Сетевая корзина windows server 2008 r2

Время на прочтение5 мин

Количество просмотров17K

Продолжаем публиковать серию статей, посвященных восстановлению объектов Active Directory и применяемым для этого инструментам.

В предыдущей статье мы разбирали случаи, когда администраторам приходится работать с контроллерами домена, где в Active Directory установлен функциональный режим работы леса Windows Server 2003 или Windows Server 2008. Как вы помните, мы подробно рассмотрели шаги, необходимые для восстановления tombstone-объектов с помощью утилиты LDP и инструмента Veeam Explorer для Microsoft Active Directory.

Сегодня перейдем к более современным системам, которые позволяют использовать функцию корзины Active Directory. За подробностями прошу под кат.

Картинка с сайта: habr.com

Как работает корзина Active Directory

Microsoft впервые реализовала долгожданную корзину Active Directory в ОС Windows Server 2008 R2. При этом изменился жизненный цикл объектов Active Directory и порядок их удаления. Так, после удаления объекта теперь происходит вот что:

1. Сразу после удаления объект перемещается в контейнер удаленных объектов, где он и находится до окончания времени существования удаленного объекта (по умолчанию это время равняется времени существования recycled-объекта).
   Важно! Все связанные и несвязанные атрибуты объекта сохраняются в системе в течение того же времени. Это означает, что в течение указанного периода объект можно восстановить вместе со всеми атрибутами.
2. После окончания времени существования объекта система меняет его состояние на recycled и сбрасывает большинство атрибутов. Объект становится аналогичен удаленному (tombstone) в Windows Server 2003 и Windows Server 2008. Единственная разница заключается в том, что теперь его невозможно восстановить.
3. По истечении времени существования recycled-объекта (по умолчанию 180 дней) его автоматически удаляет сборщик мусора.

Схематично эти этапы можно изобразить так:

Картинка с сайта: habr.com

Включение корзины Active Directory

В настоящее время корзина по умолчанию не активирована ни в одной ОС Windows Server. Чтобы использовать ее, нужно подготовить инфраструктуру: убедиться, что все контроллеры домена работают под управлением Windows Server 2008 R2 или выше, и установить функциональный режим работы леса на Windows Server 2008 R2 или выше.

Полезно: Активацию корзины Active Directory, как и любые другие существенные изменения настроек Active Directory (или другой производственной системы) рекомендуется сначала протестировать в «песочнице». Для этого можно использовать технологию виртуальной лаборатории Veeam. Кроме контроллера домена, в виртуальной лаборатория можно запускать и другие критически важные виртуальные машины. Эта технология очень помогает при тестировании совместимости многоуровневых приложений после внесения изменений. В зависимости от конфигурации, виртуальную лабораторию можно запустить из резервных копий, реплик или даже аппаратных снимков. Это позволит избежать неприятных сюрпризов при изменении настроек производственной среды.

Прежде чем начать использовать корзину Active Directory, необходимо учесть следующее:

1. При включении корзины Active Directory все tombstone-объекты превратятся в recycled-объекты, и восстановить их после этого будет уже невозможно.
2. Восстановление нескольких зависимых объектов может вызвать затруднения, поскольку его необходимо выполнять в строго определенном порядке, начиная с верхних уровней иерархии.
3. В Windows Server 2008 R2 все операции с корзиной выполняются с помощью командлетов PowerShell. В Windows Server 2012 все действия с корзиной можно выполнить через пользовательский интерфейс, используя Центр администрирования Active Directory (ADAC).
   

   Картинка с сайта: habr.com

4. Корзина не имеет ничего общего с бэкапом Active Directory и не позволит восстановить контроллер домена целиком, если он поврежден.

Плюсы и минусы корзины Active Directory

При включении корзины Active Directory вы увидите в Центре администрирования Active Directory новый контейнер удаленных объектов Deleted Objects. В этом контейнере вы найдете все удаленные объекты, сможете просмотреть их свойства и восстановить их в исходное или любое другое место по своему выбору.

Картинка с сайта: habr.com

Хотя на первый взгляд восстанавливать отдельные объекты с помощью этой функции гораздо проще, чем с помощью утилиты LDP или «authoritative»-восстановления контроллера домена, необходимо помнить о некоторых подводных камнях. Ниже перечислены плюсы и минусы использования корзины Active Directory.

Плюсы

1. Универсальный способ для доменов с функциональным уровнем Windows Server 2008 R2 (и более поздних).
2. Длительное время существования объекта (по умолчанию 180 дней — достаточный срок для решения большинства задач).
3. Сохранение атрибутов объекта в течение времени его существования.
4. Не требуется перезапуск контроллера домена.
5. Графический интерфейс управления (ADAC) для Windows Server 2012 и выше.

Минусы

1. Не работает для доменов с функциональным режимом работы леса Windows Server 2008 и ранее.
2. Не подходит для восстановления измененных объектов (восстановить объект можно, только если он был удален).
3. Восстановление возможно только в течение времени существования объекта.
4. Не обеспечивает защиту от проблем с самим контроллером домена (не может сравниться с резервной копией).
5. Не поддерживает автоматическое восстановление иерархии.

Второй пункт здесь особенно важен. Что делать, если объект был не удален, а случайно изменен, и ошибка обнаружилась заметно позже? К сожалению, корзина здесь не поможет, и для этой проблемы требуется другое решение.

Как Veeam позволяет обойти ограничения корзины

Конечно, для большинства из вас минусы корзины не станут причиной отказаться от нее. Однако те, кто хочет получить универсальное решение для всех задач, должны задуматься о преодолении недостатков корзины. И здесь на сцену выходит Veeam с уже обсуждавшимся ранее Veeam Explorer для Active Directory. Этот инструмент полностью устраняет ограничения корзины Active Directory:

• С его помощью все объекты Active Directory будут защищены в течение всего срока хранения резервных копий.
• Его можно использовать для доменов с функциональным режимом работы леса Windows Server 2003 и выше.

Важно! Этот инструмент входит в состав всех редакций Veeam Backup & Replication, в том числе и в его бесплатную редакцию.

Используя совместно Veeam Backup & Replication и Veeam Explorer для Active Directory, вы можете мгновенно восстановить контроллер домена целиком или восстановить отдельные объекты Active Directory: подразделения (OU), учетные записи компьютеров и пользователей вместе с паролями, объекты групповых политик, записи DNS и т. д. Кроме того, запустив Explorer, вы можете легко сравнить объекты в резервной копии с текущими объектами в производственной среде и обнаружить различия, а также выявить измененные атрибуты.

Ниже приведен пример ситуации, когда администратор обнаружил изменение атрибутов учетной записи пользователя и должен восстановить ее в исходное состояние.

Картинка с сайта: habr.com

В любом случае, если вы заранее позаботитесь об устранении последствий возможных сбоев Active Directory и протестируете различные инструменты для решения этой задачи, в дальнейшем вы сможете спать спокойно.

Дополнительные ссылки

Статья на Хабре: Восстановление удаленных объектов AD из tombstone-объектов
Статья на Хабре: Восстановление контроллера домена из резервной копии с помощью Veeam
Статья на Хабре: Резервное копирование контроллеров домена с помощью Veeam

Корзина Active Directory позволяет администратору домена восстановить любой удаленный объект в домене AD (пользователя, компьютер, группу безопасности). Корзина Active Directory доступа во всех версиях AD, начиная с Windows Server 2008 R2. В этой статье мы покажем, как включить корзину Active Directory Recycle Bin и восстановить удаленный объект.

По умолчанию корзина AD в домене отключена во всех версиях Windows Server. Вы можете проверить состояние корзины с помощью командлета.

Get-ADOptionalFeature "Recycle Bin Feature" | select-object name, EnabledScopes

Если значение EnabledScopes пустое, это означит, что корзина AD не включена.

Картинка с сайта: vmblog.ru

Чтобы включить корзину Active Directory Recycle Bin,все контроллеры домена должны работать под управлением Windows Server 2008 R2 (или выше), а функциональный режим работы леса должен быть Windows Server 2008 R2 или выше.

Вы можете проверить функциональный уровень леса AD с помощью команды:

Get-ADForest | select-object ForestMode|fl

Картинка с сайта: vmblog.ru

Если уровень ForestMode ниже, чем Windows2008R2Forest, вам нужно выполнить обновление функционального уровня леса.

Вы можете включить корзину Active Directory в Windows Server 2022/2019/2022 с помощью команды PowerShell:

Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target vmblog.loc

Внимание. После включение, корзину AD нельзя выключить.

Также вы можете включить корзину AD из оснастки Active Directory Administrative Center. Запустите ADAC (dsac.exe), щёлкните правой кнопкой по имени домена и выберите опцию “Enable Recycle Bin”.

Картинка с сайта: vmblog.ru

Подтвердите включение:

Enable Recycle Bin Confirmation.
Are you sure you want to perform this action? Once Recycle Bin has enabled, it cannot be disabled.

Картинка с сайта: vmblog.ru

После включения корзины Active Directory в Active Directory Administrative Center появится новый контейнер Deleted Objects. В этот контейнер будут помещаться все удаленные объекты Active Directory. Вы можете просмотреть свойства удаленных объектов, и восстановить их в исходную или другую OU.

Картинка с сайта: vmblog.ru

Попробуем удалить учетную запись тестового пользователя в AD.

Все связанные и несвязанные атрибуты при удалении объекта AD сохраняются. Это означает, что вы можете восстановить объект вместе со всеми атрибутами.

Объект AD, помеченный как логически удаленный, храниться в течение срока жизни удаленного объекта. Срок этот определяется в атрибуте msDS-DeletedObjectLifetime, находящемся в CN=Directory Service,CN=Windows NT, CN=Services, CN=Configuration, DC=vmblog,DC=loc (по умолчанию он не определен). Затем объект помечается как утилизированный и храниться дальше, в течение срока жизни утилизированного объекта, который определяется атрибутом tombstoneLifetime (по умолчанию 180 дней).

Проверьте, что удаленный пользователь появился в контейнере Deleted Objects. Чтобы восстановить данный объект, щелкните по нему и выберите Restore или Restore to. Также здесь вы можете просмотреть свойства пользователя.

Картинка с сайта: vmblog.ru

Вы можете найти удаленного пользователя и восстановить его из корзины AD с помощью PowerShell:

Get-ADObject -filter {displayname -eq "testuser1"} -Filter 'isDeleted -eq $true' –includedeletedobjects | Restore-ADObject

Вывести все удаленные объекты в корзине AD:

Get-ADObject -ldapFilter:"(msDS-LastKnownRDN=*)" – IncludeDeletedObjects

При удалении любого объекта в Active Directory (пользователя, группы, компьютера или OU), он не удаляется немедленно. В течении 180 дней удаленные объекты AD можно восстановить с помощью графических инструментов или консольных утилит/PowerShell.

Когда объект удаляется из каталога Active Directory, он физически не удаляются из базы, о помечается логически удаленным (атрибут isDeleted = true). В течении 180 дней (значение по-умолчанию, которое задается в атрибуте домена msDS-deletedObjectLifetime), удаленный объект можно восстановить.

Прежде чем приступать к случайно удаленного объекта, нужно проверить, включена ли в домене корзина Active Directory Recycle Bin или нет. От этого будут зависеть ваши дальнейшие действия.

Корзина AD (Active Directory Recycle Bin) в Windows Server

Начиная с функционального уровня домена Windows Server 2008 R2, в Active Directory можно включить корзину (Active Directory Recycle Bin). Такая корзина для удаленных объектов существенно упрощает восстановление объектов в AD, без потери атрибутов и членства в группах.

По умолчанию в течении 180 дней (определяется в атрибуте домена msDS-deletedObjectLifetime) вы можете восстановить удаленный объект. Если данный срок прошел, объект все еще остается в контейнере Deleted Objects, но большинство его атрибутов и связей очищаются (Recycled Object). После истечения периода tombstoneLifetime (по умолчанию также 180 дней, но можно увеличить) объект полностью удаляется из AD автоматическим процессом очистки и не может быть восстановлен (можно восстановить только их резервной копии контроллера домен AD).

Проверить, включена ли корзина в вашем лесу AD можно с помощью PowerShell (по умолчанию AD Recycle Bin отключена и включается только вручную Enterprise администратором)

Проверяем, что уровень леса AD не ниже Windows2008R2Forest:

Get-ADForest |Select-Object forestmode

Проверить, включена ли AD Recycle Bin в лесу:

Get-ADOptionalFeature "Recycle Bin Feature" | select-object name,EnabledScopes

Если значение EnabledScopes не пустое, значит в вашем домене корзина Active Directory уже включена. В этом случае переходите к разделу статьи, описывающему восстановление удаленных объектов из корзины AD.

Картинка с сайта: winitpro.ru

Если корзина отключена, тогда нужно перейди к инструкциям в разделе Восстановление удаленного пользователя, без AD Recycle Bin.

Поэтому включать корзину можно только после того, как вы убедились, что среди удаленных объектов AD отсутствуют объекты, которые вы, возможно, захотите восстановить.

Включить Active Directory Recycle Bin можно с помощью команды Enable-ADOptionalFeature:

Enable-ADOptionalFeature "Recycle Bin Feature" -Scope ForestOrConfigurationSet -Target "winitpro.ru"

Или, еще проще, из графической консоли Active Directory Administrative Center (
dsac.exe
). Запустите консоль ADAC, подключитесь к корневому домену, щелкните по имени домена и выберите Enable Recycle Bin.

Восстановление удаленного пользователя из корзины Active Directory

Рассмотрим на простом примере, как восстановить удаленный объект из корзины Active Directory. Например, попробуем удалить учетную запись пользователя, а затем восстановить его из корзины AD.

После того, как корзина AD включена, все удаляемые объекты перемещаются в специальный скрытый контейнер Deleted Objects (не отображается в обычной mmc оснастке ADUC). Найдите этот контейнер в консоли Active Directory Administrative Center (
dsac.exe
).

Картинка с сайта: winitpro.ru

Здесь отображаются все удаленные объекты, включая пользователей, компьютеры, контакты, группы и OU. Здесь указаны также дата удаления и исходный OU (last know parent).

Чтобы восстановить объект, щелкните по нему и выберите Restore (для восстановления в исходный OU), либо Restore to (восстановление в произвольный раздел AD).

Картинка с сайта: winitpro.ru

При восстановлении удаленного пользователя из корзины, у объекта восстанавливаются значение большинства его атрибутов и членство в группах AD.

Для поиска удаленных объектов и их восстановления можно использовать PowerShell. Сначала удалим пользователя, а потом попробуем восстановить его из командной строки.

С помощью командлета Get-ADUser выведем значения атрибута пользователя IsDeleted (он пустой).

get-aduser a.novak -Properties *| Select-Object IsDeleted

Теперь удалим учетную запись пользователя:
Remove-ADUser a.novak

Картинка с сайта: winitpro.ru

Чтобы найти удаленную учетную запись пользователя в корзине AD, воспользуйтесь командлетом Get-ADObject с параметром IncludeDeletedObjects:

Get-ADObject -Filter 'Name -like "*novak*"' –IncludeDeletedObjects

Картинка с сайта: winitpro.ru

Удаленный пользователь нашелся в контейнере Deleted Objects.

Выведем значение атрибута IsDeleted, название исходного OU, в котором находился пользователь перед удалением (LastKnownParent), а также список групп, в которых он состоял:

Get-ADObject -Filter 'Name -like "*novak*"' –IncludeDeletedObjects -Properties *| select-object Name, sAMAccountName, LastKnownParent, memberOf, IsDeleted|fl

Картинка с сайта: winitpro.ru

Чтобы восстановить учетную запись пользователя, скопируйте значение атрибута ObjectGUID и выполните команду:

Restore-ADObject -Identity ‘3dc33c7c-b912-4a19-b1b7-415c1395a34e’

Либо можно восстановить пользователя по его SAMAccountName:

Get-ADObject -Filter 'SAMAccountName -eq "a.novak"' –IncludeDeletedObjects | Restore-ADObject

Откройте консоль ADUC (dsa.msc) и проверьте, что учетная запись пользователя была восстановлена в тот же самый OU, где она находилась до удаления. После восстановления учетная запись пользователя будет отключена. Включите ее и сбросьте пароль, перед тем как отдавать ее пользователю.

Картинка с сайта: winitpro.ru

Восстановить удаленную группу AD:

Get-ADObject -Filter { Deleted -eq $True -and ObjectClass -eq 'group' -and Name -like '*Allow*' } –IncludeDeletedObjects| Restore-ADObject –verbose

Восстановить учетную запись компьютера:

Get-ADObject -Filter { Deleted -eq $True -and ObjectClass -eq 'computer' -and Name -like '*spb-fs02*' } –IncludeDeletedObjects| Restore-ADObject –verbose

Картинка с сайта: winitpro.ru

Рассмотрим другой сценарий. Допустим, на каком-то OU была отключена опция Protect object from accidental deletion и вы случайно удалили OU вместе со всеми вложенными пользователями, компьютерами и группами.

Картинка с сайта: winitpro.ru

Корзина AD не позволяет автоматически восстановить объект вместе с иерархией. Удаленную OU можно восстановить вместе со всеми вложенными объектами с помощью PowerShell скрипта:

1. Сначала нужно восстановить корневой OU:
   Get-ADObject -Filter { Deleted -eq $True -and ObjectClass -eq 'organizationalunit' -and Name -like '*SPB*' } –IncludeDeletedObjects| Restore-ADObject
2. Затем все вложенные OU:
   Get-ADObject -Filter { Deleted -eq $True -and ObjectClass -eq 'organizationalunit' -and LastKnownParent -eq 'OU=SPB,DC=winitpro,DC=ru' } –IncludeDeletedObjects| Restore-ADObject
3. Теперь можно восстановить все удаленные объекты в этих OU по параметру LastKnownParent (пользователей, компьютеры, группы, контакты):
   Get-ADObject -Filter { Deleted -eq $True} –IncludeDeletedObjects -Properties *| Where-Object LastKnownParent -like '*OU=SPB,DC=winitpro,DC=ru'| Restore-ADObject

Как восстановить удаленного пользователя если корзина AD отключена?

Если корзина Active Directory в вашем лесу отключена, можно восстановить удаленные объекты с помощью утилиты ldp.exe (используется несложная, но громоздкая процедура) или с помощью официальной утилиты adrestore.exe от Microsoft (самый простой и быстрый вариант).

1. Скачайте архив с утилитой AdRestore (https://learn.microsoft.com/en-us/sysinternals/downloads/adrestore) и распакуйте на контроллере домена
2. Откройте командную строку с правами администратора и выведите список удаленных объектов в домене:
   .\adrestore64.exe
3. Чтобы вывести информацию о конкретном удалённом пользователе, укажите его имя:
   .\adrestore64.exe "Anton Grey"
   

   Картинка с сайта: winitpro.ru

4. Чтобы восстановить объект, скопируйте его GUID и выполните команду:
   .\adrestore64.exe -r GUID
   

   Картинка с сайта: winitpro.ru

5. Подтвердите восстановление объекта:
   y
6. Проверьте, что пользователь был восстановлен в исходную OU:
   Get-ADUser -Filter {cn -eq "Anton Grey"}
   

   Картинка с сайта: winitpro.ru

7. Учетная запись пользователя после восстановления отключена и пароль не задан. Нужно сбросить пароль пользователя и включить учетку:
   Set-ADAccountPassword a.grey -Reset
Get-ADUser a.grey| Enable-ADAccount

Картинка с сайта: winitpro.ru

При таком способе восстановления (в отличии от способа с AD Recycle Bin), значения большинства атрибутов пользователя (включая группы, в которых он состоял) будут потеряны. Останутся только базовые атрибуты, такие как GUID, SID, CN и т.д.

Если вам нужно восстановить удаленный объект со всеми атрибутами, потребуется более сложная процедура восстановления резервной копии AD. Используется сценарий авторитетного восстановления объекта из system state backup с помощью
ntdsutil
.

Наличие корзины существенно упрощает восстановление случайно удаленных учетных записей в AD. Однако AD Recycle Bin не заменяет полноценное резервное копирование базы AD.

Even in professionally managed network environments it is still possible for mistakes to happen. If an Active Directory object such as a user or computer account is accidentally deleted  network access will be lost. Worker productivity will decline until the account is restored and IT support costs will add to the total expense incurred by the organization.

In the past the best method to restore a deleted AD object is to reboot a domain controller into Active Directory Restore Mode, logon the computer with a special administrative account, and restore the Active Directory database from a backup file. The final steps are to run the NTDSUTIL command line utility to authoritatively restore the object in question and then reboot the computer into normal mode. This procedure is cumbersome, time consuming and requires that the backup file selected contains the most current version of the object.  Many administrators have wished that an easier method was available.

With the introduction of Windows Server 2008 R2 it is possible to enable an Active Directory Recycle Bin. Deleted AD objects can be restored complete with all object related attributes intact. These attributes includes user and computer account group memberships. In order to enable the Active Directory Recycle Bin all Domain Controllers in the Domain must first be upgraded to Windows Server 2008 R2. The Domain functional level of the Domain and the Forest must be raised to 2008 R2 functional level. This can be accomplished in the Domains and Trusts administrative console. If the Active Directory Forest was created using Windows 2000 or 2003 Server it is also necessary for a member of the Schema Admins group to update the Active Directory Schema by running the ADPREP /Forest Prep command on the Schema Master domain controller and the ADPREP /DomainPrep command on the Infrastructure Master computer. Raising functional levels may affect some applications that integrate with Active Directory, therefore it is important to research possible issues before raising the levels.

Once the functional levels are raised the Recycle Bin can be enabled using the following PowerShell command: “Enable-ADOptionalFeature -Identity <ADOptionalFeature> -Scope <ADOptionalFeatureScope> -Target <ADEntity>”. This command must be run using the Active Directory Module for Windows PowerShell  by an member of the Enterprise Administrators group.  Microsoft gives us an example of how this command would look when it is used to enable the Recycle Bin for the Contoso.com domain:

“Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature, CN=Optional Features,CN=Directory Service, CN=WindowsNT, CN=Services, CN=Configuration, DC=contoso, DC=com’ –Scope ForestOrConfigurationSet –Target ‘contoso.com’”

Now that the Recycle Bin is enabled, deleted object can be recovered using either PowerShell or the ldp.exe utility. This process is described by Microsoft here: http://technet.microsoft.com/en-us/library/dd379509(WS.10).aspx

Save yourself time and aggravation by enabling the Active Directory Recycle Bin soon!

-Mark

Related Courses

Configuring, Managing, and Maintaining Server 2008 R2 (M6419)

Configuring and Troubleshooting Windows Server 2008 Active Directory Domain Services (M6425)