Время на прочтение
5 мин
Количество просмотров 15K
Продолжаем публиковать серию статей, посвященных восстановлению объектов Active Directory и применяемым для этого инструментам.
В предыдущей статье мы разбирали случаи, когда администраторам приходится работать с контроллерами домена, где в Active Directory установлен функциональный режим работы леса Windows Server 2003 или Windows Server 2008. Как вы помните, мы подробно рассмотрели шаги, необходимые для восстановления tombstone-объектов с помощью утилиты LDP и инструмента Veeam Explorer для Microsoft Active Directory.
Сегодня перейдем к более современным системам, которые позволяют использовать функцию корзины Active Directory. За подробностями прошу под кат.
Как работает корзина Active Directory
Microsoft впервые реализовала долгожданную корзину Active Directory в ОС Windows Server 2008 R2. При этом изменился жизненный цикл объектов Active Directory и порядок их удаления. Так, после удаления объекта теперь происходит вот что:
- Сразу после удаления объект перемещается в контейнер удаленных объектов, где он и находится до окончания времени существования удаленного объекта (по умолчанию это время равняется времени существования recycled-объекта).
Важно! Все связанные и несвязанные атрибуты объекта сохраняются в системе в течение того же времени. Это означает, что в течение указанного периода объект можно восстановить вместе со всеми атрибутами. - После окончания времени существования объекта система меняет его состояние на recycled и сбрасывает большинство атрибутов. Объект становится аналогичен удаленному (tombstone) в Windows Server 2003 и Windows Server 2008. Единственная разница заключается в том, что теперь его невозможно восстановить.
- По истечении времени существования recycled-объекта (по умолчанию 180 дней) его автоматически удаляет сборщик мусора.
Схематично эти этапы можно изобразить так:
Включение корзины Active Directory
В настоящее время корзина по умолчанию не активирована ни в одной ОС Windows Server. Чтобы использовать ее, нужно подготовить инфраструктуру: убедиться, что все контроллеры домена работают под управлением Windows Server 2008 R2 или выше, и установить функциональный режим работы леса на Windows Server 2008 R2 или выше.
Полезно: Активацию корзины Active Directory, как и любые другие существенные изменения настроек Active Directory (или другой производственной системы) рекомендуется сначала протестировать в «песочнице». Для этого можно использовать технологию виртуальной лаборатории Veeam. Кроме контроллера домена, в виртуальной лаборатория можно запускать и другие критически важные виртуальные машины. Эта технология очень помогает при тестировании совместимости многоуровневых приложений после внесения изменений. В зависимости от конфигурации, виртуальную лабораторию можно запустить из резервных копий, реплик или даже аппаратных снимков. Это позволит избежать неприятных сюрпризов при изменении настроек производственной среды.
Прежде чем начать использовать корзину Active Directory, необходимо учесть следующее:
- При включении корзины Active Directory все tombstone-объекты превратятся в recycled-объекты, и восстановить их после этого будет уже невозможно.
- Восстановление нескольких зависимых объектов может вызвать затруднения, поскольку его необходимо выполнять в строго определенном порядке, начиная с верхних уровней иерархии.
- В Windows Server 2008 R2 все операции с корзиной выполняются с помощью командлетов PowerShell. В Windows Server 2012 все действия с корзиной можно выполнить через пользовательский интерфейс, используя Центр администрирования Active Directory (ADAC).
- Корзина не имеет ничего общего с бэкапом Active Directory и не позволит восстановить контроллер домена целиком, если он поврежден.
Плюсы и минусы корзины Active Directory
При включении корзины Active Directory вы увидите в Центре администрирования Active Directory новый контейнер удаленных объектов Deleted Objects. В этом контейнере вы найдете все удаленные объекты, сможете просмотреть их свойства и восстановить их в исходное или любое другое место по своему выбору.
Хотя на первый взгляд восстанавливать отдельные объекты с помощью этой функции гораздо проще, чем с помощью утилиты LDP или «authoritative»-восстановления контроллера домена, необходимо помнить о некоторых подводных камнях. Ниже перечислены плюсы и минусы использования корзины Active Directory.
Плюсы
- Универсальный способ для доменов с функциональным уровнем Windows Server 2008 R2 (и более поздних).
- Длительное время существования объекта (по умолчанию 180 дней — достаточный срок для решения большинства задач).
- Сохранение атрибутов объекта в течение времени его существования.
- Не требуется перезапуск контроллера домена.
- Графический интерфейс управления (ADAC) для Windows Server 2012 и выше.
Минусы
- Не работает для доменов с функциональным режимом работы леса Windows Server 2008 и ранее.
- Не подходит для восстановления измененных объектов (восстановить объект можно, только если он был удален).
- Восстановление возможно только в течение времени существования объекта.
- Не обеспечивает защиту от проблем с самим контроллером домена (не может сравниться с резервной копией).
- Не поддерживает автоматическое восстановление иерархии.
Второй пункт здесь особенно важен. Что делать, если объект был не удален, а случайно изменен, и ошибка обнаружилась заметно позже? К сожалению, корзина здесь не поможет, и для этой проблемы требуется другое решение.
Как Veeam позволяет обойти ограничения корзины
Конечно, для большинства из вас минусы корзины не станут причиной отказаться от нее. Однако те, кто хочет получить универсальное решение для всех задач, должны задуматься о преодолении недостатков корзины. И здесь на сцену выходит Veeam с уже обсуждавшимся ранее Veeam Explorer для Active Directory. Этот инструмент полностью устраняет ограничения корзины Active Directory:
- С его помощью все объекты Active Directory будут защищены в течение всего срока хранения резервных копий.
- Его можно использовать для доменов с функциональным режимом работы леса Windows Server 2003 и выше.
Важно! Этот инструмент входит в состав всех редакций Veeam Backup & Replication, в том числе и в его бесплатную редакцию.
Используя совместно Veeam Backup & Replication и Veeam Explorer для Active Directory, вы можете мгновенно восстановить контроллер домена целиком или восстановить отдельные объекты Active Directory: подразделения (OU), учетные записи компьютеров и пользователей вместе с паролями, объекты групповых политик, записи DNS и т. д. Кроме того, запустив Explorer, вы можете легко сравнить объекты в резервной копии с текущими объектами в производственной среде и обнаружить различия, а также выявить измененные атрибуты.
Ниже приведен пример ситуации, когда администратор обнаружил изменение атрибутов учетной записи пользователя и должен восстановить ее в исходное состояние.
В любом случае, если вы заранее позаботитесь об устранении последствий возможных сбоев Active Directory и протестируете различные инструменты для решения этой задачи, в дальнейшем вы сможете спать спокойно.
Дополнительные ссылки
Статья на Хабре: Восстановление удаленных объектов AD из tombstone-объектов
Статья на Хабре: Восстановление контроллера домена из резервной копии с помощью Veeam
Статья на Хабре: Резервное копирование контроллеров домена с помощью Veeam
До Windows Server 2008 R2, восстановление удаленных из базы AD объектов, требовало выполнение авторитативного восстановления всей базы AD, либо приходилось использовать third-party software, которое по факту восстанавливало из специального контейнера объект, с перезаписью части атрибутов, либо создавало новый объект, с атрибутами старого.
Начиная с версии Windows Server 2008 R2, в службе каталогов Active Directory появилась давно ожидаемая функция корзины (Recycle Bin) Active Directory, после ее включения, удаленные объекты помечаются как удаленные, но при этом сохраняют значения всех своих атрибутов. Для восстановления такого объекта, требуется лишь изменить атрибут, помечающий объект для удаления, что намного упрощает процесс восстановления случайно удаленных объектов. Важно понимать, что включение корзины нельзя отменить, ее можно только включить и нельзся выключить.
Для включения корзины, лес AD должен иметь функциональный уровень не ниже Windows Server 2008 R2, как проверить текущий уровеннь функционирования леса можно прочитать в статье: Как определить функциональный уровень домена/леса Active Directory?
По умолчанию:
- корзина Active Directory выключена, независимо от того, это старый лес или вновь развернутый.
- после включения корзины, удаленный объект может быть восстановлен в течение 180 дней. (Это значение определяется в атрибуте msDS-deletedObjectLifetime и может быть изменено)
Ниже будет рассмотрено два основных способа включения корзины Active Directory: Используя GUI и используя PowerShell.
Включение корзины Active Directory используя графический интерфейс
Включение корзины через GUI появилось начиная с Windows Server 2012 и выполняется используя оснастку Active Directory Administrative Center (ADAC). Ее можно запустить из окна
Server Manager -> Tools -> Active Directory Administrative Center
или используя пункт
Start -> Windows Administrative tools -> Active Directory Administrative Center
В запустившемся окне Active Directory Administrative Center, в левой колонке выбрать домен, и нажав правую кнопку мыши выбрать пункт меню Enable Recycle Bin.
В появившемся окне, подтверждаем свое желание включить корзину AD, Нажав OK.
Далее появится окно, подтверждающее, что корзина включена, и началась репликация данного изменения по всему лесу.
Включение корзины Active Directory через PowerShell
Для включения корзины AD, используя PowerShell необходимо:
1. Подгрузить модуль Active Directory for Windows PowerShell, если этого не было сделано ранее
Import-Module ActiveDirectory2. Выполнить команду по активации корзины:
Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target <RootForest>где, RootForest — это корневой домен леса
Восстановление удаленных элементов Active Directory при включенной корзине
Для восстановления удаленных элементов, в службе каталогов Active Directory, в которое ранее уже была включена корзина, необходимо:
1. Запустить Active Directory Administrative Center (ADAC)
2. Перейти в контейнер Deleted Objects
3. Найти удаленный элемент и нажать:
Restore — для восстановления в OU в котором ранее располагался данный объект
Restore To — восстановить с выбором нового места расположения объекта
PS включение корзины AD существенно снижает риски негативных последствий от случайного или наверенного удаления объектов в Active Directory. Однако, включение корзины не избавляет от необходимости выполнения регулярного резервного копирования базы AD.
Продолжим тему восстановления объектов в Active Directory, начатую в предыдущей статье. Сегодня я расскажу об инструменте, который призван облегчить процесс восстановления данных и сделать его более эффективным. Речь идет о Active Directory Recycle Bin, или корзине для удаленных объектов Active Directory.
Принцип работы корзины
Для начала вспомним, как выглядит жизненный цикл объекта AD при удалении. Объект помечается как удаленный (атрибут isDeleted объекта устанавливается в true) и из него удаляются лишние атрибуты. Затем он переименовывается и перемещается в контейнер Deleted Objects, в котором хранится в течение срока жизни удаленного объекта. По истечении этого срока он удаляется окончательно.
При включении корзины Active Directory картина меняется. Теперь при удалении объекта Active Directory система сохраняет все атрибуты объекта, после чего объект помечается как логически удаленный (это новое состояние, появившееся в Windows Server 2008 R2). Его имя изменяется, атрибуту isDeleted назначается значение true и объект перемещается все в тот же контейнер Deleted Objects. В этом состоянии объект остается на протяжении срока жизни удаленного объекта. Пока объект находится в состоянии удаленный, его можно восстановить без потери атрибутов или членства в группах.
Когда срок жизни удаленного объекта заканчивается, он переводится в состояние утилизированный. В этом состоянии его атрибуту isRecycled присваивается значение true, связанные значения атрибутов (группы и др.), наряду с большинством обычных атрибутов удаляются, так же, как при отсутствие корзины. Объект, переведенный в это состояние, невозможно восстановить обычными способами. По истечении срока жизни утилизированного объекта он физически удаляется сборщиком мусора.
Условия для включения корзины
Корзина Active Directory впервые появилась в Windows Server 2008 R2. По умолчанию она неактивна и для ее включения необходимо соблюдение следующих условий:
1) Уровень функционирования леса должен быть не ниже Windows Server 2008 R2;
2) В лесу не должно быть контролеров домена под управлением Windows Server 2003;
3) Если лес изначально создавался на базе Windows Server 2003, необходимо осуществить обновление схемы.
Для обновления схемы надо выполнить adprep /forestprep на контроллере домена с ролью мастера схемы, выполнить adprep /domainprep /gpprep на контроллере домена с ролью мастера инфраструктуры. Если есть контроллер домена только для чтения (RODC), запустить на нем adprep /rodcprep.
Пара важных моментов, которые учесть до включения. Первое — после активизации корзины AD все ранее удаленные объекты становятся утилизированными и не смогут быть восстановлены. Второе — включение корзины AD процесс односторонний, т.е. если ее активировать, то отключить уже невозможно.
Включение корзины
Графического интерфейса для работы с Active Directory Recycle Bin в Server 2008 R2 нет. Майкрософт предлагает два способа работы с корзиной — утилита LDP или модуль Active Directory для PowerShell. На мой взгляд LDP имеет не очень дружелюбный 🙂 интерфейс, поэтому воспользуемся вторым способом.
Посмотреть состояние корзины и проверить, включена ли она, можно с помощью команды:
Get-ADOptionalFeature ′Recycle Bin Feature′
Как видите, у корзины нет активных областей (EnabledScopes), значит она не активна.
Включим корзину следующей командой:
Enable-ADOptionalFeature ′Recycle Bin Feature′ -Scope ForestOrConfigurationSet
-Target ′contoso.com′
И еще раз посмотрим свойства корзины. Теперь у нее есть включенные области, значит корзина активна.
Для восстановления из корзины используется командлет Get-ADObject с параметром
-IncludeDeletedObjects, а параметр -Filter позволяет задавать условия для поиска. Следующей командой мы укажем поиск всех объектов, удаленных из контейнера OU=Managers:
Get-ADObject -Filter ′isDeleted -eq $true -and lastKnownParent
-eq ″OU=Managers,DC=contoso,DC=com″′ -IncludeDeletedObjects
Найденный в результате объект пользователя восстановим командлетом Restore-ADObject, указав в параметре -Identity его ObjectGUID. При включенной корзине все атрибуты пользователя восстановятся вместе с учетной записью.
Имейте в виду, что кроме PowerShell и LDP для работы с корзиной можно использовать и другие инструменты, например AdRestore от Sysinternals или графическую утилиту Adrestore.NET. В любом случае объект будет восстановлен без потерь.
Время хранения удаленных объектов
Объект, помеченный как логически удаленный, храниться в течение срока жизни удаленного объекта. Срок этот определяется в атрибуте msDS-DeletedObjectLifetime, находящемся в CN=Directory Service,CN=Windows NT, CN=Services, CN=Configuration, DC=«Domain Name». Затем объект помечается как утилизированный и храниться дальше, в течение срока жизни утилизированного объекта, который определяется уже известным вам атрибутом tombstoneLifetime.
Пока все логично. А вот дальше…
По умолчанию msDS-DeletedObjectLifetime не определен, а время жизни удаленного объекта совпадает с временем жизни утилизированного объекта, которое определяется аттрибутом tombstoneLifetime и по умолчанию составляет 180 дней. Если же для атрибута msDS-deletedObjectLife задать какое либо значение, то этот атрибут более не будет принимать значение атрибута tombstoneLifetime.
Таким образом, время жизни удаленного объекта можно изменить двумя способами — задать атрибуту msDS-DeletedObjectLifetime собственное значение, или изменить значение атрибута tombstoneLifetime. Сделать это можно как через ADSIEdit, так и с помощью PowerShell. Для примера зададим значение msDS-DeletedObjectLifetime в домене contoso.com равным 365 дням:
Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,
CN=Services,CN=Configuration,DC=contoso,DC=com” –Partition
″CN=Configuration,DC=contoso,DC=com″ –Replace:@{″msDS-DeletedObjectLifetime″ = 365}
И такое-же значение дадим для tombstoneLifetime:
Set-ADObject -Identity ″CN=Directory Service,CN=Windows NT,
CN=Services,CN=Configuration,DC=contoso,DC=com″ –Partition
“CN=Configuration,DC=contoso,DC=com” –Replace:@{″tombstoneLifetime″ = 365}
Добавлю, что Microsoft не рекомендует без крайней необходимости изменять дефолтные значения атрибутов msDS-deletedObjectLifetime и tombstoneLifetime, поскольку это может привести к возникновению проблем.
Корзина AD в Windows Server 2012
В недавно вышедшем Windows Server 2012 корзина наконец обрела лицо, т.е. собственный графический интерфейс. Теперь включить ее можно из административного центра Active Directory.
После включения контейнер Deleted Objects отображается как обычная папка. По нему можно перемещаться, просматривать удаленные объекты, производить поиск с помощью фильтров. Найденый объект восстанавливается в два клика мышки. Очень удобно.
Корзина Active Directory штука очень полезная, но ее наличие не отменяет необходимость резервного копирования. В некоторых случаях, удаленные объекты можно восстановить только из архива, с помощью авторитативного восстановления. Подробнее об этом я расскажу в следующей статье.
Windows Server 2008 R2 предоставляет множество инструментов и возможностей для эффективной работы в сети. Одним из таких полезных инструментов является сетевая корзина, которая представляет собой функцию, позволяющую пользователю сохранить файлы и папки на удаленном сервере, обеспечивая таким образом автоматическое резервное копирование данных.
Сетевая корзина Windows Server 2008 R2 обладает рядом преимуществ, среди которых следует выделить возможность определения прав доступа к файлам и папкам, а также ограничения на использование дискового пространства. Кроме того, с помощью этой функции можно создать расписание для автоматического резервного копирования, что позволяет пользователю сохранить время и силы на выполнении этой операции вручную.
Сетевую корзину можно настроить с использованием графического интерфейса или командной строки. Но независимо от выбранного метода, важно помнить о нескольких моментах. Во-первых, необходимо установить и настроить службу «Служба восстановления файлов» на целевом сервере. Во-вторых, следует убедиться, что дисковое пространство на сервере достаточно для хранения всех файлов и папок, которые могут быть сохранены в сетевую корзину. Наконец, для сохранения файлов или папок в сетевую корзину, пользователь должен обладать соответствующими правами доступа.
Выводя ваши данные на удаленный сервер, сетевая корзина Windows Server 2008 R2 предоставляет надежную, удобную и гибкую возможность резервного копирования. Будьте уверены в настройках и правах доступа, чтобы гарантировать безопасность и целостность ваших ценных файлов.
Содержание
- Сетевая корзина Windows Server 2008 R2: основные принципы работы
- Роль сетевой корзины в Windows Server 2008 R2
- Преимущества использования сетевой корзины в Windows Server 2008 R2
- Установка и настройка сетевой корзины в Windows Server 2008 R2
Сетевая корзина Windows Server 2008 R2: основные принципы работы
Сетевая корзина (Network File System) в Windows Server 2008 R2 представляет собой механизм, позволяющий клиентским компьютерам сети обмениваться файлами и папками. Этот механизм основывается на протоколе Server Message Block (SMB), который обеспечивает безопасность и целостность данных при передаче.
Основной принцип работы сетевой корзины заключается в создании общего хранилища данных на сервере и предоставлении клиентам доступа к этому хранилищу. При этом клиенты могут добавлять, изменять и удалять файлы в общем хранилище в соответствии с правами доступа, установленными администратором. Администратор имеет возможность управлять доступом к файлам и папкам, назначая различные уровни доступа для разных пользователей или групп пользователей.
Для работы сетевой корзины необходимо настроить роль Файловых служб на сервере Windows Server 2008 R2. После этого можно создавать шары, в которых определяются папки, доступные для общего использования. При создании шары можно настраивать различные параметры, такие как уровень доступа, права и квоты.
Клиенты, которые нуждаются в доступе к общим папкам, должны быть добавлены на сервере в качестве пользователей или групп пользователей с определенными правами доступа. После этого они могут подключаться к общим папкам с помощью протокола SMB и работать с файлами и папками в рамках установленных прав доступа.
Сетевая корзина в Windows Server 2008 R2 предоставляет удобный механизм для совместной работы с файлами и папками в сети. Она позволяет централизованно хранить данные на сервере и управлять доступом к ним, обеспечивая безопасность и надежность передачи информации.
Роль сетевой корзины в Windows Server 2008 R2
Одной из главных причин использования сетевой корзины является централизация файлов и данных. Сетевой клиент может подключиться к серверу файлов сетевой корзины и обмениваться файлами с другими клиентами. Это позволяет компаниям эффективно организовать общий доступ к файлам и обеспечить их централизованное хранение и управление.
Сетевая корзина в Windows Server 2008 R2 обеспечивает высокую производительность и надежность при обработке файлов и данных. Сервер файлов сетевой корзины может масштабироваться и поддерживать одновременные соединения от нескольких клиентов. Кроме того, сетевая корзина в Windows Server 2008 R2 поддерживает различные протоколы, включая NFSv2, NFSv3 и NFSv4, что обеспечивает совместимость с разными клиентами и операционными системами.
Сетевая корзина в Windows Server 2008 R2 предоставляет различные функции и возможности для управления файлами и доступом к ним. Администраторы могут настраивать разрешения доступа на уровне папок и файлов, контролировать доступ к файлам с помощью списков учетных записей и управлять резервными копиями данных. Кроме того, сетевая корзина в Windows Server 2008 R2 поддерживает функцию кэширования, что позволяет клиентам работать с файлами в офлайн-режиме и снижает нагрузку на сеть.
В целом, сетевая корзина является важным компонентом сетевой инфраструктуры Windows Server 2008 R2, который обеспечивает надежное и эффективное распределение файлов и данных в сети. Настройка и управление сетевой корзиной позволяет организации эффективно использовать ресурсы сервера файлов и обеспечить удобный доступ к файлам и данным для сетевых клиентов.
Преимущества использования сетевой корзины в Windows Server 2008 R2
Сетевая корзина в Windows Server 2008 R2 предоставляет удобный и мощный инструмент для организации хранения и доступа к данным сетевого хранилища. Вот несколько основных преимуществ использования сетевой корзины:
| 1 | Централизованное хранение данных |
| 2 | Удобный доступ к данным |
| 3 | Управление доступом и безопасностью |
| 4 | Резервное копирование и восстановление |
| 5 | Совместное использование данных |
| 6 | Удобство администрирования |
Централизованное хранение данных
Сетевая корзина позволяет хранить данные на сервере, что обеспечивает централизацию данных и упрощает их управление. Все данные хранятся на надежных серверных дисках, что повышает безопасность и надежность хранения.
Удобный доступ к данным
Сетевая корзина обеспечивает удобный доступ к данным из любого компьютера в сети. Пользователи могут легко подключаться к сетевому хранилищу и получать доступ к своим файлам и папкам.
Управление доступом и безопасностью
Сетевая корзина предоставляет мощные возможности управления доступом к данным. Администратор может назначать различные уровни доступа для пользователей и групп пользователей, контролировать права на чтение, запись, удаление и другие операции с файлами и папками.
Резервное копирование и восстановление
Сетевая корзина предоставляет инструменты для резервного копирования данных, что позволяет обеспечить их сохранность в случае сбоев или потери данных. Администратор может периодически создавать резервные копии данных и восстанавливать их при необходимости.
Совместное использование данных
Сетевая корзина позволяет нескольким пользователям одновременно работать с общими данными. Пользователи могут совместно редактировать файлы, обмениваться информацией и совместно использовать ресурсы хранилища.
Удобство администрирования
Сетевая корзина обладает удобным интерфейсом для администрирования и управления данными. Администратор может легко создавать и удалять пользователей, назначать права доступа, управлять резервным копированием и выполнять другие задачи по управлению данными.
Установка и настройка сетевой корзины в Windows Server 2008 R2
- Установка роли сервера сетевой корзины
- Откройте «Установку и удаление ролей» в «Управлении сервером».
- Выберите роль «Сетевая корзина» и нажмите кнопку «Далее».
- Установите необходимые компоненты и зависимости.
- Нажмите «Установить» и дождитесь завершения установки.
- Настройка службы сетевой корзины
- Откройте «Управление компьютером» в «Сервисных приложениях».
- Перейдите в «Стандартные (локальные) сервисы» и выберите «Службы Windows по удаленному доступу».
- Включите и настройте службу на уровне сети.
- Нажмите «Применить» и «ОК».
- Настройка доступа к ресурсам
- Откройте «Управление компьютером» в «Сервисных приложениях».
- Перейдите в «Политики аутентификации» и выберите «Служба Windows по удаленному доступу».
- Настройте доступ и безопасность подключений для сетевой корзины.
- Нажмите «Применить» и «ОК».
После выполнения этих шагов сетевая корзина будет готова к использованию на сервере Windows Server 2008 R2. Вы можете совместно использовать файлы и папки с другими операционными системами, подключив их к вашей корзине через сеть.
Начиная с функционального уровня домена Windows 2008 R2 появилась возможность включить корзину для объектов Active Directory. Работает она по аналогии с обыкновенной корзиной для файлов. Теперь аккаунты пользователей, компьютеров и групп могут быть возвращены после случайного удаления без применения принудительного восстановления Active Directory или манипуляций с атрибутами
tombstone
объектов. По умолчанию данный функционал выключен,
Для включения корзины проделайте следующее:
1. Запускаем консоль PowerShell с повышенными привилегиями и подключаем модуль «ActiveDirectory«:
Import-Module ActiveDirectory
2. Затем проверяем, что функциональный уровень леса не ниже чем
Windows2008R2
командой:
Get-ADForest
3. Если проблем нет, включаем корзину следующей командой (пример для домена «test.local«):
Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=test,DC=local’ –Scope ForestOrConfigurationSet –Target ‘test.local’
Подтверждаем свой выбор клавишей «Y» или «A» с последующим нажатием «Enter«. Кроме того следует помнить, что опять выключить функционал корзины после включения уже будет невозможно.
Для восстановления объектов можно воспользоваться утилитой «ldp.exe» или PowerShell. Например, чтобы восстановить пользователя «
user1
» выполните:
Get-ADObject -Filter {displayName -eq «user1»} -IncludeDeletedObjects | Restore-ADObject
При этом будет также восстановлено членство объекта в других группах.
Начиная с Windows Server 2012 в оснастку «
Центр администрирования Active Directory
» был добавлен удобный функционал по просмотру и восстановлению удалённых объектов. Все они будут находиться в контейнере «
Deleted Objects
«.
Объекты в корзине Active Directory по умолчанию хранятся 180 дней. Но если это число вас не устраивает, поменяйте срок хранения например на 1 год:
Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=test,DC=local” –Partition “CN=Configuration,DC=test,DC=local” –Replace:@{“tombstoneLifetime” = 365}
Эту операцию также можно сделать в ручном режиме с помощью редактора ADSI.