Windows Server 2008 R2 — Корзина Active Directory

imageПриведу маленькую шпаргалку по использованию корзины AD (Active Directory Recycle Bin) в домене Windows Server 2008 R2.

Для возможности активации корзины AD функциональный уровень леса должен быть не ниже — Windows Server 2008 R2. Чтобы проверить текущий уровень леса выполним:

Import-Module ActiveDirectory

Get-ADForest | Format-List Name,ForestMode,DomainNamingMaster

Параметр DomainNamingMaster вернёт нам имя сервера, который выполняет роль мастера именования (Domain Naming Master FSMO role). Имя этого сервера потребуется нам в дальнейшем при включении функционала корзины AD.

Если уровень значения ForestMode ниже Windows2008R2Forest и вы готовы выполнить его повышение, выполним:

Get-ADForest | Set-ADForestMode –ForestMode Windows2008R2Forest

Для того чтобы активировать функционал корзины AD в лесу с именем “holding.com” в котором мастером именования является контроллер домена “DC01”  выполним:

Enable-ADOptionalFeature "Recycle Bin Feature" -Scope ForestOrConfigurationSet -Target "holding.com"Server "DC01"

По умолчанию удалённые объекты помещаются в скрытый контейнер CN=Deleted Objects, DC=<mydomain>,DC=<com>

Предположим, что мы по ошибке удалили из домена пользователя “Петя Редискин”. Для того чтобы выполнить поиск учетной записи среди всех удалённых объектов попавших в корзину AD выполним:

Get-ADObject -SearchBase "CN=Deleted Objects,DC=holding,DC=com" -filter {(Objectclass -eq "user") -AND (displayName -like "*Редискин")} –IncludeDeletedObjects


Результат вывода будет примерно следующий:

Deleted           : True

DistinguishedName : CN=Петя РедискинADEL:9101b6d7-be83-480c-939d-c91b851ebbc6,CN=Deleted Objects,DC=holding,DC=com

Name              : Петя Редискин

                    DEL:9101b6d7-be83-480c-939d-c91b851ebbc6

ObjectClass       : user

ObjectGUID        : 9101b6d7-be83-480c-939d-c91b851ebbc6

Теперь, зная ObjectGUID интересующей нас учетной записи мы можем выполнить её восстановление:

Restore-ADObject –identity 9101b6d7-be83-480c-939d-c91b851ebbc6


Если вы предпримите попытку восстановления учетной записи в контейнер/OU который был так же удалён, то получите ошибку:

Restore-ADObject : Отсутствует аргумент для параметра "TargetPath". Укажите параметр типа "System.String" и повторите попытку.

 

У нас есть два выхода из этой ситуации – предварительно восстановить удалённый контейнер/OU а затем уже восстанавливать учетную запись пользователя или же при восстановлении учетной записи указать имя существующего контейнера/OU в который будет восстановлена учетная запись с помощью параметра "TargetPath:

Restore-ADObject -TargetPath "OU=Restored Users,DC=holding,DC=com" –identity 9101b6d7-be83-480c-939d-c91b851ebbc6

Источники информации:

Только один комментарий Комментировать

  1. Обратная ссылка: Useful MS Active Directory links « Share IT /

Добавить комментарий