Корзина Active Directory

Условия для включения корзины:

Корзина Active Directory впервые появилась в Windows Server 2008 R2. По умолчанию она неактивна и для ее включения необходимо соблюдение следующих условий:
1) Уровень функционирования леса должен быть не ниже Windows Server 2008 R2;
2) В лесу не должно быть контролеров домена под управлением Windows Server 2003;
3) Если лес изначально создавался на базе Windows Server 2003, необходимо осуществить обновление схемы.

Для обновления схемы надо выполнить adprep /forestprep на контроллере домена с ролью мастера схемы, выполнитьadprep /domainprep /gpprep на контроллере домена с ролью мастера инфраструктуры. Если есть контроллер домена только для чтения (RODC), запустить на нем adprep /rodcprep.
Пара важных моментов, которые учесть до включения. Первое — после активизации корзины AD все ранее удаленные объекты становятся утилизированными и не смогут быть восстановлены. Второе —  включение корзины AD  процесс односторонний, т.е. если ее активировать, то отключить уже невозможно.
Включение корзиныГрафического интерфейса для работы с Active Directory Recycle Bin в Server 2008 R2 нет. Майкрософт предлагает два способа работы с корзиной — утилита LDP или модуль Active Directory для PowerShell. На мой взгляд LDP имеет не очень дружелюбный  интерфейс, поэтому воспользуемся вторым способом.

Посмотреть состояние корзины и проверить, включена ли она, можно с помощью команды:
Get-ADOptionalFeature ′Recycle Bin Feature′
Как видите, у корзины нет активных областей (EnabledScopes), значит она не активна.

Включим корзину следующей командой:
Enable-ADOptionalFeature ′Recycle Bin Feature′ -Scope ForestOrConfigurationSet
-Target ′contoso.com′
И еще раз посмотрим свойства корзины. Теперь у нее есть включенные области, значит корзина активна.

Для восстановления из корзины используется командлет Get-ADObject с параметром
-IncludeDeletedObjects, а параметр -Filter позволяет задавать условия для поиска. Следующей командой мы укажем поиск всех объектов, удаленных из контейнера OU=Managers:
Get-ADObject -Filter ′isDeleted -eq $true -and lastKnownParent
-eq ″OU=Managers,DC=contoso,DC=com″′ -IncludeDeletedObjects
Найденный в результате объект пользователя восстановим командлетом Restore-ADObject, указав в параметре -Identity его ObjectGUID. При включенной корзине все атрибуты пользователя восстановятся вместе с учетной записью.

Имейте в виду, что кроме PowerShell и LDP для работы с корзиной можно использовать и другие инструменты, например AdRestore от Sysinternals или графическую утилиту Adrestore.NET. В любом случае объект будет восстановлен без потерь.
Время хранения удаленных объектовОбъект, помеченный как логически удаленный, храниться в течение срока жизни удаленного объекта. Срок этот определяется в атрибуте msDS-DeletedObjectLifetime, находящемся в CN=Directory Service,CN=Windows NT, CN=Services, CN=Configuration, DC=«Domain Name». Затем объект помечается как утилизированный и храниться дальше, в течение срока жизни утилизированного объекта, который определяется уже известным вам атрибутомtombstoneLifetime.
Пока все логично. А вот дальше…
По умолчанию msDS-DeletedObjectLifetime не определен, а время жизни удаленного объекта совпадает с временем жизни утилизированного объекта, которое определяется аттрибутом tombstoneLifetime и по умолчанию составляет 180 дней. Если же для атрибута msDS-deletedObjectLife задать какое либо значение, то этот атрибут более не будет принимать значение атрибута tombstoneLifetime.

Таким образом, время жизни удаленного объекта можно изменить двумя способами — задать атрибуту msDS-DeletedObjectLifetime собственное значение, или изменить значение атрибута tombstoneLifetime. Сделать это можно как через ADSIEdit, так и  с помощью PowerShell. Для примера зададим значение  msDS-DeletedObjectLifetime  в домене contoso.com равным 365 дням:
Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,
CN=Services,CN=Configuration,DC=contoso,DC=com” –Partition
″CN=Configuration,DC=contoso,DC=com″ –Replace:@{″msDS-DeletedObjectLifetime″ = 365}
И такое-же значение дадим для tombstoneLifetime:
Set-ADObject -Identity ″CN=Directory Service,CN=Windows NT,
CN=Services,CN=Configuration,DC=contoso,DC=com″ –Partition
“CN=Configuration,DC=contoso,DC=com” –Replace:@{″tombstoneLifetime″ = 365}

Добавлю, что Microsoft не рекомендует без крайней необходимости изменять дефолтные значения атрибутов msDS-deletedObjectLifetime и tombstoneLifetime, поскольку это может привести к возникновению проблем.

Корзина AD в Windows Server 2012

В недавно вышедшем Windows Server 2012 корзина наконец обрела лицо, т.е. собственный графический интерфейс. Теперь включить ее можно из административного центра Active Directory.

После включения контейнер Deleted Objects отображается как обычная папка. По нему можно перемещаться, просматривать удаленные объекты, производить поиск с помощью фильтров. Найденый объект восстанавливается в два клика мышки. Очень удобно.

Корзина Active Directory штука очень полезная, но ее наличие не отменяет необходимость резервного копирования. В некоторых случаях,  удаленные объекты можно восстановить только из архива, с помощью авторитативного восстановления.

Информация взята отсюда: http://windowsnotes.ru/activedirectory/korzina-active-directory/

Яндекс.Метрика