Приведу маленькую шпаргалку по использованию корзины AD (Active Directory Recycle Bin) в домене Windows Server 2008 R2.
Для возможности активации корзины AD функциональный уровень леса должен быть не ниже Windows Server 2008 R2. Чтобы проверить текущий уровень леса, выполним:
Import-Module ActiveDirectory
Get-ADForest | Format-List Name,ForestMode,DomainNamingMaster
Параметр DomainNamingMaster вернёт нам имя сервера, который выполняет роль мастера именования (Domain Naming Master FSMO role). Имя этого сервера потребуется нам в дальнейшем при включении функционала корзины AD.
Если уровень значения ForestMode ниже Windows2008R2Forest и вы готовы выполнить его повышение, выполним:
Get-ADForest | Set-ADForestMode -ForestMode Windows2008R2Forest
Для того, чтобы активировать функционал корзины AD в лесу с именем "holding.com", в котором мастером именования является контроллер домена с именем "DC01", выполним:
Enable-ADOptionalFeature "Recycle Bin Feature" -Scope ForestOrConfigurationSet -Target "holding.com" -Server "DC01"
По умолчанию удалённые объекты помещаются в скрытый контейнер вида:
CN=Deleted Objects,DC=holding,DC=com
Предположим, что мы по ошибке удалили из домена пользователя "Петя Иванов". Для того, чтобы выполнить поиск учетной записи среди всех удалённых объектов, попавших в корзину AD, выполним:
Get-ADObject -SearchBase "CN=Deleted Objects,DC=holding,DC=com" -filter {(Objectclass -eq "user") -AND (displayName -like "*Иванов")} -IncludeDeletedObjects
Результат вывода будет примерно следующий:
Deleted : True
DistinguishedName : CN=Петя Иванов\0ADEL:9101b6d7-be83-480c-939d-c91b851ebbc6,CN=Deleted Objects,DC=holding,DC=com
Name : Петя Иванов
DEL:9101b6d7-be83-480c-939d-c91b851ebbc6
ObjectClass : user
ObjectGUID : 9101b6d7-be83-480c-939d-c91b851ebbc6
Теперь, зная ObjectGUID интересующей нас учетной записи, мы можем выполнить её восстановление:
Restore-ADObject -identity 9101b6d7-be83-480c-939d-c91b851ebbc6
Если вы предпримите попытку восстановления учетной записи в контейнер/OU, который был так же удалён, то получите ошибку:
Restore-ADObject : Отсутствует аргумент для параметра "TargetPath". Укажите параметр типа "System.String" и повторите попытку.
У нас есть два выхода из этой ситуации:
- Предварительно восстановить удалённый контейнер/OU, а затем уже восстанавливать учетную запись пользователя;
- При восстановлении учетной записи указать имя существующего контейнера/OU, в который будет восстановлена учетная запись с помощью параметра "TargetPath":
Restore-ADObject -TargetPath "OU=Restored Users,DC=holding,DC=com" -identity 9101b6d7-be83-480c-939d-c91b851ebbc6
Дополнительные источники информации:
RSS - Записи
Обратная ссылка: Useful MS Active Directory links « Share IT /