Ripristino oggetti eliminati in Active Directory.

In AD, è possibile utilizzare i seguenti strumenti per ripristinare gli oggetti eliminati:

• PowerShell
• Utilità LDP
• Centro amministrativo di Active Directory (applicabile per Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012)

Affinché i metodi precedenti funzionino, è necessario abilitare il Cestino di AD. Se il Cestino non è abilitato, la maggior parte degli attributi sarà rimossa quando gli oggetti saranno eliminati. Sarà sempre possibile ripristinare gli oggetti, ma gli attributi mancanti dovranno essere aggiunti manualmente.

Dall’altro lato, se il Cestino è abilitato, gli oggetti e i relativi attributi saranno conservati per il periodo tombstone lifetime, che può esser impostato cambiando l'attributo msDS-deletedObjectLifetime.

Prima di abilitare il Cestino di AD, assicurarsi che il dominio e il Forest Functional Level siano almeno della versione Windows Server 2008 R2.

Nota: Una volta abilitato il Cestino di AD, non può essere disabilitato. 

Per abilitare il Cestino di AD, eseguire il seguente comando in PowerShell:

Se sono in uso le versioni Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, o Windows Server 2012, è possibile utilizzare il Centro amministrativo di Active Directory per abilitare il Cestino.

• Nella console di gestione, andare a Strumenti ➝ Centro amministrativo Active Directory.
• Dal pannello a sinistra selezionare il Dominio per il quale si desidera abilitare il Cestino.
• Nei Compiti, a destra dello schermo, selezionare Abilita Cestino.
• Appare una finestra di dialogo con un messaggio che spiega che questa azione è irreversibile. Fare clic su OK. 
• L'abilitazione del cestino comporta modifiche alla partizione della configurazione. Attendi il completamento della replica di AD. Se la tua organizzazione ha una grande infrastruttura AD, questo processo potrebbe richiedere un certo tempo.

Per ripristinare un oggetto eliminato, aprire PowerShell e digitare il seguente comando: 

$dn è il nome distinto dell’oggetto da ripristinare. Per individuare il nome distinto dell’oggetto, utilizzare il seguente script in PowerShell:

Per individuare il nome distinto dell’oggetto ed eseguire il ripristino, utilizzare il seguente script in PowerShell:

%OLD_NAME% è il nome dell’oggetto prima dell’eliminazione. 

• Aprire il Prompt dei comandi. Digitare ldp.exe e premere il tasto Invio per avviare l’utilità ldp.exe. 
• Aprire la finestra di dialogo Connetti andando a Connessione ➝ Connetti.
• Inserire il nome dominio e il numero di porta predefinito (389).
• Fare clic su OK.
• Andare a Connetti ➝ Associa , o fare clic su Ctrl + B per aprire la finestra di dialogo Associazione.
• Selezionare Associa come utente connesso e fare clic su OK.
• Andare a Opzioni ➝ Controlli , o premere il collegamento Ctrl + L.
• Andare a Carica predefinito ➝ Restituisci oggetti eliminati e fare clic su OK.
• Andare a Visualizza ➝ Albero. Fornire il nome distinto del contenitore degli oggetti eliminati nello spazio fornito. In questo caso, CN=Deleted Objects,DC=zylker,dc=com.
• Fare clic su OK per visualizzare gli oggetti eliminati.
• Espandere il contenitore nel pannello a sinistra.
• Individuare l’oggetto eliminato nel pannello a sinistra.
• Fare clic con il pulsante destro del mouse sull’oggetto e fare clic su Modifica.
• Nella finestra di dialogo che appare, digitare Eliminato nel campo Modifica attributo voce.
• Selezionare l’opzione Elimina e fare clic su Invia.
• Digitare distinguishedName nel campo Modifica attributo voce , e fornire il nome distinto dell’oggetto nel campo Valori.
• Accertarsi che sia selezionata la casella di controllo Esteso.
• Fare clic su Esegui per ripristinare l’oggetto. 

Nota: Quando si ripristinano gli oggetti presenti all’interno dell’unità organizzativa (OU), accertarsi che il nome distinto fornito contenga il nome dell’unità organizzativa principale. Se l’unità organizzativa principale non è menzionata, l’oggetto sarà ripristinato al dominio radice e sarà necessario spostarlo manualmente nell’unità organizzativa corretta.

• Aprire il Centro amministrativo di Active Directory dal menu Start.
• Nel pannello di sinistra fare clic sul nome dominio e selezionare il relativo contenitore Oggetti eliminati. 
• Selezionare l’oggetto eliminato e fare clic sul pulsante Ripristina nel pannello a destra

• La ricerca di determinati oggetti eliminati tramite PowerShell e utilità LDP è un dispendio di tempo.
• Per impostazione predefinita, gli oggetti computer e utente tombstone non contengono la password (Unicode-pwd), pertanto le password degli account computer e utente ripristinati non saranno ripristinate. È necessario reimpostare le password degli account utente ripristinati ed è necessario aggiungere manualmente gli oggetti computer al dominio dall’amministratore di sistema. Per le password computer e utente da ripristinare, è necessario modificare il valore dell’attributo searchFlag sull’oggetto dello schema Unicode-pwd da 0 a 8.
• È necessario abilitare il cestino di nativo per eseguire un ripristino completo che potrebbe aumentare le dimensioni di Directory Information Tree (DIT).
• Non è possibile ripristinare gli oggetti che hanno superato il periodo del ciclo di vita tombstone.

RecoveryManager Plus di ManageEngine consente di superare tutte queste mancanze degli strumenti nativi aggiungendo maggior valore con l’aggiunta di altre funzionalità. 

Con RecoveryManager Plus è possibile ripristinare gli oggetti e i loro attributi integri, anche se il Cestino non è abilitato. Questo è possibile perché RecoveryManager Plus prevede la funzionalità di un proprio Cestino. Qui è possibile trovare tutti gli oggetti AD eliminati ed è persino possibile vedere in anteprima gli attributi che saranno ripristinati assieme all’oggetto. È inoltre possibile utilizzare i filtri disponibili per limitare i risultati della ricerca per il tipo di oggetto necessario (utente, unità organizzativa, gruppo, etc) o ricercare l’oggetto eliminato per nome. 

RecoveryManager Plus è un’alternativa migliore agli strumenti nativi: non necessita di uno scripting PowerShell senza fine, non necessita di filtrare innumerevoli voci per trovare l’oggetto eliminato quale utilità LDP.

Oltre al ripristino degli oggetti eliminati, RecoveryManager Plus è uno strumento complesso con molte funzionalità che lo rendono indispensabile per gli amministratori di sistema che desiderano un controllo totale sui contenuti della loro AD.

Maggiori informazioni sulle diverse funzionalità che offre RecoveryManager Plus.