이동 |
개체 만들기
일반적으로 개체를 만드는 데 필요한 유일한 특성은 cn 및 objectClass 특성입니다. 그러나 개체를 만드는 것만으로는 기능 개체가 될 필요는 없습니다. 사용자 및 그룹과 같은 특정 유형의 개체에는 기능화하기 위한 추가 필수 특성이 있습니다. 특정 유형의 개체를 만드는 방법에 대한 자세한 내용은 사용자 만들기 및 도메인에서 그룹 만들기를 참조하세요.
Windows Server 2003: WWindows Server 2003 이상에서 실행되는 도메인 컨트롤러에서 사용자, 그룹 또는 컴퓨터 클래스의 개체를 만들면 도메인 컨트롤러는 개체 에 대한 sAMAccountName 특성을 지정하지 않은 경우 자동으로 고유한 문자열로 설정합니다.
개체 삭제
Active Directory 서버는 개체가 삭제되면 다음 작업을 수행합니다.
삭제된 개체의 isDeleted 특성이 TRUE로 설정됩니다. isDeleted 특성 값이 TRUE로 설정된 개체를 삭제 표시라고 합니다.
삭제된 개체는 명명 컨텍스트에 대해 Deleted Objects 컨테이너로 이동됩니다. 개체 systemFlags 속성에 0x02000000 플래그가 포함되어 있으면 개체가 Deleted Objects 컨테이너로 이동되지 않습니다. 지운 개체 컨테이너에 바인딩하고 내용을 열거하는 방법에 대한 자세한 내용은 삭제 된 개체 검색을 참조하세요.
Deleted Objects 컨테이너는 평평하므로 모든 개체는 지운 개체 컨테이너 내에서 동일한 수준에 상주합니다. 따라서 삭제된 개체의 상대적으로 구분된 이름은 Deleted Objects 컨테이너 내에서 이름이 고유하도록 변경됩니다. 원래 이름이 75자보다 긴 경우 75자로 잘립니다. 그런 다음 새 이름에 다음이 추가됩니다.
- 0x0A 문자
- 문자열 "DEL:"
- "947e3228-70c9-4311-8b7a-e5c9b5bd4432"와 같은 고유한 GUID의 문자열 형식입니다.
삭제된 개체 이름의 예는 다음과 같습니다.
Jeff Smith\0ADEL:947e3228-70c9-4311-8b7a-e5c9b5bd4432
삭제된 개체에 대한 대부분의 특성 값이 제거됩니다. 다음 특성은 자동으로 유지됩니다.
- attributeID
- attributeSyntax
- distinguishedName
- dNReferenceUpdate
- flatName
- governsID
- groupType
- instanceType
- lDAPDisplayName
- legacyExchangeDN
- mS-DS-CreatorSID
- mSMQOwnerID
- name
- Ncname
- objectClass
- objectGUID
- objectSid
- oMSyntax
- proxiedObjectName
- replPropertyMetaData
- sAMAccountName
- securityIdentifier
- subClassOf
- systemFlags
- trustAttributes
- trustDirection
- trustPartner
- trustType
- Useraccountcontrol
- Usnchanged
- uSNCreated
- whenCreated
0x00000008 포함하는 searchFlags 특성 값이 있는 다른 특성도 유지됩니다.
다음 특성 값은 항상 삭제된 개체에서 제거됩니다.
- objectCategory
- samAccountType
삭제된 개체의 보안 설명자가 보존되고 상속 가능한 액세스 제어 항목이 전파되지 않습니다. 보안 설명자는 개체가 삭제될 때 그대로 유지됩니다.
삭제된 개체에 대한 링크가 지워집니다. 개체가 삭제된 후 백그라운드에서 수행됩니다. 모든 링크가 지워지기 전에 삭제된 개체가 복원되면 오류가 수신됩니다.
Windows Server 2003 도메인 컨트롤러에서 개체가 삭제된 경우 삭제된 개체의 lastKnownParent 특성은 개체가 삭제될 때 포함된 컨테이너의 고유 이름으로 설정됩니다.
삭제된 개체는 삭제된 개체 컨테이너에 삭제 표시 수명이라고 하는 기간 동안 유지됩니다. 기본적으로 삭제 표시 수명은 60일이지만 시스템 관리자가 이 값을 변경할 수 있습니다. 삭제 표시 수명이 만료되면 개체가 디렉터리 서비스에서 영구적으로 제거됩니다. 삭제 작업이 누락되지 않도록 하려면 애플리케이션이 삭제 표시 수명보다 더 자주 증분 동기화를 수행해야 합니다.
Windows Server 2003은 삭제된 개체를 복원하는 기능을 추가합니다. 삭제된 개체 복원에 대한 자세한 내용은 삭제 된 개체 복원을 참조하세요.
항목이 삭제되면 개체의 특성을 수정할 수 없습니다. Windows Server 2003에서는 삭제된 개체에서 보안 설명자( ntSecurityDescriptor 특성)를 수정할 수 있습니다. 이는 개체를 복원하는 사람이 필수 특성에 대한 쓰기 권한이 없는 경우 개체를 복원할 수 있도록 하기 위한 것입니다. 삭제된 개체에서 보안 설명자를 업데이트하려면 호출자에게 일반 WRITE_DAC 및 WRITE_OWNER 액세스 외에도 명명 컨텍스트에서 바로 "삭제 표시 다시 애니메이션" 제어 액세스 권한이 있어야 합니다. 보안 설명자가 제한적이더라도 관리자는 먼저 SE_TAKE_OWNERSHIP_NAME 권한이 있다고 가정하고 개체의 소유권을 가져온 다음 보안 설명자를 수정할 수 있습니다. 이렇게 하려면 LDAP_SERVER_SHOW_DELETED_OID 컨트롤과 함께 ldap_modify_ext_s 함수를 사용합니다. 수정 목록에는 ntSecurityDescriptor 특성에 대한 단일 특성 대체 항목이 포함되어야 합니다.