Restauração de objetos excluídos no Active Directory.

No AD, você pode usar as seguintes ferramentas para restaurar objetos excluídos:

• PowerShell
• Utilitário LDP
• Centro Administrativo do Active Directory (aplicável ao Servidor Windows 2019, Servidor Windows 2016, Servidor Windows 2012 R2 e Servidor Windows 2012)

Para que qualquer um dos métodos acima funcione, a lixeira nativa do AD deve estar habilitada. Se a lixeira não estiver habilitada, a maioria dos atributos dos objetos serão removidos quando os objetos forem excluídos. Os objetos ainda podem ser restaurados, mas os atributos ausentes terão que ser adicionados manualmente.

Por outro lado, se a lixeira estiver habilitada, os objetos e todos os seus atributos serão preservados durante o período de vida da lápide para exclusão, que pode ser definido alterando o atributo msDS-deletedObjectLifetime.

Antes de habilitar a lixeira do AD, verifique se os níveis funcionais do domínio e da floresta estão pelo menos no Servidor Windows 2008 R2.

Observação: Depois que a lixeira do AD for habilitada, ela não poderá ser desabilitada. 

Para habilitar a lixeira do AD, execute o seguinte comando no PowerShell:

Se você usa o Servidor Windows 2019, o Servidor Windows 2016, o Servidor Windows 2012 R2 ou o Sevidor Windows 2012, poderá usar o Centro Administrativo do Active Directory para habilitar a lixeira.

• No console de gerenciamento, navegue até Ferramentas ➝ Centro Administrativo do Active Directory.
• No painel esquerdo, selecione o Domínio para o qual você deseja habilitar a lixeira.
• Nas Tarefas no lado direito da tela, selecione Habilitar lixeira.
• Uma caixa de diálogo aparece com uma mensagem que explica que esta ação é irreversível. Clique em OK. 
• Habilitar a lixeira fará alterações na partição de configuração. Aguarde a conclusão da replicação do AD. Esse processo pode demorar um pouco se sua organização tiver uma grande infraestrutura de AD.

Para restaurar um objeto excluído, abra o PowerShell e digite o seguinte comando: 

Aqui, $dn é o nome distinto do objeto a ser restaurado. Para encontrar o nome distinto do objeto, use o seguinte script no PowerShell:

Para encontrar o nome distinto do objeto e realizar a restauração, use o seguinte script no PowerShell:

Aqui, %OLD_NAME% é o nome do objeto antes de ser excluído. 

• Abra o Prompt de comando. Digite ldp.exe e pressione a tecla Enter para iniciar o utilitário ldp.exe. 
• Abra a caixa de diálogo Conectar navegando até Conexão ➝ Conectar.
• Insira o nome de domínio e o número da porta padrão (389).
• Clique em OK.
• Navegue até Conectar ➝ Vincular ou clique em Ctrl + B para abrir a caixa de diálogo Vincular.
• Selecione Vincular como usuário atualmente conectado e clique em OK.
• Navegue até Opções ➝ Controles ou pressione o atalho Ctrl + L.
• Navegue até Carregar predefinição ➝ Retornar objetos excluídos e clique em OK.
• Navegue até Exibição ➝ Árvore. Forneça o nome distinto do contêiner de objetos excluídos no espaço fornecido. Nesse caso, CN=Objetos excluídos,DC=zylker,dc=com.
• Clique em OK para exibir os objetos excluídos.
• Expanda o contêiner no painel esquerdo.
• Localize o objeto excluído no painel esquerdo.
• Clique com o botão direito na objeto e clique em Modificar.
• Na caixa de diálogo exibida, digite IsDeleted no campo Editar atributo de entrada.
• Selecione a opção Excluir e clique em Enter.
• Digite distinguishedName no campo Editar atributo de entrada e forneça o nome distinto do objeto no campo Valores.
• Certifique-se de que a caixa de seleção Estendido esteja marcada.
• Clique em Executar para restaurar o objeto. 

Observação: Ao restaurar os objetos presentes na unidade organizacional (UO), certifique-se de que o nome distinto fornecido contenha o nome da UO pai. Se a UO pai não for mencionada, o objeto será restaurado para o domínio raiz e você terá que movê-lo manualmente para a UO correta.

• Abra o Centro Administrativo do Active Directory no menu Iniciar.
• No painel esquerdo, clique no nome do domínio e selecione o contêiner Objetos excluídos abaixo dele. 
• Selecione o objeto excluído e clique no botão Restaurar no painel direito.

• Pesquisar objetos excluídos específicos usando o utilitário PowerShell e LDP é demorado.
• Por padrão, os objetos de usuário e computador marcados para exclusão não contêm a senha (Unicode-pwd) e, portanto, as senhas restauradas do usuário e das contas de computador não são restauradas. As senhas das contas de usuário restauradas devem ser redefinidas e os objetos do computador devem ser adicionados de volta ao domínio manualmente pelo administrador do sistema. Para que as senhas de usuários e computadores sejam restauradas, o valor do atributo searchFlag no objeto do esquema Unicode-pwd deve ser alterado de 0 para 8.
• A lixeira nativa precisa estar ativada para realizar restaurações completas, o que pode aumentar o tamanho da Árvore de Informações do Diretório (DIT).
• Os objetos que excederam o período do ciclo de vida da lápide para exclusão não podem ser restaurados.

O RecoveryManager Plus do ManageEngine permite que você supere todas as deficiências das ferramentas nativas e, ao mesmo tempo, agrega mais valor com a adição de seus outros recursos. 

Com o RecoveryManager Plus, você pode restaurar objetos com todos os seus atributos intactos, mesmo que a lixeira nativa não esteja habilitada; isso é possível porque o RecoveryManager Plus vem com seu próprio recurso de lixeira. Todos os objetos do AD que foram excluídos podem ser encontrados lá, e você pode até visualizar os atributos que serão restaurados junto com o objeto. Você também pode usar os filtros disponíveis para limitar os resultados da pesquisa ao tipo de objeto necessário (usuário, UO, grupo, etc.) ou pesquisar o objeto excluído por nome. 

O RecoveryManager Plus é uma alternativa melhor às ferramentas nativas: sem scripts infinitos do PowerShell; não há necessidade de vasculhar inúmeras entradas para encontrar o objeto excluído, como no utilitário LDP.

Além de restaurar objetos excluídos, o RecoveryManager Plus é uma ferramenta multifacetada com diversos recursos que o tornam obrigatório para administradores de sistemas que desejam controle total sobre o conteúdo de seu AD.

Saiba mais sobre os vários recursos que o RecoveryManager Plus tem a oferecer.