Bez funkce Recycle Bin se při smazání objektu ještě úplně neodstraní, ale stane se z něj tombstone (náhrobek) a po dobu tombstone lifetime (od Windows Server 2003 SP1 je to default 180 dní) je možné jej obnovit metodou tombstone reanimation. Problém je, že ztratíme některé atributy, například členství ve skupinách.
Funkce Active Directory Recycle Bin je defaultně vypnutá, pokud ji zapneme, tak se po smazání objekt přesune do kontejneru Deleted Objects a odtud může být obnoven, do stejného stavu jako před smazáním, po dobu deleted object lifetime (standardně 180 dní). Po vypršení tohoto času se z deleted object stává recycled object (obdoba tombstone) a ještě další dobu (standardně také 180 dní) může být obnoven bez některých atributů. Pak se teprve fyzicky smaže.
Zapnutí AD Recycle Bin
Podmínkou tedy je mít funkční stupeň lesa Windows Server 2008 R2. Jakmile tuto funkci zapneme, tak ji již nelze vypnout. Zapnutí musíme provádět pod účtem s právy Enterprise Admins. Nejjednodušší je zapnutí této funkce pomocí cmdletu z PowerShell modulu ActiveDirectory. Nejprve je formát příkazu a potom příklad použití pro doménu firma.local.
Enable-ADOptionalFeature -Identity <ADOptionalFeature> -Scope <ADOptionalFeatureScope> -Target <ADEntity> Enable-ADOptionalFeature –Identity "CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=firma,DC=local" –Scope ForestOrConfigurationSet –Target "firma.local"
Nastavení doby, kdy je možné objekt obnovit
Pokud chceme změnit výchozí hodnotu msDS-deletedObjectLifetime
, tak můžeme opět použít PowerShell (v příkladu doména firma.local a doba 60 dní).
Set-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=firma,DC=local" –Partition "CN=Configuration,DC=firma,DC=local" –Replace:@{"msDS-DeletedObjectLifetime" = 60}
Obnovení smazaného objektu
Obnovení smazaného objektu není úplně jednoduché, ale určitě není těžké a máme několik možností. Můžeme použít nástroj ldp.exe
nebo můžeme použít cmdlet z PowerShellu (modul ActiveDirectory) a nebo můžeme použít jednoduchou grafickou aplikaci ADRecycleBin od firmy Overall Solutions, která je poskytovaná zdarma.
Obnovení pomocí PowerShellu
Operace musíme provádět pod účtem s právy Domain Admins. Nejprve musíme nalézt smazaný objekt, to můžeme pomocí příkazu Get-ADObject
. Například seznam všech smazaných uživatelů zobrazíme:
Get-ADObject -Filter {(deleted -eq $true) -and (ObjectClass -eq "user")} -Properties sAMAccountName -IncludeDeletedObjects | FT Name, sAMAccountName, Deleted -AutoSize
Určitého uživatele můžeme vybrat třeba podle uživatelského jména:
Get-ADObject -Filter {sAMAccountName -eq "novak"} –IncludeDeletedObjects
A pro obnovení využijeme cmdlet Restore-ADObject
:
Get-ADObject -Filter {sAMAccountName -eq "novak"} -IncludeDeletedObjects | Restore-ADObject
Podobně můžeme obnovit účet počítače:
Get-ADObject -Filter {sAMAccountName -eq "pcname$"} -IncludeDeletedObjects | Restore-ADObject
Obnovení pomocí ADRecycleBin
Aplikaci můžeme stáhnout z adresy ADRecycleBin, kde je i její popis. Použití je opravdu jednoduché a funkční. Musíme ji spustit pod účtem doménového admina. Vybereme, jaké objekty chceme zobrazit a klikneme na Load Deleted Objects, nyní se nám zobrazí seznam objektů. Zaškrtneme ty, které chceme obnovit a klikneme na Restore Checked Objects. V AD již uvidíme opět naše objekty.
Na závěr již jen odkaz na podrobný popis od MS v článku Active Directory Recycle Bin Step-by-Step Guide.
diky za uzitecne info.