forum

www.SAMURAJ-cz.com 

03.12.2016 Svatoslav Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

Active Directory Recycle Bin

Čtvrtek, 31.03.2011 15:48 | Samuraj - Petr Bouška |
Novinkou na doméně (lese) ve funkčním stupni Windows Server 2008 R2 je koš (Recycle Bin). Myslím, že je to užitečná vlastnost, i když jsem ji za rok, co je zapnutá, použil pouze jednou. Rozhodně ničemu neškodí. Dělá to, co každý tuší. Smazaný objekt v Active Directory Domain Services (AD DS) se přesune do koše a jej možné je obnovit do původního stavu.

Bez funkce Recycle Bin se při smazání objektu ještě úplně neodstraní, ale stane se z něj tombstone (náhrobek) a po dobu tombstone lifetime (od Windows Server 2003 SP1 je to default 180 dní) je možné jej obnovit metodou tombstone reanimation. Problém je, že ztratíme některé atributy, například členství ve skupinách.

Funkce Active Directory Recycle Bin je defaultně vypnutá, pokud ji zapneme, tak se po smazání objekt přesune do kontejneru Deleted Objects a odtud může být obnoven, do stejného stavu jako před smazáním, po dobu deleted object lifetime (standardně 180 dní). Po vypršení tohoto času se z deleted object stává recycled object (obdoba tombstone) a ještě další dobu (standardně také 180 dní) může být obnoven bez některých atributů. Pak se teprve fyzicky smaže.

Zapnutí AD Recycle Bin

Podmínkou tedy je mít funkční stupeň lesa Windows Server 2008 R2. Jakmile tuto funkci zapneme, tak ji již nelze vypnout. Zapnutí musíme provádět pod účtem s právy Enterprise Admins. Nejjednodušší je zapnutí této funkce pomocí cmdletu z PowerShell modulu ActiveDirectory. Nejprve je formát příkazu a potom příklad použití pro doménu firma.local.

Enable-ADOptionalFeature -Identity <ADOptionalFeature> -Scope <ADOptionalFeatureScope> -Target <ADEntity>
Enable-ADOptionalFeature –Identity "CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=firma,DC=local" –Scope ForestOrConfigurationSet –Target "firma.local"

Nastavení doby, kdy je možné objekt obnovit

Pokud chceme změnit výchozí hodnotu msDS-deletedObjectLifetime, tak můžeme opět použít PowerShell (v příkladu doména firma.local a doba 60 dní).

Set-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=firma,DC=local" –Partition "CN=Configuration,DC=firma,DC=local" –Replace:@{"msDS-DeletedObjectLifetime" = 60}

Obnovení smazaného objektu

Obnovení smazaného objektu není úplně jednoduché, ale určitě není těžké a máme několik možností. Můžeme použít nástroj ldp.exe nebo můžeme použít cmdlet z PowerShellu (modul ActiveDirectory) a nebo můžeme použít jednoduchou grafickou aplikaci ADRecycleBin od firmy Overall Solutions, která je poskytovaná zdarma.

Obnovení pomocí PowerShellu

Operace musíme provádět pod účtem s právy Domain Admins. Nejprve musíme nalézt smazaný objekt, to můžeme pomocí příkazu Get-ADObject. Například seznam všech smazaných uživatelů zobrazíme:

Get-ADObject -Filter {(deleted -eq $true) -and (ObjectClass -eq "user")} -Properties sAMAccountName -IncludeDeletedObjects | FT Name, sAMAccountName, Deleted -AutoSize

Určitého uživatele můžeme vybrat třeba podle uživatelského jména:

Get-ADObject -Filter {sAMAccountName -eq "novak"} –IncludeDeletedObjects

A pro obnovení využijeme cmdlet Restore-ADObject:

Get-ADObject -Filter {sAMAccountName -eq "novak"} -IncludeDeletedObjects | Restore-ADObject

Podobně můžeme obnovit účet počítače:

Get-ADObject -Filter {sAMAccountName -eq "pcname$"} -IncludeDeletedObjects | Restore-ADObject

Obnovení pomocí ADRecycleBin

Aplikaci můžeme stáhnout z adresy ADRecycleBin, kde je i její popis. Použití je opravdu jednoduché a funkční. Musíme ji spustit pod účtem doménového admina. Vybereme, jaké objekty chceme zobrazit a klikneme na Load Deleted Objects, nyní se nám zobrazí seznam objektů. Zaškrtneme ty, které chceme obnovit a klikneme na Restore Checked Objects. V AD již uvidíme opět naše objekty.

Na závěr již jen odkaz na podrobný popis od MS v článku Active Directory Recycle Bin Step-by-Step Guide.

zobrazeno: 9560krát | Komentáře [1]

Autor:

Související články:

Active Directory a protokol LDAP

Správa počítačové sítě ala Microsoft, to je Active Directory. Jedná se o velice rozsáhlou skupinu technologií a služeb. Základem jsou adresářové služby, adresáře a komunikační protokol LDAP.

PowerShell

Články týkající se Microsoft skriptovacího jazyku PowerShell, který se používá ve všech nových verzích MS OS a aplikací.

Pokud se Vám článek líbil, tak mne potěšíte, když uložíte odkaz na některý server:

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže. Pokud chcete poradit s nějakým problémem či diskutovat na nějaké téma, tak použijte fórum.

Komentáře

  1. [1] OP

    diky za uzitecne info.

    Středa, 01.02.2012 14:37 | odpovědět
Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O


Ochrana proti SPAMu, zdejte následující čtyři znaky image code

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách