Kyle Beckman написал простой, но полезный материал на портале http://4sysops.com, посвященный нововведениям в корзине AD в Windows Server 2012. Его обзор показался нам довольно интересным, поэтому мы приводим его перевод на Хабрахабре. Заинтересованных приглашаем под кат.
С момента появления в Windows Server 2008 R2 корзина AD претерпела существенные изменения: в Windows Server 2012 появился графический интерфейс. Корзина AD позволяет Вам восстанавливать удаленные объекты AD без принудительного восстановления AD или восстановления из tombstone объектов. Также в новую корзину добавлена возможность фиксировать информацию о членстве в группах и атрибутах, так что Вам не придется вручную восстанавливать настройки, как это приходилось делать с tombstone объектами.
Изначально доступ к корзине AD осуществлялся через Powershell. В Windows Server 2012 Вы можете получить доступ к объектам через Active Directory Administrative Center (ADAC), обладающий графическим интерфейсом. По умолчанию – когда Вы создаете новый лес или домен – Корзина AD выключена. Если Вы ее включаете, то потом не выключить. Поэтому рекомендую сначала осуществить все манипуляции в тестовой среде – включение этой функции меняет то, как AD хранит удаленные объекты.
Для начала Вам потребуется следующее:
• Хотя бы один контроллер домена, работающий под Windows Server 2012 с включенным Active Directory Administrative Center.
• Все контроллеры домена (или серверы, на которых запущены AD LDS) должны работать под Windows Server 2008 R2 или выше.
• Лес должен работать на функциональном уровне Windows Server 2008 R2.
Функциональный уровень леса (Forest Functional Level)
Для начала убедитесь, что лес работает на корректном функциональном уровне леса. Проще все это сделать с помощью PowerShell командлета Get-ADForest. Запустите команду Get-ADForest yourdomain.local.
Функциональный уровень леса
В окне PowerShell можно увидеть, что лес работает в режиме, he Windows 2008 и должен быть поднят хотя бы до уровня Windows Server 2008 R2. Запустим командлет Set-ADForestMode.
Set-ADForestMode -Identity yourdomain.local -ForestMode Windows2008R2Forest.
Режим леса (Forrest mode)
Подтверждаем – и готово! Если еще раз запустим Get-ADForest yourdomain.local, увидим, что режим леса поменялся.
Windows Server 2008 R2 Forest Mode
Включаем Корзину Active Directory в Windows Server 2012
Теперь когда функциональный уровень леса находится на минимально доступимом уровне, мы можем включить корзину AD. И опять проще всего это сделать через Powershell:
Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=ad,DC=4sysops,DC=com’ –Scope ForestOrConfigurationSet –Target ‘ad.4sysops.com’
Подтвердите включение корзины.
Включение корзины AD в Windows Server 2012
После этих манипуляций, можем приступать к тестированию возможностей корзины. Доступ к ней можно получить через Active Directory Administrative Center (ADAC) на стартовом экране Вашей контроллера домена.
Active Directory Administrative Center (ADAC)
В ADAC выберите домен (в данном случае ad.local) и увидите контейнер с удаленными объектами (Deleted Objects). Внутри вряд ли что-то будет, поэтому давайте создадим тестовые объекты, которые мы могли бы удалить. Я создал несколько пользователей и групп безопасности. А теперь удаляем их.
Удаление объектов в ADAC
Теперь они появились в пункте Deleted Objects.
Удаленные объекты в ADAC
Ок, выбираем объекты, которые хотим восстановить и нажимает кнопку Restore. Объекты будут восстановлены в оригинальную OU как будто их удаление и не происходило.
AD Recycle Bin Windows Server 2012 Восстановление объектов
И это все. Графический интерфейс довольно простое, но долгожданное нововведение в Windows Server 2012. К сожалению, через графический интерфейс Вы увидите только имя объекта, last known parent и GUID. Если Вам нужна более детальная информация, Вам придется сначала восстановить объект, а затем удалить, если он окажется не тем, который Вам нужен.
Принять во внимание
Удаленные объекты храняться в корзине AD 180 дней. Для большинства организаций это слишком большой срок. Об изменении срока хранения можете почитать на Technet.
Включение корзины AD – необратимый процесс. Поэтому оценивайте ее в тестовой среде. Если Ваша среда AD состоит из множества объектов, с которыми происходит множество операций удаления, Вы можете увидеть, каким рост базы данных, и потребуется ли какие-либо обновления контроллера домена.
Помимо ADAC, объекты AD могут восстанавливаться из корзины с помощью PowerShell или ldp.exe — Подробнее.
Корзина AD не заменит резервных копий и стратегии восстановления! Делайте регулярные бекапы Вашей среды AD. Корзина поможет в тех случаях, когда удаление произошло случайно, а восстановить объекты нужно с минимальными усилиями.
Автор: NetWrixRU