При удалении любого объекта в Active Directory (пользователя, группы, компьютера или OU), он не удаляется немедленно. В течении 180 дней удаленные объекты AD можно восстановить с помощью графических инструментов или консольных утилит/PowerShell.
Содержание:
- Корзина AD (Active Directory Recycle Bin) в Windows Server
- Восстановление удаленного пользователя из корзины Active Directory
- Как восстановить удаленного пользователя если корзина AD отключена?
Когда объект удаляется из каталога Active Directory, он физически не удаляются из базы, о помечается логически удаленным (атрибут isDeleted = true). В течении 180 дней (значение по-умолчанию, которое задается в атрибуте домена msDS-deletedObjectLifetime), удаленный объект можно восстановить.
Прежде чем приступать к случайно удаленного объекта, нужно проверить, включена ли в домене корзина Active Directory Recycle Bin или нет. От этого будут зависеть ваши дальнейшие действия.
Корзина AD (Active Directory Recycle Bin) в Windows Server
Начиная с функционального уровня домена Windows Server 2008 R2, в Active Directory можно включить корзину (Active Directory Recycle Bin). Такая корзина для удаленных объектов существенно упрощает восстановление объектов в AD, без потери атрибутов и членства в группах.
По умолчанию в течении 180 дней (определяется в атрибуте домена msDS-deletedObjectLifetime) вы можете восстановить удаленный объект. Если данный срок прошел, объект все еще остается в контейнере Deleted Objects, но большинство его атрибутов и связей очищаются (Recycled Object). После истечения периода tombstoneLifetime (по умолчанию также 180 дней, но можно увеличить) объект полностью удаляется из AD автоматическим процессом очистки и не может быть восстановлен (можно восстановить только их резервной копии контроллера домен AD).
Проверить, включена ли корзина в вашем лесу AD можно с помощью PowerShell (по умолчанию AD Recycle Bin отключена и включается только вручную Enterprise администратором)
Проверяем, что уровень леса AD не ниже Windows2008R2Forest:
Get-ADForest |Select-Object forestmode
Проверить, включена ли AD Recycle Bin в лесу:
Get-ADOptionalFeature "Recycle Bin Feature" | select-object name,EnabledScopes
Если значение EnabledScopes не пустое, значит в вашем домене корзина Active Directory уже включена. В этом случае переходите к разделу статьи, описывающему восстановление удаленных объектов из корзины AD.
Если корзина отключена, тогда нужно перейди к инструкциям в разделе Восстановление удаленного пользователя, без AD Recycle Bin.
Здесь нужно понимать, что
не нужно включать корзину AD
после того, как вы случайно удалили, например, пользователя AD. Это сделает только хуже, т.к. корзина включается только вручную администратором на уровне леса, это
однократное, необратимое (!!)
изменение в схему AD, при котором все
ранее удаленные объекты очищаются
.
Поэтому включать корзину можно только после того, как вы убедились, что среди удаленных объектов AD отсутствуют объекты, которые вы, возможно, захотите восстановить.
Включить Active Directory Recycle Bin можно с помощью команды Enable-ADOptionalFeature:
Enable-ADOptionalFeature "Recycle Bin Feature" -Scope ForestOrConfigurationSet -Target "winitpro.ru"
Или, еще проще, из графической консоли Active Directory Administrative Center (
dsac.exe
). Запустите консоль ADAC, подключитесь к корневому домену, щелкните по имени домена и выберите Enable Recycle Bin.
Восстановление удаленного пользователя из корзины Active Directory
Рассмотрим на простом примере, как восстановить удаленный объект из корзины Active Directory. Например, попробуем удалить учетную запись пользователя, а затем восстановить его из корзины AD.
После того, как корзина AD включена, все удаляемые объекты перемещаются в специальный скрытый контейнер Deleted Objects (не отображается в обычной mmc оснастке ADUC). Найдите этот контейнер в консоли Active Directory Administrative Center (
dsac.exe
).
Здесь отображаются все удаленные объекты, включая пользователей, компьютеры, контакты, группы и OU. Здесь указаны также дата удаления и исходный OU (last know parent).
Чтобы восстановить объект, щелкните по нему и выберите Restore (для восстановления в исходный OU), либо Restore to (восстановление в произвольный раздел AD).
При восстановлении удаленного пользователя из корзины, у объекта восстанавливаются значение большинства его атрибутов и членство в группах AD.
Для поиска удаленных объектов и их восстановления можно использовать PowerShell. Сначала удалим пользователя, а потом попробуем восстановить его из командной строки.
С помощью командлета Get-ADUser выведем значения атрибута пользователя IsDeleted (он пустой).
get-aduser a.novak -Properties *| Select-Object IsDeleted
Теперь удалим учетную запись пользователя:
Remove-ADUser a.novak
Чтобы найти удаленную учетную запись пользователя в корзине AD, воспользуйтесь командлетом Get-ADObject с параметром IncludeDeletedObjects:
Get-ADObject -Filter 'Name -like "*novak*"' –IncludeDeletedObjects
Удаленный пользователь нашелся в контейнере Deleted Objects.
Выведем значение атрибута IsDeleted, название исходного OU, в котором находился пользователь перед удалением (LastKnownParent), а также список групп, в которых он состоял:
Get-ADObject -Filter 'Name -like "*novak*"' –IncludeDeletedObjects -Properties *| select-object Name, sAMAccountName, LastKnownParent, memberOf, IsDeleted|fl
Если вы не помните имя пользователя, которого удалили, можно вывести полный список удаленных объектов в корзине Active Directory:
Get-ADObject –filter {Deleted -eq $True -and ObjectClass -eq "user"} –includeDeletedObjects
Чтобы восстановить учетную запись пользователя, скопируйте значение атрибута ObjectGUID и выполните команду:
Restore-ADObject -Identity ‘3dc33c7c-b912-4a19-b1b7-415c1395a34e’
Либо можно восстановить пользователя по его SAMAccountName:
Get-ADObject -Filter 'SAMAccountName -eq "a.novak"' –IncludeDeletedObjects | Restore-ADObject
Откройте консоль ADUC (dsa.msc) и проверьте, что учетная запись пользователя была восстановлена в тот же самый OU, где она находилась до удаления. После восстановления учетная запись пользователя будет отключена. Включите ее и сбросьте пароль, перед тем как отдавать ее пользователю.
Восстановить удаленную группу AD:
Get-ADObject -Filter { Deleted -eq $True -and ObjectClass -eq 'group' -and Name -like '*Allow*' } –IncludeDeletedObjects| Restore-ADObject –verbose
Восстановить учетную запись компьютера:
Get-ADObject -Filter { Deleted -eq $True -and ObjectClass -eq 'computer' -and Name -like '*spb-fs02*' } –IncludeDeletedObjects| Restore-ADObject –verbose
Рассмотрим другой сценарий. Допустим, на каком-то OU была отключена опция Protect object from accidental deletion и вы случайно удалили OU вместе со всеми вложенными пользователями, компьютерами и группами.
Корзина AD не позволяет автоматически восстановить объект вместе с иерархией. Удаленную OU можно восстановить вместе со всеми вложенными объектами с помощью PowerShell скрипта:
- Сначала нужно восстановить корневой OU:
Get-ADObject -Filter { Deleted -eq $True -and ObjectClass -eq 'organizationalunit' -and Name -like '*SPB*' } –IncludeDeletedObjects| Restore-ADObject - Затем все вложенные OU:
Get-ADObject -Filter { Deleted -eq $True -and ObjectClass -eq 'organizationalunit' -and LastKnownParent -eq 'OU=SPB,DC=winitpro,DC=ru' } –IncludeDeletedObjects| Restore-ADObject - Теперь можно восстановить все удаленные объекты в этих OU по параметру LastKnownParent (пользователей, компьютеры, группы, контакты):
Get-ADObject -Filter { Deleted -eq $True} –IncludeDeletedObjects -Properties *| Where-Object LastKnownParent -like '*OU=SPB,DC=winitpro,DC=ru'| Restore-ADObject
Как восстановить удаленного пользователя если корзина AD отключена?
Если корзина Active Directory в вашем лесу отключена, можно восстановить удаленные объекты с помощью утилиты ldp.exe (используется несложная, но громоздкая процедура) или с помощью официальной утилиты adrestore.exe от Microsoft (самый простой и быстрый вариант).
- Скачайте архив с утилитой AdRestore (https://learn.microsoft.com/en-us/sysinternals/downloads/adrestore) и распакуйте на контроллере домена
- Откройте командную строку с правами администратора и выведите список удаленных объектов в домене:
.\adrestore64.exe - Чтобы вывести информацию о конкретном удалённом пользователе, укажите его имя:
.\adrestore64.exe "Anton Grey"
- Чтобы восстановить объект, скопируйте его GUID и выполните команду:
.\adrestore64.exe -r GUID
- Подтвердите восстановление объекта:
y - Проверьте, что пользователь был восстановлен в исходную OU:
Get-ADUser -Filter {cn -eq "Anton Grey"}
- Учетная запись пользователя после восстановления отключена и пароль не задан. Нужно сбросить пароль пользователя и включить учетку:
Set-ADAccountPassword a.grey -Reset
Get-ADUser a.grey| Enable-ADAccount
При таком способе восстановления (в отличии от способа с AD Recycle Bin), значения большинства атрибутов пользователя (включая группы, в которых он состоял) будут потеряны. Останутся только базовые атрибуты, такие как GUID, SID, CN и т.д.
Если вам нужно восстановить удаленный объект со всеми атрибутами, потребуется более сложная процедура восстановления резервной копии AD. Используется сценарий авторитетного восстановления объекта из system state backup с помощью
ntdsutil
.
Наличие корзины существенно упрощает восстановление случайно удаленных учетных записей в AD. Однако AD Recycle Bin не заменяет полноценное резервное копирование базы AD.
SysAdmin
Windows Server
399
При установке роли Active Directory (AD DS) и повышении сервера до уровня контроллера домена корзина Active Directory по умолчанию отключена. Хотя и рекомендуется включать данную функцию, но этот шаг не включён в стандартный процесс развертывания. Поэтому важно вручную включить корзину Active Directory на сервере Windows после его настройки. В этой статье я расскажу, как это сделать.
Онлайн-курс: Zabbix 6. Мониторинг IT инфраструктуры предприятия.
Курс предлагает глубокое изучение Zabbix 6 и охватывает все ключевые аспекты: от установки и конфигурации до продвинутого мониторинга и автоматизации. Курс подходит как для начинающих, так и для опытных администраторов.
Содержание:
- Включение корзины Active Directory
- Включение корзины Active Directory с помощью PowerShell
- Заключение
Включение корзины Active Directory
Примечание: Если в вашей организации имеется несколько контроллеров домена, корзину Active Directory следует активировать только на одном из них. Этот контроллер домена включит её для всего леса и реплицирует изменения на остальные контроллеры.
- Войдите в систему на своем контроллере домена.
- Запустите Server Manager
- Перейдите в раздел Tools и выберите Active Directory Administrative Center.
- Выберите свой домен и нажмите на него. Затем выберите пункт Enable Recycle Bin.
Примечание: Важно отметить, что после включения корзины в Active Directory, отключить её будет невозможно.
- Нажмите OK для подтверждения.
- Снова нажмите OK.
- Нажмите на значок обновления. Убедитесь, что опция Enable Recycle Bin теперь неактивна и выделена серым цветом, что означает успешную активацию корзины.
Поздравляю, вы успешно включили корзину Active Directory в Windows Server! Теперь удаленные объекты в Active Directory будут перемещаться в корзину и смогут быть восстановлены в течение определенного времени.
Включение корзины Active Directory с помощью PowerShell
Чтобы включить корзину AD с помощью PowerShell, выполните следующие шаги:
- Войдите в систему на своем контроллере домена.
- Запустите PowerShell от имени администратора.
- Выполните командлет Get-ADForest, чтобы найти корневой домен леса.
Get-ADForest | Select-Object RootDomain
В качестве корневого домена в моем примере используется exoip.local.
RootDomain
----------
exoip.local
- Нажмите OK для подтверждения.
Запустите командлет Enable-ADOptionalFeature и укажите корневой домен после параметра -Target, чтобы включить корзину AD:
Enable-ADOptionalFeature "Recycle Bin Feature" -Scope ForestOrConfigurationSet -Target "exoip.local"
- Нажмите Y и Enter для подтверждения.
- Запустите командлет Get-ADOptionalFeature, чтобы убедиться, что корзина AD успешно включена.
Get-ADOptionalFeature "Recycle Bin Feature"
В выводе командлета Get-ADOptionalFeature вы увидите атрибут EnabledScopes. Если в этом атрибуте указано какое-то значение, значит корзина Active Directory успешно включена. Если же он пуст, это означает, что корзина не была активирована.
EnabledScopes : {CN=NTDS Settings,CN=DC01-2022,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=
exoip,DC=local, CN=Partitions,CN=Configuration,DC=exoip,DC=local, CN=NTDS Settings,CN=DC02-2022,CN
=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=exoip,DC=local}
Вот и все!
Заключение
Вы узнали, как активировать корзину Active Directory в Windows Server. Очень важно включить ее или убедиться, что она активна в лесу AD. Это значительно облегчит восстановление удаленных объектов при необходимости.
Вам понравилась эта статья? Тогда вам, скорее всего, будет интересна другая полезная статья Как проверить работоспособности Active Directory с помощью скрипта PowerShell.
Интересуешься IT и системным администрированием? Подпишись на SysAdminHub в телеграмм, чтобы узнавать обо всем первым — t.me/SysAdminHub
Статья была полезна? Поддержи автора, и благодаря твоей помощи новые материалы будут выходить еще чаще:
Время на прочтение5 мин
Количество просмотров17K
Продолжаем публиковать серию статей, посвященных восстановлению объектов Active Directory и применяемым для этого инструментам.
В предыдущей статье мы разбирали случаи, когда администраторам приходится работать с контроллерами домена, где в Active Directory установлен функциональный режим работы леса Windows Server 2003 или Windows Server 2008. Как вы помните, мы подробно рассмотрели шаги, необходимые для восстановления tombstone-объектов с помощью утилиты LDP и инструмента Veeam Explorer для Microsoft Active Directory.
Сегодня перейдем к более современным системам, которые позволяют использовать функцию корзины Active Directory. За подробностями прошу под кат.
Как работает корзина Active Directory
Microsoft впервые реализовала долгожданную корзину Active Directory в ОС Windows Server 2008 R2. При этом изменился жизненный цикл объектов Active Directory и порядок их удаления. Так, после удаления объекта теперь происходит вот что:
- Сразу после удаления объект перемещается в контейнер удаленных объектов, где он и находится до окончания времени существования удаленного объекта (по умолчанию это время равняется времени существования recycled-объекта).
Важно! Все связанные и несвязанные атрибуты объекта сохраняются в системе в течение того же времени. Это означает, что в течение указанного периода объект можно восстановить вместе со всеми атрибутами. - После окончания времени существования объекта система меняет его состояние на recycled и сбрасывает большинство атрибутов. Объект становится аналогичен удаленному (tombstone) в Windows Server 2003 и Windows Server 2008. Единственная разница заключается в том, что теперь его невозможно восстановить.
- По истечении времени существования recycled-объекта (по умолчанию 180 дней) его автоматически удаляет сборщик мусора.
Схематично эти этапы можно изобразить так:
Включение корзины Active Directory
В настоящее время корзина по умолчанию не активирована ни в одной ОС Windows Server. Чтобы использовать ее, нужно подготовить инфраструктуру: убедиться, что все контроллеры домена работают под управлением Windows Server 2008 R2 или выше, и установить функциональный режим работы леса на Windows Server 2008 R2 или выше.
Полезно: Активацию корзины Active Directory, как и любые другие существенные изменения настроек Active Directory (или другой производственной системы) рекомендуется сначала протестировать в «песочнице». Для этого можно использовать технологию виртуальной лаборатории Veeam. Кроме контроллера домена, в виртуальной лаборатория можно запускать и другие критически важные виртуальные машины. Эта технология очень помогает при тестировании совместимости многоуровневых приложений после внесения изменений. В зависимости от конфигурации, виртуальную лабораторию можно запустить из резервных копий, реплик или даже аппаратных снимков. Это позволит избежать неприятных сюрпризов при изменении настроек производственной среды.
Прежде чем начать использовать корзину Active Directory, необходимо учесть следующее:
- При включении корзины Active Directory все tombstone-объекты превратятся в recycled-объекты, и восстановить их после этого будет уже невозможно.
- Восстановление нескольких зависимых объектов может вызвать затруднения, поскольку его необходимо выполнять в строго определенном порядке, начиная с верхних уровней иерархии.
- В Windows Server 2008 R2 все операции с корзиной выполняются с помощью командлетов PowerShell. В Windows Server 2012 все действия с корзиной можно выполнить через пользовательский интерфейс, используя Центр администрирования Active Directory (ADAC).
- Корзина не имеет ничего общего с бэкапом Active Directory и не позволит восстановить контроллер домена целиком, если он поврежден.
Плюсы и минусы корзины Active Directory
При включении корзины Active Directory вы увидите в Центре администрирования Active Directory новый контейнер удаленных объектов Deleted Objects. В этом контейнере вы найдете все удаленные объекты, сможете просмотреть их свойства и восстановить их в исходное или любое другое место по своему выбору.
Хотя на первый взгляд восстанавливать отдельные объекты с помощью этой функции гораздо проще, чем с помощью утилиты LDP или «authoritative»-восстановления контроллера домена, необходимо помнить о некоторых подводных камнях. Ниже перечислены плюсы и минусы использования корзины Active Directory.
Плюсы
- Универсальный способ для доменов с функциональным уровнем Windows Server 2008 R2 (и более поздних).
- Длительное время существования объекта (по умолчанию 180 дней — достаточный срок для решения большинства задач).
- Сохранение атрибутов объекта в течение времени его существования.
- Не требуется перезапуск контроллера домена.
- Графический интерфейс управления (ADAC) для Windows Server 2012 и выше.
Минусы
- Не работает для доменов с функциональным режимом работы леса Windows Server 2008 и ранее.
- Не подходит для восстановления измененных объектов (восстановить объект можно, только если он был удален).
- Восстановление возможно только в течение времени существования объекта.
- Не обеспечивает защиту от проблем с самим контроллером домена (не может сравниться с резервной копией).
- Не поддерживает автоматическое восстановление иерархии.
Второй пункт здесь особенно важен. Что делать, если объект был не удален, а случайно изменен, и ошибка обнаружилась заметно позже? К сожалению, корзина здесь не поможет, и для этой проблемы требуется другое решение.
Как Veeam позволяет обойти ограничения корзины
Конечно, для большинства из вас минусы корзины не станут причиной отказаться от нее. Однако те, кто хочет получить универсальное решение для всех задач, должны задуматься о преодолении недостатков корзины. И здесь на сцену выходит Veeam с уже обсуждавшимся ранее Veeam Explorer для Active Directory. Этот инструмент полностью устраняет ограничения корзины Active Directory:
- С его помощью все объекты Active Directory будут защищены в течение всего срока хранения резервных копий.
- Его можно использовать для доменов с функциональным режимом работы леса Windows Server 2003 и выше.
Важно! Этот инструмент входит в состав всех редакций Veeam Backup & Replication, в том числе и в его бесплатную редакцию.
Используя совместно Veeam Backup & Replication и Veeam Explorer для Active Directory, вы можете мгновенно восстановить контроллер домена целиком или восстановить отдельные объекты Active Directory: подразделения (OU), учетные записи компьютеров и пользователей вместе с паролями, объекты групповых политик, записи DNS и т. д. Кроме того, запустив Explorer, вы можете легко сравнить объекты в резервной копии с текущими объектами в производственной среде и обнаружить различия, а также выявить измененные атрибуты.
Ниже приведен пример ситуации, когда администратор обнаружил изменение атрибутов учетной записи пользователя и должен восстановить ее в исходное состояние.
В любом случае, если вы заранее позаботитесь об устранении последствий возможных сбоев Active Directory и протестируете различные инструменты для решения этой задачи, в дальнейшем вы сможете спать спокойно.
Дополнительные ссылки
Статья на Хабре: Восстановление удаленных объектов AD из tombstone-объектов
Статья на Хабре: Восстановление контроллера домена из резервной копии с помощью Veeam
Статья на Хабре: Резервное копирование контроллеров домена с помощью Veeam
Корзина Active Directory позволяет администратору домена восстановить любой удаленный объект в домене AD (пользователя, компьютер, группу безопасности). Корзина Active Directory доступа во всех версиях AD, начиная с Windows Server 2008 R2. В этой статье мы покажем, как включить корзину Active Directory Recycle Bin и восстановить удаленный объект.
По умолчанию корзина AD в домене отключена во всех версиях Windows Server. Вы можете проверить состояние корзины с помощью командлета.
Get-ADOptionalFeature "Recycle Bin Feature" | select-object name, EnabledScopes
Если значение EnabledScopes пустое, это означит, что корзина AD не включена.
Чтобы включить корзину Active Directory Recycle Bin,все контроллеры домена должны работать под управлением Windows Server 2008 R2 (или выше), а функциональный режим работы леса должен быть Windows Server 2008 R2 или выше.
Вы можете проверить функциональный уровень леса AD с помощью команды:
Get-ADForest | select-object ForestMode|fl
Если уровень ForestMode ниже, чем Windows2008R2Forest, вам нужно выполнить обновление функционального уровня леса.
Вы можете включить корзину Active Directory в Windows Server 2022/2019/2022 с помощью команды PowerShell:
Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target vmblog.loc
Внимание. После включение, корзину AD нельзя выключить.
Также вы можете включить корзину AD из оснастки Active Directory Administrative Center. Запустите ADAC (dsac.exe), щёлкните правой кнопкой по имени домена и выберите опцию “Enable Recycle Bin”.
Подтвердите включение:
Enable Recycle Bin Confirmation. Are you sure you want to perform this action? Once Recycle Bin has enabled, it cannot be disabled.
После включения корзины Active Directory в Active Directory Administrative Center появится новый контейнер Deleted Objects. В этот контейнер будут помещаться все удаленные объекты Active Directory. Вы можете просмотреть свойства удаленных объектов, и восстановить их в исходную или другую OU.
Попробуем удалить учетную запись тестового пользователя в AD.
Все связанные и несвязанные атрибуты при удалении объекта AD сохраняются. Это означает, что вы можете восстановить объект вместе со всеми атрибутами.
Объект AD, помеченный как логически удаленный, храниться в течение срока жизни удаленного объекта. Срок этот определяется в атрибуте msDS-DeletedObjectLifetime, находящемся в CN=Directory Service,CN=Windows NT, CN=Services, CN=Configuration, DC=vmblog,DC=loc (по умолчанию он не определен). Затем объект помечается как утилизированный и храниться дальше, в течение срока жизни утилизированного объекта, который определяется атрибутом tombstoneLifetime (по умолчанию 180 дней).
Проверьте, что удаленный пользователь появился в контейнере Deleted Objects. Чтобы восстановить данный объект, щелкните по нему и выберите Restore или Restore to. Также здесь вы можете просмотреть свойства пользователя.
Вы можете найти удаленного пользователя и восстановить его из корзины AD с помощью PowerShell:
Get-ADObject -filter {displayname -eq "testuser1"} -Filter 'isDeleted -eq $true' –includedeletedobjects | Restore-ADObject
Вывести все удаленные объекты в корзине AD:
Get-ADObject -ldapFilter:"(msDS-LastKnownRDN=*)" – IncludeDeletedObjects
Продолжим тему восстановления объектов в Active Directory, начатую в предыдущей статье. Сегодня я расскажу об инструменте, который призван облегчить процесс восстановления данных и сделать его более эффективным. Речь идет о Active Directory Recycle Bin, или корзине для удаленных объектов Active Directory.
Принцип работы корзины
Для начала вспомним, как выглядит жизненный цикл объекта AD при удалении. Объект помечается как удаленный (атрибут isDeleted объекта устанавливается в true) и из него удаляются лишние атрибуты. Затем он переименовывается и перемещается в контейнер Deleted Objects, в котором хранится в течение срока жизни удаленного объекта. По истечении этого срока он удаляется окончательно.
При включении корзины Active Directory картина меняется. Теперь при удалении объекта Active Directory система сохраняет все атрибуты объекта, после чего объект помечается как логически удаленный (это новое состояние, появившееся в Windows Server 2008 R2). Его имя изменяется, атрибуту isDeleted назначается значение true и объект перемещается все в тот же контейнер Deleted Objects. В этом состоянии объект остается на протяжении срока жизни удаленного объекта. Пока объект находится в состоянии удаленный, его можно восстановить без потери атрибутов или членства в группах.
Когда срок жизни удаленного объекта заканчивается, он переводится в состояние утилизированный. В этом состоянии его атрибуту isRecycled присваивается значение true, связанные значения атрибутов (группы и др.), наряду с большинством обычных атрибутов удаляются, так же, как при отсутствие корзины. Объект, переведенный в это состояние, невозможно восстановить обычными способами. По истечении срока жизни утилизированного объекта он физически удаляется сборщиком мусора.
Условия для включения корзины
Корзина Active Directory впервые появилась в Windows Server 2008 R2. По умолчанию она неактивна и для ее включения необходимо соблюдение следующих условий:
1) Уровень функционирования леса должен быть не ниже Windows Server 2008 R2;
2) В лесу не должно быть контролеров домена под управлением Windows Server 2003;
3) Если лес изначально создавался на базе Windows Server 2003, необходимо осуществить обновление схемы.
Для обновления схемы надо выполнить adprep /forestprep на контроллере домена с ролью мастера схемы, выполнить adprep /domainprep /gpprep на контроллере домена с ролью мастера инфраструктуры. Если есть контроллер домена только для чтения (RODC), запустить на нем adprep /rodcprep.
Пара важных моментов, которые учесть до включения. Первое — после активизации корзины AD все ранее удаленные объекты становятся утилизированными и не смогут быть восстановлены. Второе — включение корзины AD процесс односторонний, т.е. если ее активировать, то отключить уже невозможно.
Включение корзины
Графического интерфейса для работы с Active Directory Recycle Bin в Server 2008 R2 нет. Майкрософт предлагает два способа работы с корзиной — утилита LDP или модуль Active Directory для PowerShell. На мой взгляд LDP имеет не очень дружелюбный 🙂 интерфейс, поэтому воспользуемся вторым способом.
Посмотреть состояние корзины и проверить, включена ли она, можно с помощью команды:
Get-ADOptionalFeature ′Recycle Bin Feature′
Как видите, у корзины нет активных областей (EnabledScopes), значит она не активна.
Включим корзину следующей командой:
Enable-ADOptionalFeature ′Recycle Bin Feature′ -Scope ForestOrConfigurationSet
-Target ′contoso.com′
И еще раз посмотрим свойства корзины. Теперь у нее есть включенные области, значит корзина активна.
Для восстановления из корзины используется командлет Get-ADObject с параметром
-IncludeDeletedObjects, а параметр -Filter позволяет задавать условия для поиска. Следующей командой мы укажем поиск всех объектов, удаленных из контейнера OU=Managers:
Get-ADObject -Filter ′isDeleted -eq $true -and lastKnownParent
-eq ″OU=Managers,DC=contoso,DC=com″′ -IncludeDeletedObjects
Найденный в результате объект пользователя восстановим командлетом Restore-ADObject, указав в параметре -Identity его ObjectGUID. При включенной корзине все атрибуты пользователя восстановятся вместе с учетной записью.
Имейте в виду, что кроме PowerShell и LDP для работы с корзиной можно использовать и другие инструменты, например AdRestore от Sysinternals или графическую утилиту Adrestore.NET. В любом случае объект будет восстановлен без потерь.
Время хранения удаленных объектов
Объект, помеченный как логически удаленный, храниться в течение срока жизни удаленного объекта. Срок этот определяется в атрибуте msDS-DeletedObjectLifetime, находящемся в CN=Directory Service,CN=Windows NT, CN=Services, CN=Configuration, DC=«Domain Name». Затем объект помечается как утилизированный и храниться дальше, в течение срока жизни утилизированного объекта, который определяется уже известным вам атрибутом tombstoneLifetime.
Пока все логично. А вот дальше…
По умолчанию msDS-DeletedObjectLifetime не определен, а время жизни удаленного объекта совпадает с временем жизни утилизированного объекта, которое определяется аттрибутом tombstoneLifetime и по умолчанию составляет 180 дней. Если же для атрибута msDS-deletedObjectLife задать какое либо значение, то этот атрибут более не будет принимать значение атрибута tombstoneLifetime.
Таким образом, время жизни удаленного объекта можно изменить двумя способами — задать атрибуту msDS-DeletedObjectLifetime собственное значение, или изменить значение атрибута tombstoneLifetime. Сделать это можно как через ADSIEdit, так и с помощью PowerShell. Для примера зададим значение msDS-DeletedObjectLifetime в домене contoso.com равным 365 дням:
Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,
CN=Services,CN=Configuration,DC=contoso,DC=com” –Partition
″CN=Configuration,DC=contoso,DC=com″ –Replace:@{″msDS-DeletedObjectLifetime″ = 365}
И такое-же значение дадим для tombstoneLifetime:
Set-ADObject -Identity ″CN=Directory Service,CN=Windows NT,
CN=Services,CN=Configuration,DC=contoso,DC=com″ –Partition
“CN=Configuration,DC=contoso,DC=com” –Replace:@{″tombstoneLifetime″ = 365}
Добавлю, что Microsoft не рекомендует без крайней необходимости изменять дефолтные значения атрибутов msDS-deletedObjectLifetime и tombstoneLifetime, поскольку это может привести к возникновению проблем.
Корзина AD в Windows Server 2012
В недавно вышедшем Windows Server 2012 корзина наконец обрела лицо, т.е. собственный графический интерфейс. Теперь включить ее можно из административного центра Active Directory.
После включения контейнер Deleted Objects отображается как обычная папка. По нему можно перемещаться, просматривать удаленные объекты, производить поиск с помощью фильтров. Найденый объект восстанавливается в два клика мышки. Очень удобно.
Корзина Active Directory штука очень полезная, но ее наличие не отменяет необходимость резервного копирования. В некоторых случаях, удаленные объекты можно восстановить только из архива, с помощью авторитативного восстановления. Подробнее об этом я расскажу в следующей статье.