Технологія кошика AD (Active Directory Recycle Bin) Вперше була представлена в Windows Server 2008 R2. У Windows Server 2003 і 2008 відновити віддалений об'єкт AD можна було тільки з резервної копії, режиму DSRM за допомогою команди «ntdsutil authoritative restore»Або сторонніх утиліт (наприклад, ADRestore). Однак у всіх цих випадках передбачалася недоступність служби AD під час відновлення об'єктів. C допомогою кошика AD адміністратор може відновити будь-який випадково або навмисно віддалений об'єкт Active Directory без переривання цього сервісу.
У Windows Server 2012 технологія кошика Active Directory отримала подальший розвиток. Одним з головних нововведень в цій технології є те, що в Windows Server 2012, нарешті з'явився графічний GUI для роботи з кошиком AD Recycle Bin (в Windows 2008 R2 управління кошиком Active Directory Recycle Bin здійснювалося за допомогою PowerShell і утиліти LDP.exe) . Тепер управління кошиком і можливості відновлення об'єктів AD доступні з графічної консолі Active Directory Administrative Center (ADAC).
Крім того, в новій кошику тепер можна фіксувати інформацію про атрибути об'єктів і членство в групах, так що тепер не доведеться вручну відновлювати налаштування з tombstone об'єктів.
Віддалені об'єкти зберігаються в кошику AD в плині часу поховання (tombstonelifetime), Заданому для лісу. За замовчуванням це 180 днів.
Для роботи нової ActiveDirectory RecycleBin слід дотримуватись таких вимог:
- Як мінімум один контролер, сWindows Server 2012 і включеним Active Directory Administrative Center
- Всі контролери домену повинні працювати під управлінням Windows Server 2008 R2 або вище
- Функціональний рівень лісу повинен бути не менше Windows Server 2008 R2
включаємо Active Directory Recycle Bin в домені
Варто заздалегідь відзначити, що за замовчуванням кошик AD вимкнена, проте якщо її активувати, відключити її в подальшому неможливо. Тобто включення кошика AD процес незворотний. Тому рекомендується спочатку познайомитися з технологією кошика Active Directory в тестовому середовищі.
Перевіримо поточний рівень лісу, зробити це можна за допомогою команди PoSh:
Get-ADForest corp.winitpro.ru
У нашому випадку рівень лісу - Windows2008R2Forest, якщо ж рівень лісу нижче, його потрібно підняти.
Включити кошик Active Directory можна за допомогою Powershell:
Enable-ADOptionalFeature -Identity 'CN = Recycle Bin Feature, CN = Optional Features, CN = Directory Service, CN = Windows NT, CN = Services, CN = Configuration, DC = corp, DC = winitpro, DC = ru' -Scope ForestOrConfigurationSet -Target 'corp.winitpro.ru'
Теж саме можна зробити з консолі Active Directory Administrative Center. Для цього в консолі потрібно вибрати ваш домен і в правій панелі знайти і натиснути кнопку "Enable Recycle Bin".
Примітка. Після включення кошика має пройти деякий час, перш ніж інформація про нову конфігурацію реплицируется по всіх серверів лісу AD.
Якщо оновити консоль, то ви побачите, що в дереві AD з'явився новий контейнер OU з назвою Deleted object
Відновлення видалених об'єктів Active Directory з кошика
Продемонструємо роботу технології Active Directory RecycleBinв справі. Спробуємо видалити кілька користувачів домену з AD, а потім спробуємо їх відновити. Виділимо кілька користувачів в тестовій OU і видалимо їх.
Потім в консолі ADAC перейдемо в створену раніше OU Deleted Objects і в ній повинні виявитися всі віддалений нами користувачі. Виділимо всі об'єкти, які потрібно відновити і в правій панелі натиснемо кнопку Restore. Якщо потрібно відновити об'єкти в OU, відмінну від тієї, з якої були вони вилучені, скористаємося кнопкою Restore To.
Після чого можна впевнитися, що всі віддалені об'єкти з'являться в вихідному контейнері.
Через графічний інтерфейс відображаються не всі атрибуту віддаленого об'єкта (тільки ім'я віддаленого об'єкта, last known parent і GUID). Якщо вам потрібна більш повна інформація про об'єкт, доведеться його спочатку відновити, і якщо це виявиться не той об'єкт, потім видалити. Як варіант вибірки елементів з певними параметрами моно використовувати фільтри. Наприклад, вибравши фільтр по атрибуту City і вказавши Сиктивкар, ми виберемо все віддалені об'єкти, у яких в поле City вказана даний місто.
Також варто відзначити, що можна відновлювати не тільки окремі об'єкти AD, а й цілком контейнери з усіма OU і іншими типами об'єктів в них. Для цього в кошику потрібно буде вибрати і об'єкти і їх віддалені батьківські OU, а потім натиснути кнопку Restore. Одночасно віддалені об'єкти можна відібрати, відсортувавши в кошику з допомогу. фільтра по стовпцю When Deleted.