WinITPro.ru  /  Windows Server 2012  /  Корзина Active Directory в Windows Server 2012

Корзина Active Directory в Windows Server 2012

date
directory Windows Server 2012
comments комментария 4

Технология корзины AD (Active Directory Recycle Bin) впервые была представлена в Windows Server 2008 R2. В Windows Server 2003 и 2008 восстановить удаленный объект AD можно было только из резервной копии, режима DSRM с помощью команды «ntdsutil authoritative restore» или сторонних утилит (например, ADRestore). Однако во всех этих случаях предполагалась недоступность службы AD во время восстановления объектов. C помощью корзины AD администратор может восстановить любой случайно или преднамеренно удаленный объект Active Directory без прерывания этого сервиса.

В Windows Server 2012 технология корзины Active Directory получила дальнейшее развитие. Одним из главных нововведений в этой технологии является то, что в Windows Server 2012, наконец-то появился графический GUI для работы с корзиной AD Recycle Bin (в Windows 2008 R2 управление корзиной Active Directory Recycle Bin осуществлялось с помощью PowerShell и утилиты LDP.exe). Теперь управление корзиной и возможности восстановления объектов AD доступны из графической консоли Active Directory Administrative Center (ADAC).

Кроме того, в новой корзине теперь можно фиксировать информацию об атрибутах объектов и членстве в группах, так что теперь не придется вручную восстанавливать настройки из tombstone объектов.

Удаленные объекты хранятся в корзине AD в течении времени захоронения (tombstonelifetime), заданном для леса. По умолчанию это 180 дней.

Для работы новой ActiveDirectory RecycleBin должны выполняться следующие требования:

  1. Как минимум один контроллер, сWindows Server 2012 и включенным Active Directory Administrative Center
  2. Все контролеры домена должны работать под управлением Windows Server 2008 R2 или выше
  3. Функциональный уровень леса должен быть не менее Windows Server 2008 R2

Включаем Active Directory Recycle Bin в домене

Стоит заранее отметить, что по-умолчанию корзина AD выключена, однако если ее активировать, отключить ее в дальнейшем невозможно. Т.е. включение корзины AD процесс необратимый. Поэтому рекомендуется сначала познакомиться с технологией корзины Active Directory в тестовой среде.

Проверим текущий уровень леса, сделать это можно с помощью команды PoSh:

Get-ADForest corp.winitpro.ru

Уровень леса в домене AD

В нашем случае уровень леса — Windows2008R2Forest, если же уровень леса ниже, его нужно поднять.

Включить корзину Active Directory можно с помощью Powershell:

Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=corp,DC=winitpro,DC=ru’ –Scope ForestOrConfigurationSet –Target ‘corp.winitpro.ru’

Тоже самое можно сделать из консоли Active Directory Administrative Center. Для этого в консоли нужно выбрать ваш домен и в правой панели найти и нажать кнопку «Enable Recycle Bin». Включить корзину AD в Windows Server 2012

Примечание. После включения корзины должно пройти некоторое время, прежде чем информация о новой конфигурации реплицируется по всем серверам леса AD.

Если обновить консоль, то вы увидите, что в дереве AD появился новый контейнер OU с названием Deleted object

OU Deleted Objects в Windows 2012

Восстановление удаленных объектов Active Directory из корзины

Продемонстрируем работу технологии Active Directory RecycleBin в деле. Попробуем удалить несколько пользователей домена из AD, а затем попробуем их восстановить. Выделим несколько пользователей в тестовой OU и удалим их.

Удаляем пользователей из AD

Затем в консоли ADAC перейдем в созданную ранее OU Deleted Objects и в ней должны оказаться все удаленный нами пользователи. Выделим все объекты, которые нужно восстановить и в правой панели нажмем кнопку Restore. Если нужно восстановить объекты в OU, отличную от той, из которой были они удалены, воспользуемся кнопкой Restore To. Восстанавливаем удаленных пользователей Active Directory

После чего можно удостовериться, что все удаленные объекты появятся в исходном контейнере.

Через графический интерфейс отображаются не все атрибуту удаленного объекта (только имя удаленного объекта, last known parent и GUID). Если вам нужна более полная информация об объекте, придется его сначала восстановить, и если это окажется не тот объект, затем удалить. Как вариант выборки элементов с определенными параметрами моно использовать фильтры. Например, выбрав фильтр по атрибуту City и указав Сыктывкар, мы выберем все удаленные объекты, у которых в поле City указана данный город.

Также стоит отметить, что можно восстанавливать не только отдельные объекты AD, но и целиком контейнеры со всеми OU и другими типами объектов в них. Для этого в корзине нужно будет выбрать и объекты и их удаленные родительские OU, а затем нажать кнопку Restore. Одновременно удаленные объекты можно отобрать, отсортировав в корзине с помощь. фильтра по столбцу When Deleted.

Про восстановление удаленных объектов AD с помощью PowerShell есть отдельная статья.

 

Предыдущая статья Следующая статья
Читайте далее в разделе Windows Server 2012
page
VHDX диски в Windows 8
page
Разделение ресурсов в Windows Server 2012 Remote Desktop Services
Установка роли dfs в windows server 2012 Установка и настройка DFS и репликации файлов в Windows Server 2012
Настройка shadow copy в windows server 2012 Служба теневого копирования в Windows Server 2012
Миграция dhcp сервера на Windows server 2012 Миграция DHCP сервера на Windows Server 2012
Вкладка Perfomance в диспетчере задач Windows Server 2012 Счетчик производительности в диспетчере задач Windows Server 2012 / R2
Комментариев: 4 Оставить комментарий
Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)