Начиная с функционального уровня домена Windows 2008 R2 появилась возможность включить корзину для объектов Active Directory. Работает она по аналогии с обыкновенной корзиной для файлов. Теперь аккаунты пользователей, компьютеров и групп могут быть возвращены после случайного удаления без применения принудительного восстановления Active Directory или манипуляций с атрибутами tombstone объектов. По умолчанию данный функционал выключен,
Для включения корзины проделайте следующее:
1. Запускаем консоль PowerShell с повышенными привилегиями и подключаем модуль "ActiveDirectory":
Import-Module ActiveDirectory
2. Затем проверяем, что функциональный уровень леса не ниже чем Windows2008R2 командой:
Get-ADForest
3. Если проблем нет, включаем корзину следующей командой (пример для домена "test.local"):
Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=test,DC=local’ –Scope ForestOrConfigurationSet –Target ‘test.local’
Get-ADObject -Filter {displayName -eq "user1"} -IncludeDeletedObjects | Restore-ADObject
При этом будет также восстановлено членство объекта в других группах.
Начиная с Windows Server 2012 в оснастку "Центр администрирования Active Directory" был добавлен удобный функционал по просмотру и восстановлению удалённых объектов. Все они будут находиться в контейнере "Deleted Objects".
Объекты в корзине Active Directory по умолчанию хранятся 180 дней. Но если это число вас не устраивает, поменяйте срок хранения например на 1 год:
Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=test,DC=local” –Partition “CN=Configuration,DC=test,DC=local” –Replace:@{“tombstoneLifetime” = 365}
Эту операцию также можно сделать в ручном режиме с помощью редактора ADSI.
Для включения корзины проделайте следующее:
1. Запускаем консоль PowerShell с повышенными привилегиями и подключаем модуль "ActiveDirectory":
Import-Module ActiveDirectory
2. Затем проверяем, что функциональный уровень леса не ниже чем Windows2008R2 командой:
Get-ADForest
3. Если проблем нет, включаем корзину следующей командой (пример для домена "test.local"):
Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=test,DC=local’ –Scope ForestOrConfigurationSet –Target ‘test.local’
Подтверждаем свой выбор клавишей "Y" или "A" с последующим нажатием "Enter". Кроме того следует помнить, что опять выключить функционал корзины после включения уже будет невозможно.
Для восстановления объектов можно воспользоваться утилитой "ldp.exe" или PowerShell. Например, чтобы восстановить пользователя "user1" выполните:
Get-ADObject -Filter {displayName -eq "user1"} -IncludeDeletedObjects | Restore-ADObject
При этом будет также восстановлено членство объекта в других группах.
Начиная с Windows Server 2012 в оснастку "Центр администрирования Active Directory" был добавлен удобный функционал по просмотру и восстановлению удалённых объектов. Все они будут находиться в контейнере "Deleted Objects".
Объекты в корзине Active Directory по умолчанию хранятся 180 дней. Но если это число вас не устраивает, поменяйте срок хранения например на 1 год:
Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=test,DC=local” –Partition “CN=Configuration,DC=test,DC=local” –Replace:@{“tombstoneLifetime” = 365}
Эту операцию также можно сделать в ручном режиме с помощью редактора ADSI.
Комментариев нет:
Отправить комментарий