Przywracanie usuniętych obiektów w usłudze Active Directory.

W usłudze AD do przywracania usuniętych obiektów można użyć następujących narzędzi:

• PowerShell
• Narzędzie LDP
• Centrum administracyjne usługi Active Directory (dotyczy systemów Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 i Windows Server 2012)

Aby którakolwiek z powyższych metod działała, natywny Kosz usługi AD musi być włączony. Jeśli Kosz nie jest włączony, większość atrybutów obiektów zostanie usunięta wraz z usunięciem obiektów. Obiekty można przywrócić, ale brakujące atrybuty trzeba ponownie dodać ręcznie.

Jeśli jednak Kosz jest włączony, obiekty i wszystkie ich atrybuty są zachowywane przez okres istnienia reliktu, który można ustawić, zmieniając atrybut msDS-deletedObjectLifetime .

Przed włączeniem kosza usługi AD należy sprawdzić, czy poziomy funkcjonalne domeny i lasu to co najmniej Windows Server 2008 R2.

Uwaga: Po włączeniu kosza usługi AD nie można go wyłączyć. 

Aby włączyć kosz usługi AD, należy wykonać następujące polecenie w PowerShell:

Jeśli korzystasz z Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 lub Windows Server 2012, możesz użyć Centrum administracyjnego usługi Active Directory, aby włączyć Kosz.

• W konsoli zarządzania przejdź do Narzędzia ➝ Centrum administracyjne usługi Active Directory.
• W lewym okienku wybierz domenę, dla której chcesz włączyć Kosz.
• W obszarze Zadania po prawej stronie ekranu wybierz opcję Włącz kosz.
• Zostanie wyświetlone okno dialogowe z komunikatem wyjaśniającym, że ta akcja jest nieodwracalna. Kliknij OK. 
• Włączenie kosza spowoduje wprowadzenie zmian w partycji konfiguracji. Poczekaj na ukończenie replikacji usługi AD. Ten proces może zająć trochę czasu, jeśli organizacja ma dużą infrastrukturę usługi AD.

Aby przywrócić usunięty obiekt, otwórz program PowerShell i wpisz następujące polecenie: 

W tym miejscu $dn to nazwa wyróżniająca obiektu, który ma zostać przywrócony. Aby znaleźć nazwę wyróżniającą obiektu, należy użyć następującego skryptu w programie PowerShell:

Aby znaleźć nazwę wyróżniającą obiektu i wykonać operację przywracania, należy użyć następującego skryptu w PowerShell:

W tym miejscu %OLD_NAME% to nazwa wyróżniająca obiektu przed jego usunięciem. 

• Otwórz Wiersz polecenia. Wpisz ldp.exe i naciśnij klawisz Enter, aby uruchomić narzędzie ldp.exe. 
• Otwórz okno dialogowe Połącz, przechodząc do opcji Połączenie ➝ Połącz.
• Wprowadź nazwę domeny i domyślny numer portu (389).
• Kliknij OK.
• Przejdź do opcji Połącz ➝ Powiążlub kliknij Ctrl + B, aby otworzyć okno dialogowe opcji Powiąż.
• Zaznacz Powiąż jako obecnie zalogowanego użytkownika i kliknij OK.
• Przejdź do opcji Opcje ➝ Sterowanie lub naciśnij skrót Ctrl + L .
• Przejdź do opcji Wczytaj wstępnie zdefiniowane ➝ Przywróć usunięte obiekty i kliknij OK.
• Przejdź do opcji Widok ➝ Drzewo. Podaj nazwę wyróżniającą kontenera Obiekty usunięte w odpowiednim miejscu. W tym przypadku CN=Deleted Objects,DC=zylker,dc=com.
• Kliknij OK, aby wyświetlić usunięte obiekty.
• Rozwiń kontener w lewym okienku.
• Zlokalizuj usunięty obiekt w lewym okienku.
• Kliknij prawym przyciskiem myszy obiekt, a następnie kliknij Modyfikuj.
• W wyświetlonym oknie dialogowym wpisz IsDeleted w polu Edytuj atrybut wpisu.
• Wybierz opcję Usuń i kliknij Enter.
• Wpisz distinguishedName w polu Edytuj atrybut wpisu i podaj nazwę wyróżniającą obiektu w polu Wartości.
• Upewnij się, że pole wyboru Rozwinięte jest zaznaczone.
• Kliknij przycisk Uruchom, aby przywrócić obiekt. 

Uwaga: Podczas przywracania obiektów znajdujących się w jednostce organizacyjnej należy upewnić się, że podana nazwa wyróżniająca zawiera nazwę jej nadrzędnej jednostki organizacyjnej. Jeśli nadrzędna jednostka organizacyjna nie jest wymieniona, obiekt zostanie przywrócony do domeny katalogu głównego i trzeba będzie ręcznie przenieść go do jednostki organizacyjnej HR.

• Otwórz Centrum administracyjne usługi Active Directory z menu Start .
• W lewym okienku kliknij nazwę domeny i wybierz znajdujący się pod nią kontener Obiekty usunięte. 
• Wybierz usunięty obiekt i kliknij przycisk Przywróć w prawym okienku.

• Wyszukiwanie określonych usuniętych obiektów za pomocą PowerShell i narzędzia LDP jest czasochłonne.
• Domyślnie obiekty reliktowe użytkownika i komputera nie zawierają hasła (Unicode-pwd), a zatem hasła przywróconych kont użytkowników i komputerów nie są przywracane. Hasła przywróconych kont użytkownika muszą zostać zresetowane, a obiekty komputerów muszą zostać ponownie dodane ręcznie do domeny przez administratora systemu. Aby hasła użytkownika i komputera mogły zostać przywrócone, wartość atrybutu searchFlag obiektu schematu Unicode-pwd musi zostać zmieniona z 0 na 8.
• Natywny Kosz musi być włączony, aby wykonać pełne przywracanie, co może zwiększyć rozmiar drzewa informacji katalogu (DIT).
• Obiekty, które przekroczyły okres cyklu życiowego reliktu, nie mogą zostać przywrócone.

RecoveryManager Plus ManageEngine pozwala przezwyciężyć wszystkie niedociągnięcia narzędzi natywnych, jednocześnie dodając więcej wartości pod względem innych możliwości. 

Korzystając z RecoveryManager Plus, można przywracać obiekty ze wszystkimi atrybutami w stanie nienaruszonym, nawet jeśli natywny Kosz nie jest włączony. Jest to możliwe, ponieważ RecoveryManager Plus ma własną funkcję Kosza. Można tam znaleźć wszystkie usunięte obiekty usługi AD, a nawet wyświetlić podgląd atrybutów, które zostaną przywrócone wraz z obiektem. Można także użyć dostępnych filtrów, aby ograniczyć wyniki wyszukiwania do wymaganego typu obiektu (użytkownik, jednostka organizacyjna, grupa itp.) lub wyszukać usunięty obiekt według nazwy. 

RecoveryManager Plus to lepsza alternatywa dla natywnych narzędzi: bez niekończącego się wykonywania skryptów PowerShell; bez konieczności przeszukiwania niezliczonych wpisów w celu znalezienia usuniętego obiektu, jak w przypadku narzędzia LDP.

Poza przywracaniem usuniętych obiektów, RecoveryManager Plus jest wielofunkcyjnym narzędziem oferującym kilka funkcji, które sprawiają, że jest to niezbędne narzędzie dla administratorów systemu, którzy chcą mieć pełną kontrolę nad zawartością swojej usługi AD.

Dowiedz się więcej o różnych funkcjach oferowanych przez RecoveryManager Plus.