Recuperação de UOs aninhadas no Active Directory

Para restaurar um objeto excluído, abra o PowerShell e digite o seguinte comando: 

Aqui, $dn é o nome distinto do objeto a ser restaurado. Para encontrar o nome distinto do objeto, use o seguinte script no PowerShell:

Para encontrar o nome distinto do objeto e realizar a restauração, use o seguinte script no PowerShell:

Aqui, %OLD_NAME% é o nome do objeto antes de ser excluído. 

Ao contrário da restauração de um único objeto, a restauração de uma UO e de seus objetos constituintes não é um processo de etapa única.

Considerando o cenário mencionado acima, quando a UO HR_Department é excluída, todos os objetos que ela contém (um total de seis objetos, incluindo as duas UOs e os quatro usuários) são movidos para o contêiner Objetos excluídos com seus nomes distintos mutilados. O contêiner Objetos excluídos exibe todos os objetos excluídos em uma hierarquia simples como seus filhos diretos, e a hierarquia original é perdida. Se o administrador precisar restaurar a UO HR_Department, ele deverá identificar de alguma forma a hierarquia original dessa UO. 

Para restaurar a UO HR_department, primeiro você precisa encontrar a hierarquia original da UO. 

Se você conhece a hierarquia original da UO excluída, pode usar o cmdlet Restore-ADObject para recuperar os objetos excluídos em um nível de hierarquia por vez.

Se você não estiver familiarizado com a hierarquia original, é necessário primeiro identificá-la antes de iniciar o processo de restauração.

Por exemplo, se você quiser encontrar a hierarquia da conta de usuário Emma, ​​o cmdlet do PowerShell deverá ser construído para que o atributo lastKnownParent de Emma seja retornado.

Na saída retornada por esse cmdlet, o valor de lastKnownParent para Emma é HR_Department. Você também pode notar que o nome distinto da UO HR_Department está mutilado, o que indica que o próprio objeto UO HR_Department foi excluído. 

Aqui está um exemplo de um nome distinto mutilado:
OU=HR_Department\0ADEL:d662511-4bde-b24e-f665bfa96e7b,CN=Deleted Objects,DC=validate4,DC=com
Então, você precisará pesquisar todos os objetos no contêiner Objetos excluídos cujo valor lastKnownParent seja HR_Department.

Na saída retornada por esse cmdlet, você pode perceber que Managers é uma unidade organizacional. Agora você precisa procurar todos os objetos excluídos que estavam contidos na UO Managers. Os objetos na unidade organizacional Managers conterão um atributo lastKnownParent igual a Managers.

Na saída exibida por esse cmdlet, você verá apenas a conta de usuário Harry e nenhum outro objeto na UO. Agora você tem a lista de todos os objetos que foram excluídos e pode iniciar a restauração. Como a UO HR_Department é o objeto no topo da hierarquia, ela deve ser restaurada primeiro. Como todas as etapas de investigação anteriores foram executadas usando o atributo lastKnownParent, que aponta para o pai direto do objeto e não indica se o próximo objeto pai também foi excluído, os administradores podem verificar se o valor de lastKnownParent para HR_Department é de fato uma unidade organizacional ativa. executando o seguinte comando:

Isso conclui a investigação e agora você está pronto para restaurar a UO HR_Department à sua hierarquia e estado originais.

Para restaurar a UO HR_Department usando o PowerShell, execute as seguintes operações no controlador de domínio.

• Clique em Iniciar e em Ferramentas administrativas. Clique com o botão direito do mouse no módulo Active Directory para Windows PowerShell e clique em Executar como administrador.
• Restaure a UO HR_Department (o nível mais alto de hierarquia dos objetos a serem restaurados) executando o seguinte comando:

Get-ADObject -ldapFilter:"(msDS-LastKnownRDN=HR_Department)" –IncludeDeletedObjects | Restore-ADObject


• Restaure as contas de usuário Jack, Vincent e Emma e a UO Admins (os filhos diretos da UO HR_Department cujo nome distinto foi restaurado para OU=HR_Department,DC=validate4, DC=com na etapa anterior) executando o seguinte comando:

Get-ADObject -SearchBase "CN=Deleted Objects,DC= validate4,DC=com" -Filter {lastKnownParent -eq 'OU=HR_Department,DC= validate4,DC=com'} -IncludeDeletedObjects | Restore-ADObject


• Restaure a conta de usuário Harry (o filho direto da UO Admins cujo nome distinto foi restaurado para OU=Admins,OU=HR_Department,DC=validate4,DC=com na etapa anterior) executando o seguinte comando:

Get-ADObject -SearchBase "CN=Deleted Objects,DC=validate4,DC=com" -Filter {lastKnownParent -eq 'OU=Admins,OU=HR_Department,DC=validate4,DC=com'} -IncludeDeletedObjects | Restore-ADObject

• 1. Abra o Prompt de comando e digite ldp.exe e pressione a tecla Enter para iniciar o utilitário ldp.exe.
• 2. Abra a caixa de diálogo Conectar navegando até Conexão > Conectar. 
• 3. Insira o nome de domínio e o número da porta padrão como 389.
• 4. Clique em OK.
• 5. Navegue até Conectar > Vincular ou clique em Ctrl + B para abrir a caixa de diálogo Vincular.
• 6. Selecione Vincular como usuário atualmente conectado e clique em OK.
• 7. Navegue até Opções > Controles ou pressione o atalho Ctrl + L.
• 8. Navegue até Carregar predefinição > Retornar objetos excluídos e clique em OK.
• 9. Navegue até Exibição > Árvore. Forneça o nome distinto do contêiner de objetos excluídos no espaço fornecido. Nesse caso, CN=Objetos excluídos,DC=Terminador,DC=domínio,dc=com
• 10. Clique em OK para exibir os objetos excluídos.
• 11. Expanda o contêiner no painel esquerdo.
• 12. Identifique a UO pai, neste caso, HR_Department, e localize-a no painel esquerdo.
• 13. Clique com o botão direito na UO e clique em Modificar.
• 14. Na caixa de diálogo exibida, digite IsDeleted no campo Editar atributo de entrada.
• 15. Selecione a opção Excluir e clique em Enter.
• 16. Digite distinguishedName no campo Editar atributo de entrada e forneça o nome distinto da UO no campo Valores.
• 17. Certifique-se de que a caixa de seleção Estendido esteja marcada.
• 18. Clique em Executar para restaurar a UO. 
• 19. Depois que a UO pai for restaurada, repita as etapas 12 a 18 para restaurar todos os objetos contidos na UO HR_Department.

Observação: Ao restaurar os objetos presentes na UO, certifique-se de que o nome distinto fornecido contenha o nome da UO pai. Por exemplo, se você estiver restaurando o usuário Emma Roberts, o DN deverá ser CN=Emma Roberts,CN=HR,DC=Terminador,DC=com. Se a UO pai não for mencionada, o objeto de usuário será restaurado para o domínio raiz e você terá que movê-lo manualmente para a UO HR.

Para restaurar as unidades organizacionais excluídas usando o Centro Administrativo, 

• Abra o Centro Administrativo do Active Directory no menu Iniciar.
• No painel esquerdo, clique no nome do domínio e selecione o contêiner Objetos excluídos abaixo dele. 
• Para o cenário mencionado acima, selecione a UO pai, HR_Department, e clique no botão Restaurar no painel direito.
• Selecione os gerentes da UO e clique no botão Restaurar no painel direito.
• Selecione todos os usuários que foram excluídos e clique no botão Restaurar no painel direito.

A restauração deve ser executada hierarquicamente e cada objeto de usuário será restaurado na UO em que estava presente antes da exclusão. Todos os atributos juntamente com as informações de associação ao grupo serão restaurados. 

Podemos ver nos exemplos acima que, embora o PowerShell, o utilitário LDP e o Centro Administrativo do Active Directory possam ser usados ​​para restaurar unidades organizacionais excluídas, o processo de restauração nem sempre é simples. 

As três ferramentas nativas têm algumas deficiências comuns

1. Ausência de restauração hierárquica.

2. A lixeira nativa do AD deve ser habilitada e definir um valor grande para o atributo Vida útil da lápide pode aumentar o tamanho da Árvore de Informações do Diretório (DIT).

Além disso, a recuperação de unidades organizacionais aninhadas usando o utilitário PowerShell e LDP envolve muitas etapas que aumentam a complexidade se o número de objetos contidos na unidade organizacional for grande.

O RecoveryManager Plus permite superar todas as deficiências das ferramentas nativas e, ao mesmo tempo, agregar mais valor em termos de outros recursos. 

Considerando o mesmo caso de uso acima, a seção a seguir explicará como o RecoveryManager Plus pode ser usado para restaurar todos os objetos excluídos. 

Ao contrário das ferramentas nativas que exigem a restauração de objetos do nível mais alto da hierarquia, o RecoveryManager Plus permite restaurar qualquer objeto, independentemente de sua hierarquia original. Quando um objeto e seu contêiner pai são excluídos, a restauração do objeto excluído também restaura automaticamente o contêiner pai, eliminando a necessidade de restaurar contêineres individualmente. 

O RecoveryManager Plus permite restaurar objetos com todos os seus atributos intactos, mesmo que a lixeira nativa não esteja habilitada. Isso é possível porque o RecoveryManager Plus vem com seu próprio recurso de lixeira. Todos os objetos do AD que foram excluídos podem ser encontrados aqui e você pode até visualizar os atributos que serão restaurados junto com o objeto. Você também pode usar os filtros disponíveis para limitar os resultados da pesquisa ao tipo de objeto necessário (usuário, UO, grupo, etc.) ou pesquisar o objeto excluído por nome. 

Quando toda a UO HR_Department for excluída, você poderá encontrar a UO excluída e todos os seus objetos constituintes na lixeira do RecoveryManager Plus.

Se o administrador conhecer a hierarquia original da UO excluída, o administrador poderá selecionar apenas o contêiner pai e reciclá-lo, o que restaurará automaticamente todos os objetos constituintes da UO. 

Outros recursos importantes do RecoveryManager Plus 

Além de restaurar objetos excluídos, o RecoveryManager Plus é uma ferramenta multifacetada com diversos recursos que o tornam obrigatório para administradores que desejam controle total sobre o conteúdo de seu AD. 

Saiba mais sobre os vários recursos que o RecoveryManager Plus tem a oferecer.