.

Первый вариант корзины Active Directory появился в Windows Server 2008 R2. Была реализована возможность восстанавливать случайно удаленную учетную запись пользователя, компьютера или подразделения (OU). Однако работать с корзиной Active Directory можно только с помощью средств PowerShell, что может оказаться сложным, особенно для тех, кто незнаком с этой командной оболочкой. Кроме того, для поиска удаленных объектов существуют определенные ограничения.

Команды PowerShell могут быть довольно длинными. Для примера ниже приведена команда активации корзины Active Directory:

Enable-ADOptionalFeature «Recycle Bin Feature» -server `
((Get-ADForest -Current LocalComputer).DomainNamingMaster) `
-Scope ForestOrConfigurationSet `
-Target (Get-ADForest -Current LocalComputer)

Следующая команда позволяет выполнить поиск по всем удаленным объектам в корзине Active Directory:

Get-ADObject -filter 'isDeleted -eq $true' `
-and name -ne «Deleted Objects»' -includeDeletedObjects `
-property * |
ft msds-lastKnownRdn,lastKnownParent -auto -wrap

Команда восстановления учетной записи пользователя JohnMarlin выглядит следующим образом:

Get-ADObject -Filter 'samaccountname -eq «JohnMarlin»' `
-IncludeDeletedObjects | Restore-ADObject

Можно заметить, что команды довольно сложны. Поймите меня правильно: я вовсе не даю негативную оценку корзине Active Directory в Server 2008 R2, но лишь обращаю ваше внимание на то, что работа с ней может оказаться непростой задачей.

Руководствуясь отзывами пользователей, разработчики Microsoft сделали корзину Active Directory частью центра администрирования Active Directory в Windows Server 2012. Теперь использовать ее стало намного проще.

Установка корзины Active Directory

Как и ранее, в Server 2012 корзина Active Directory не включена по умолчанию и требует функционального уровня леса Server 2008 R2 или более новой версии. Для активации корзины откройте центр администрирования Active Directory, щелкните на имени домена и в меню Tasks выберите Enable Recycle Bin. Этот же элемент можно выбрать в контекстном меню, открываемом правым щелчком на имени домена. Оба варианта показаны на экране 1.

 

Активация корзины
Экран 1. Активация корзины

После выбора элемента Enable Recycle Bin открывается окно подтверждения активации корзины (см. экран 2).

 

Запрос подтверждения активации корзины
Экран 2. Запрос подтверждения активации корзины

Данное окно содержит предупреждение о том, что однажды активированную корзину впоследствии уже нельзя будет выключить.

Активируя корзину, следует помнить о том, что размер базы данных AD (Ntds.dit) увеличится. Дисковое пространство, используемое корзиной, будет продолжать расти по мере пополнения новыми удаленными объектами и их атрибутами. Поэтому необходимо заранее обеспечить достаточный объем системы хранения, особенно если вам приходится постоянно удалять объекты AD. Следует заметить, что доступ к корзине открыт только членам группы администраторов предприятия.

После нажатия кнопки OK в окне подтверждения активации корзины выдается сообщение с напоминанием о том, что корзина станет полнофункциональной только тогда, когда это изменение будет реплицировано на все остальные контроллеры домена (DC). В полнофункциональной корзине удаленный объект хранится в соответствии со значением атрибута msDS-deletedObjectLifetime. Этот атрибут, впервые появившийся в Server 2008 R2 и определяющий срок поддержания возможности восстановления удаленного объекта, задается в контейнере CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=COMPANY,DC=COM.

По умолчанию атрибут msDS-deletedObjectLifetime устанавливается в соответствии с атрибутом tombstoneLifetime, впервые появившимся в Windows 2000. Его значение по умолчанию ранее составляло 60 дней, но в Windows Server 2003 SP1 было увеличено до 120 дней, каковым и остается до сих пор. Атрибут tombstoneLifetime задается в контейнере CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=COMPANY,DC=COM.

Число элементов, отображаемых в корзине, ограничено. По умолчанию установлен предел в 20 000. Эту установку можно изменить (до 100 000) с помощью элемента Management List Options в меню Manage (см. экран 3).

 

Изменение числа элементов, отображаемых в?корзине
Экран 3. Изменение числа элементов, отображаемых в?корзине

Применение корзины Active Directory

Чтобы открыть корзину Active Directory, в центре администрирования Active Directory выберите элемент Deleted Objects под именем домена. По умолчанию на экране отображается пять столбцов: Name, When Deleted, Last known parent, Type и Description. При желании добавьте столбцы, для чего выберите нужные категории из списка, который открывается щелчком правой кнопки на колонке (см. экран 4).

 

Добавление колонок
Экран 4. Добавление колонок

Число объектов в корзине постоянно растет, и зачастую их прокрутка занимает длительное время, поэтому предусмотрена возможность применения фильтров, что позволяет сузить диапазон поиска. К примеру, предположим, что по ошибке была удалена учетная запись, в имени которой присутствует фрагмент John. Точно неизвестно, какую именно учетную запись требуется восстановить, поскольку она была удалена непреднамеренно, однако имеется следующая информация о пользователе:

  • работает в офисе в Далласе, шт. Техас;
  • является сотрудником отдела бухгалтерского учета;
  • не регистрировался в системе на протяжении последних 10 дней;
  • во время последней регистрации срок действия его пароля должен был истечь через 2 дня.

Если в поле фильтра указать John, то в ответ будет выдан список всех учетных записей, имена которых содержат этот фрагмент. Но что если таких учетных записей не одна сотня? Чтобы сузить диапазон поиска, можно задать критерии с помощью кнопки Add criteria. Как показано на экране 5, существует широкий выбор критериев.

 

Критерии для?сужения диапазона поиска
Экран 5. Критерии для?сужения диапазона поиска

На основании имеющейся информации о пользователе выбираем соответствующие критерии и вводим данные, как показано на экране 6. Как мы видим, учетная запись, которую требуется восстановить – John23.

 

Ввод данных для поиска учетной записи пользователя John в соответствии с выбранными критериями
Экран 6. Ввод данных для поиска учетной записи пользователя John в соответствии с выбранными критериями

Для восстановления объекта John23 в меню, открываемом щелчком правой кнопки, выбираем Restore (восстановление в исходном OU) или Restore To (восстановление в другом OU). Эти два элемента также имеются в меню Tasks.

Можно восстанавливать не только один, но и сразу несколько объектов, а также OU. К примеру, предположим, что в компании работает группа временных сотрудников, у которых срок действия контракта истекает в пятницу вечером. Как старший администратор, вы отвечаете за удаление OU (группы временных сотрудников) и всех учетных данных временных пользователей по истечении срока действия контракта. На следующей неделе вы уходите в отпуск, поэтому заблаговременно в четверг составляете сценарий удаления объектов, который должен запуститься в пятницу вечером.

В пятницу вечером руководство принимает решение оставить временную группу еще на неделю. Вам отсылается по электронной почте сообщение с указанием повременить с удалением объектов, но вы его не получаете. Вечером в пятницу сценарий запускается и удаляет учетные данные для этого временного подразделения и все относящиеся к нему учетные записи.

Утром в понедельник временные сотрудники не могут зарегистрироваться в системе. Другой администратор открывает корзину, чтобы восстановить удаленные учетные записи. Однако ему неизвестно об удалении OU; кроме того, он не знает имен пользователей.

Открыв корзину, администратор добавляет критерии поиска (см. экран 7) и получает список удаленных учетных записей.

 

Ввод данных для поиска учетных записей временных сотрудников
Экран 7. Ввод данных для поиска учетных записей временных сотрудников

Однако при попытке восстановления первой учетной записи появляется сообщение об ошибке (см. экран 8). В нем говорится, что временное подразделение (OU) было удалено. Учетная запись не может быть восстановлена в несуществующее OU, а новое OU не создается. Администратору приходится выполнить новый поиск, чтобы найти удаленное OU и восстановить его. Затем вновь выполняется предыдущий поиск для вывода списка удаленных объектов. Все подлежащие восстановлению учетные записи выбираются и восстанавливаются с помощью простой операции (см. экран 9). Теперь временные сотрудники вновь могут зарегистрироваться в системе.

 

Сообщение об ошибке
Экран 8. Сообщение об ошибке

 

Восстановление всех пользователей одной операцией
Экран 9. Восстановление всех пользователей одной операцией

Вы, вероятно, знаете, что у AD есть несколько разделов. Корзина может управлять только разделами домена. Объекты, удаленные из разделов Configuration, Domain DNS или Forest DNS, не могут быть восстановлены с помощью этого инструмента.

Палочка-выручалочка

Корзина Active Directory может выручать в тех случаях, когда проблему не решает простое повторное создание учетной записи, либо если требуется восстановить всю AD или ее большие фрагменты. В случае необходимости пользуйтесь этим простым и удобным инструментом.