大家都知道，在2000和2003时代，当我们从AD中删除某个对象时，其实AD并非将此对象直接删除，而是将此对象标记为墓碑对象。并且，墓碑对象会在活动目录中再保存180天时间(2000和2003是60天，2003打了SP1之后是180天)，这个时间即墓碑生存时间。此墓碑生存时间可由管理员使用Adsiedit.msc进行修改，我们只需要找到Configuration\Services\Windows NT\Directory Service下的tombstoneLifetime属性进行更改即可。

    注：墓碑生存时间(tombstoneLifetime)是指：从在AD中删除某对象开始，到该对象真正被删除的时间间隔，默认值为180天，这样做是为了保证：这种删除操作被复制到域中其它的DC。恢复DC的“系统状态数据”备份是有时间限制的，不能从比墓碑默认的180天生存时间更旧的系统状态数据的备份中，恢复活动目录。活动目录对象如果被删除，并不直接消失，而是放入一个不可见的CN，名字叫deleted object，里面存放180天(默认)，在这180天内，可以进行恢复，在域控制器上，每24小时执行一次名叫“垃圾收集”的进程，将超过180天的被删除记录真正的删除。那只能通过备份加以恢复了。在这里讨论的是在180天之内的情况。

　　现在，我们在看看用微软的活动目录LDP工具查看。

　　选择connection，输入要连接的域控制器。我们可以发现LDAP协议所用的端口为389号端口。

[1] [2] [3] [4] [5] [6] 下一页