Технология корзины AD ( Active Directory Recycle Bin ) впервые была представлена в Windows Server 2008 R2. В Windows Server 2003 и 2008 восстановить удаленный объект AD можно было только из резервной копии, режима DSRM с помощью команды « ntdsutil authoritative restore » или сторонних утилит (например, ADRestore). Однако во всех этих случаях предполагалась недоступность службы AD во время восстановления объектов. C помощью корзины AD администратор может восстановить любой случайно или преднамеренно удаленный объект Active Directory без прерывания этого сервиса.
В Windows Server 2012 технология корзины Active Directory получила дальнейшее развитие. Одним из главных нововведений в этой технологии является то, что в Windows Server 2012, наконец-то появился графический GUI для работы с корзиной AD Recycle Bin (в Windows 2008 R2 управление корзиной Active Directory Recycle Bin осуществлялось с помощью PowerShell и утилиты LDP.exe). Теперь управление корзиной и возможности восстановления объектов AD доступны из графической консоли Active Directory Administrative Center (ADAC) .
Кроме того, в новой корзине теперь можно фиксировать информацию об атрибутах объектов и членстве в группах, так что теперь не придется вручную восстанавливать настройки из tombstone объектов.
Удаленные объекты хранятся в корзине AD в течении времени захоронения ( tombstonelifetime ), заданном для леса. По умолчанию это 180 дней.
Для работы новой ActiveDirectory RecycleBin должны выполняться следующие требования:
- Как минимум один контроллер, сWindows Server 2012 и включенным Active Directory Administrative Center
- Все контролеры домена должны работать под управлением Windows Server 2008 R2 или выше
- Функциональный уровень леса должен быть не менее Windows Server 2008 R2
Включаем Active Directory Recycle Bin в домене
Стоит заранее отметить, что по-умолчанию корзина AD выключена, однако если ее активировать, отключить ее в дальнейшем невозможно . Т.е. включение корзины AD процесс необратимый. Поэтому рекомендуется сначала познакомиться с технологией корзины Active Directory в тестовой среде.
Проверим текущий уровень леса, сделать это можно с помощью команды PoSh:
Get-ADForest corp.remontka.com
В нашем случае уровень леса — Windows2008R2Forest , если же уровень леса ниже, его нужно поднять.
Включить корзину Active Directory можно с помощью Powershell:
Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=corp,DC=remontka,DC=ru’ –Scope ForestOrConfigurationSet –Target ‘corp.remontka.com’
Тоже самое можно сделать из консоли Active Directory Administrative Center. Для этого в консоли нужно выбрать ваш домен и в правой панели найти и нажать кнопку « Enable Recycle Bin ».
Примечание . После включения корзины должно пройти некоторое время, прежде чем информация о новой конфигурации реплицируется по всем серверам леса AD.
Если обновить консоль, то вы увидите, что в дереве AD появился новый контейнер OU с названием Deleted object
Восстановление удаленных объектов Active Directory из корзины
Продемонстрируем работу технологии Active Directory RecycleBin в деле. Попробуем удалить несколько пользователей домена из AD, а затем попробуем их восстановить. Выделим несколько пользователей в тестовой OU и удалим их.
Затем в консоли ADAC перейдем в созданную ранее OU Deleted Objects и в ней должны оказаться все удаленный нами пользователи. Выделим все объекты, которые нужно восстановить и в правой панели нажмем кнопку Restore . Если нужно восстановить объекты в OU, отличную от той, из которой были они удалены, воспользуемся кнопкой Restore To .
После чего можно удостовериться, что все удаленные объекты появятся в исходном контейнере.
Через графический интерфейс отображаются не все атрибуту удаленного объекта (только имя удаленного объекта, last known parent и GUID). Если вам нужна более полная информация об объекте, придется его сначала восстановить, и если это окажется не тот объект, затем удалить. Как вариант выборки элементов с определенными параметрами моно использовать фильтры. Например, выбрав фильтр по атрибуту City и указав Сыктывкар, мы выберем все удаленные объекты, у которых в поле City указана данный город.
Также стоит отметить, что можно восстанавливать не только отдельные объекты AD, но и целиком контейнеры со всеми OU и другими типами объектов в них. Для этого в корзине нужно будет выбрать и объекты и их удаленные родительские OU, а затем нажать кнопку Restore . Одновременно удаленные объекты можно отобрать, отсортировав в корзине с помощь. фильтра по столбцу When Deleted .
Про восстановление удаленных объектов AD с помощью PowerShell есть отдельная статья .