Корзина Active Directory в Windows Server 2012R2
С момента появления в Windows Server 2008 R2 корзина AD претерпела существенные изменения: в Windows Server 2012 появился графический интерфейс. Корзина AD позволяет Вам восстанавливать удаленные объекты AD без принудительного восстановления AD или восстановления из tombstone объектов. Также в новую корзину добавлена возможность фиксировать информацию о членстве в группах и атрибутах, так что Вам не придется вручную восстанавливать настройки, как это приходилось делать с tombstone объектами. Изначально доступ к корзине AD осуществлялся через Powershell. В Windows Server 2012 Вы можете получить доступ к объектам через Active Directory Administrative Center (ADAC), обладающий графическим интерфейсом. По умолчанию – когда Вы создаете новый лес или домен – Корзина AD выключена. Если Вы ее включаете, то потом не выключить. Поэтому рекомендую сначала осуществить все манипуляции в тестовой среде – включение этой функции меняет то, как AD хранит удаленные объекты.
Для начала Вам потребуется следующее:
• Хотя бы один контроллер домена, работающий под Windows Server 2012 с включенным Active Directory Administrative Center.
• Все контроллеры домена (или серверы, на которых запущены AD LDS) должны работать под Windows Server 2008 R2 или выше.
• Лес должен работать на функциональном уровне Windows Server 2008 R2.
Функциональный уровень леса (Forest Functional Level)
Для начала убедитесь, что лес работает на корректном функциональном уровне леса. Проще все это сделать с помощью PowerShell командлета Get-ADForest. Запустите команду Get-ADForest yourdomain.local.
В окне PowerShell можно увидеть, что лес работает в режиме, he Windows 2008 и должен быть поднят хотя бы до уровня Windows Server 2008 R2. Запустим командлет Set-ADForestMode. Set-ADForestMode -Identity yourdomain.local -ForestMode Windows2008R2Forest.
Подтверждаем – и готово! Если еще раз запустим Get-ADForest yourdomain.local, увидим, что режим леса поменялся.
Включаем Корзину Active Directory в Windows Server 2012
Теперь когда функциональный уровень леса находится на минимально допустимом уровне, мы можем включить корзину AD. И опять проще всего это сделать через Powershell:
Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=ad,DC=4sysops,DC=com’ –Scope ForestOrConfigurationSet –Target ‘ad.4sysops.com’
Подтвердите включение корзины.
После этих манипуляций, можем приступать к тестированию возможностей корзины. Доступ к ней можно получить через Active Directory Administrative Center (ADAC) на стартовом экране Вашей контроллера домена.
Но никто вам не мешает включать функционал корзины AD через графический интерфейс, об этом Microsoft так же подумала. Идем в оснастку ADAC, выбираем корень вашего домена, вызываем у него контекстное меню и находим пункт "Включить корзину". Одним словом очень просто.
Active Directory Administrative Center (ADAC)
В ADAC выберите домен (в данном случае ad.local) и увидите контейнер с удаленными объектами (Deleted Objects). Внутри вряд ли что-то будет, поэтому давайте создадим тестовые объекты, которые мы могли бы удалить. Я создал несколько пользователей и групп безопасности. А теперь удаляем их.
Теперь они появились в пункте Deleted Objects.
Ок, выбираем объекты, которые хотим восстановить и нажимает кнопку Restore. Объекты будут восстановлены в оригинальную OU как будто их удаление и не происходило.
И это все. Графический интерфейс довольно простое, но долгожданное нововведение в Windows Server 2012. К сожалению, через графический интерфейс Вы увидите только имя объекта, last known parent и GUID. Если Вам нужна более детальная информация, Вам придется сначала восстановить объект, а затем удалить, если он окажется не тем, который Вам нужен.
Принять во внимание
Удаленные объекты хранятся в корзине AD 180 дней. Для большинства организаций это слишком большой срок. Об изменении срока хранения можете почитать на Technet.
Включение корзины AD – необратимый процесс. Поэтому оценивайте ее в тестовой среде. Если Ваша среда AD состоит из множества объектов, с которыми происходит множество операций удаления, Вы можете увидеть, каким рост базы данных, и потребуется ли какие-либо обновления контроллера домена. Помимо ADAC, объекты AD могут восстанавливаться из корзины с помощью PowerShell или ldp.exe — Подробнее. Корзина AD не заменит резервных копий и стратегии восстановления! Делайте регулярные бекапы Вашей среды AD. Корзина поможет в тех случаях, когда удаление произошло случайно, а восстановить объекты нужно с минимальными усилиями. Материал сайта Pyatilistnik.org
Добрый день.
Сегодня впервые воспользовался корзиной AD и был удивлен тем, что помимо удаленных OU, пользователей, компьютеров и групповых политик там есть неимоверное количество записей типа «hostname-printername». Вы с такой фигней не сталкивались!? Что может служить причиной таким записям?
Ну принтеры я обычно не публикую в AD, но допускаю, что при удалении его, информация как и о любом другом объекте будет лежать в корзине. А что вас смущает в ваших объектах?
«…но допускаю, что при удалении его…» (одного.) …
«..Что может служить причиной таким записям…» ― «..неимоверное количество..»