Работа с корзиной Active Directory

Случайное удаление объектов Active Directory — это обычное дело при работе с доменными службами Active Directory (AD DS) и службами Active Directory облегченного доступа к каталогам (AD LDS).

В доменах Active Directory под управлением Windows Server 2008 случайно удаленные объекты можно восстанавливать по архивным копиям AD DS, созданным с помощью системы архивации данных Windows Server. Можно использовать команду заслуживающего доверия восстановления ntdsutil, чтобы пометить объекты как заслуживающие доверия, чтобы гарантировать репликацию восстановленных данных в домене. Работа корзины Active Directory в Windows Server 2008 R2 основана на существующей инфраструктуре реанимации отметок полного удаления, расширяет возможности по сохранению и восстановлению случайно удаляемых объектов Active Directory.

Корзина Active Directory в Windows Server 2008 R2 позволяет минимизировать время простоя службы каталогов. Ее можно использовать для сохранения и полного восстановления случайно удаленных объектов Active Directory без необходимости восстановления данных Active Directory из архивов, перезапуска доменных служб Active Directory или контроллеров домена.

Назначение корзины Active Directory

Если корзина Active Directory включена, все ссылочные и нессылочные атрибуты удаленных объектов сохраняются, а объекты полностью восстанавливаются в том же логически согласованном состоянии, в котором они находились непосредственно перед удалением. Например, восстановленные учетные записи пользователя автоматически восстанавливают все членства в группах и соответствующие права доступа, которыми они обладали внутри и вне доменов в момент перед удалением. Корзина Active Directory применяется для сред AD DS и AD LDS.

Что следует принять во внимание?

  • По умолчанию корзина Active Directory отключена. Чтобы включить ее, сначала необходимо поднять уровень работы леса в среде AD DS или AD LDS до Windows Server 2008 R2. Это в свою очередь приводит к тому, что все контроллеры доменов в лесу или все серверы, на которых размещаются экземпляры набора конфигурации AD LDS, будут работать под управлением Windows Server 2008 R2.
  • Процесс включения корзины Active Directory в Windows Server 2008 R2 необратим. После включения корзины Active Directory для конкретной среды отключить ее будет нельзя.

Новая функциональность корзины Active Directory

На следующей схеме показан жизненный цикл нового объекта Active Directory в Windows Server 2008 R2, когда корзина Active Directory включена.

Требования к корзине ActiveDirectory.

Перед включением корзины Active Directory в среде доменных служб Active Directory (AD DS) следует выполнить приведенные далее действия:
1. Корзина Active Directory работает только с Windows Server 2008 R2;
2. Необходимо поднять режим леса до Windows Server 2008 R2

Как включить корзину в ActiveDirectory?

Существует множество источников, где пошагово описано, как включить корзину AD. Я провел много времени, чтобы запустить корзину, руководствуясь тремя источниками. Потом, систематизировав все полученные мною знания, я решил написать эту статью. Очень важный момент, если что-то не получается – пользуйтесь справкой PowerShell и командлетом get-help.

Например,get-help Enable-ADOptionalFeature -examples

Шаг 1.
Поднимаем режим леса до Windows Server 2008 R2:
1. Запускаем МодульActiveDirectoryдля WindowsPowerShell и выбераем команду Запуск от имени администратора (Пуск -> Администрирование -> Модуль Active Directory для Windows PowerShell).
2. В командной строке ActiveDirectorymoduleforWindowsPowerShell вводим следующую команду и нажимаем клавишу ВВОД:

Set-ADForestMode –Identity имя_домена -ForestMode Windows2008R2Forest


Вместо “имя_домена”, вводим имя своего домена.

Например, чтобы установить в качестве режима работы леса, в моем случае, idpo.stgau.net Windows Server 2008 R2, введите следующую команду и нажмите клавишу ВВОД:

Set-ADForestMode –Identity support.net -ForestMode Windows2008R2Forest

И следом выводится подтверждение:

Подтверждение
Вы действительно хотите выполнить это действие?
Выполнение операции «
Set» над целевым объектом
«CN=Partitions,CN=Configuration,DC=support,DC=net».
[Y] Да – Y[A] Да для всех – A[N] Нет – N[L] Нет для всех – L
[S] Приостановить – S[?] Справка (значением по умолчанию является «Y»):

Выбираем параметр «Да для всех», достаточно ввести: А

Для получения дополнительных сведений о командлете Set-ADForestMode в командной строке ActiveDirectorymoduleforWindowsPowerShell введите Get-HelpSet-ADForestMode, а затем нажмите клавишу ВВОД.

Примечание: Чтобы повысить режим работы набора конфигураций служб Active Directory облегченного доступа к каталогам, можно использовать командлет Set-ADObject. Например, чтобы повысить режим работы набора конфигураций служб Active Directory облегченного доступа к каталогам на локальном сервере AD LDS, когда имя раздела каталога конфигурации AD LDS имеет значение CN=Configuration,CN={32E430E4-42D3-4663-BCA7-5F5DFDC898}, используется следующий командлет:

Set-ADObject -Identity ‘CN=Partitions,CN=Configuration,CN={32E430E4-42D3-4663-BCA7-5F5DFDC898}’
 -Replace @{‘msds-Behavior-Version’=4} -Server localhost:50000


Шаг 2.

Включение корзины Active Directory

1. Запускаем Модуль Active Directory для Windows PowerShell и выбираем команду Запуск от имени администратора (Пуск -> Администрирование -> Модуль Active Directory для Windows PowerShell).

2. В командной строке Active Directory module for Windows PowerShell вводим следующую команду и нажимаем клавишу ВВОД:

Enable-ADOptionalFeature -Identity ‘Recycler Bin Feature’ -Scope ForestOrConfigurationSet 
-Target ‘имя_домена’ server “name”

Вместо “name”, вводим имя своего сервера контроллера домена.

Приведу пример:

Enable-ADOptionalFeature -Identity ‘Recycler Bin Feature’ -Scope ForestOrConfigurationSet 
-Target ‘support.net’ server test_ad


И следом выводится подтверждение:

Подтверждение
Вы действительно хотите выполнить это действие?
Выполнение операции «Set
» над целевым объектом
«CN=Partitions,CN=Configuration,DC=idpo,DC=stgau,DC=net».
[Y] Да – Y[A] Да для всех – A[N] Нет – N[L] Нет для всех – L
[S] Приостановить – S[?] Справка (значением по умолчанию является «Y»):

Выбираем параметр «Да для всех», достаточно ввести: А

Для получения дополнительных сведений о командлете Enable-ADOptionalFeature в командной строке ActiveDirectorymoduleforWindowsPowerShell введите get-helpEnable-ADOptionalFeature-examples, а затем нажмите клавишу ВВОД.

Примечание: Для включения корзины Active Directory в среде AD LDS можно также использовать командлет Enable-ADOptionalFeature. Например, чтобы включить корзину Active Directory на локальном сервере AD LDS, когда различающееся имя раздела каталога конфигураций AD LDS имеет значение CN=Configuration,CN={372A5A3F-6ABE-4AFD-82DE-4A84D2A10E81}, используется следующий командлет:

Enable-ADOptionalFeature ‘recycle bin feature’ -Scope ForestOrConfigurationSet -Server
 localhost:50000 -Target ‘CN=Configuration,CN={372A5A3F-6ABE-4AFD-82DE-4A84D2A10E81}’

Ну вот и все, корзина включена, теперь можно поговорить о восстановлении удаленных объектов.

Восстановление удаленного объекта Active Directory

Рекомендую восстанавливать удаленный объект Active Directory с помощью командлетов Get-ADObject и Restore-ADObject модуля Active Directory для Windows PowerShell.

1. Запускаем МодульActiveDirectoryдля WindowsPowerShell и выбираем команду Запуск от имени администратора (Пуск -> Администрирование -> Модуль Active Directory для Windows PowerShell).

2. В командной строке Active Directory module for Windows PowerShell введите следующую команду и нажмите клавишу ВВОД:

Get-ADObject -IncludeDeletedObjects

Дальше вам будет предложено ввести фильтр. Вводим:

objectClass –like “user”


далее вы увидите список всех пользователей домена, в то числе и удаленных. Находим необходимого удаленного пользователя и копируем его GUID.

Вот пример удаленного пользователя:

Deleted : True
DistinguishedName : CN=Victor Vic. GorlovADEL:78cfe915-3255-4509-8dcd-33ad195d5161,CN=Deleted Objects,DC=support,DC=net
Name : Victor Vic. Gorlov
DEL:78cfe915-3255-4509-8dcd-33ad195d5161
ObjectClass : user
ObjectGUID : 78cfe915-3255-4509-8dcd-33ad195d5161

И теперь приступаем к восстановлению. Для этого введите в командной строке Active Directory module for Windows PowerShell:

Get-ADObject -IncludeDeletedObjects | Restore-ADObject


Опять же будет предложено ввести фильтр, вводим:

objectGUID –eq “GUID”


Вместо GUID, вставляем скопированный GUID пользователя.

Например, чтобы восстановить случайно удаленный объект: пользователя по его GUID“78cfe915-3255-4509-8dcd-33ad195d5161”, введите следующую команду и нажмите клавишу ВВОД:

Get-ADObjec -IncludeDeletedObjects | Restore-ADObject


Затем вводим фильтр:

objectGUID -eq «78cfe915-3255-4509-8dcd-33ad195d5161″


и, вуаля, удаленный пользователь восcтановлен. Чтобы проверить, вводим следующие команды:

Get-ADObject -IncludeDeletedObjects


Дальше вам будет предложено ввести фильтр. Вводим:

objectClass –like “user”, и в списке находим нашего пользователя, теперь он не помечен, как удаленный.

Deleted :
DistinguishedName : CN=Victor Vic. Gorlov,CN=ИТ,DC=support,DC=net
Name : Victor Vic. Gorlov
ObjectClass : user
ObjectGUID : 78cfe915-3255-4509-8dcd-33ad195d5161

Для получения дополнительных сведений о командлетах Get-ADObject и Restore-ADObject в командной строкеActive Directory module for Windows PowerShell введите Get-Help Get-ADObject -examples или Get-Help Restore-ADObject -examples и нажмите клавишу ВВОД.

Чтобы убедиться, что наш пользователь действительно восстановился, можно воспользоваться Центром АдминистрированияActiveDirectory:

  • заходим в Центр администрирования Active Directory (Пуск –> Администрирование -> Центр Администрирования Active Directory);
  • выбирать контроллер домена в нашем лесу, зайти в организационную единицу, из которой пользователь был удален, и он должен находиться на своем месте.

Важно учесть, что после восстановления пользователь отключен, и чтобы начать работу, его необходимо включить.

Изменение времени существования отметки полного удаления с помощью командлета Set-ADObject

Нажмите кнопку Пуск, выберите пункт Администрирование, щелкните правой кнопкой мыши пункт МодульActiveDirectoryдля WindowsPowerShell и выберите команду Запуск от имени администратора.

1. В командной строке Active Directory module for Windows PowerShell вводим следующую команду и нажимаем клавишу ВВОД:

Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,
DC=<mydomain>,DC=<com>” –Partition “CN=Configuration,DC=<domain>,DC=<com>” 
–Replace:@{“tombstoneLifetime” = <value>}


Указываем вместо DC=<domain>,DC=<com> имя соответствующего корневого домена леса среды Active Directory и заменяем значение <value> новым значением времени существования отметки полного удаления.

Например, чтобы установить для tombstoneLifetime 365 дней, выполним следующую команду:

Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,
DC=support,DC=net” –Partition “CN=Configuration,DC=support,DC=net” 
–Replace:@{“tombstoneLifetime” = 365}


Для получения дополнительных сведений о командлете Set-ADObject в командной строке Active Directory module for Windows PowerShell введите Get-Help Set-AdObject, а затем нажмите клавишу ВВОД.

Кустарников Иван
Источник: Microsoft

Вы можете задать вопрос по статье специалисту.

Операционная система заметно «притормаживает»? Установленное программное обеспечение работает некорректно?

Помните, что все действия Вы выполняете на свой страх и риск и загрузка неверных данных может повлечь за собой крах системы и потерю информации. Администрация сайта не несет ответственность за Ваши действия.