Windows server 2012 где корзина

Обновлено: 07.07.2024

Давно ставшая привычной корзина Windows позволяет восстановить случайно удаленный файл. Однако при использовании Windows Server 2008 и более ранних версий при случайном удалении учетной записи пользователя или компьютера в Active Directory (AD) можно лишь восстановить AD, вновь создать учетную запись или применить сторонний инструмент

Первый вариант корзины Active Directory появился в Windows Server 2008 R2. Была реализована возможность восстанавливать случайно удаленную учетную запись пользователя, компьютера или подразделения (OU). Однако работать с корзиной Active Directory можно только с помощью средств PowerShell, что может оказаться сложным, особенно для тех, кто незнаком с этой командной оболочкой. Кроме того, для поиска удаленных объектов существуют определенные ограничения.

Команды PowerShell могут быть довольно длинными. Для примера ниже приведена команда активации корзины Active Directory:

Следующая команда позволяет выполнить поиск по всем удаленным объектам в корзине Active Directory:

Команда восстановления учетной записи пользователя JohnMarlin выглядит следующим образом:

Можно заметить, что команды довольно сложны. Поймите меня правильно: я вовсе не даю негативную оценку корзине Active Directory в Server 2008 R2, но лишь обращаю ваше внимание на то, что работа с ней может оказаться непростой задачей.

Руководствуясь отзывами пользователей, разработчики Microsoft сделали корзину Active Directory частью центра администрирования Active Directory в Windows Server 2012. Теперь использовать ее стало намного проще.

Установка корзины Active Directory

Как и ранее, в Server 2012 корзина Active Directory не включена по умолчанию и требует функционального уровня леса Server 2008 R2 или более новой версии. Для активации корзины откройте центр администрирования Active Directory, щелкните на имени домена и в меню Tasks выберите Enable Recycle Bin. Этот же элемент можно выбрать в контекстном меню, открываемом правым щелчком на имени домена. Оба варианта показаны на экране 1.

Экран 1. Активация корзины

После выбора элемента Enable Recycle Bin открывается окно подтверждения активации корзины (см. экран 2).

Экран 2. Запрос подтверждения активации корзины

Данное окно содержит предупреждение о том, что однажды активированную корзину впоследствии уже нельзя будет выключить.

Активируя корзину, следует помнить о том, что размер базы данных AD (Ntds.dit) увеличится. Дисковое пространство, используемое корзиной, будет продолжать расти по мере пополнения новыми удаленными объектами и их атрибутами. Поэтому необходимо заранее обеспечить достаточный объем системы хранения, особенно если вам приходится постоянно удалять объекты AD. Следует заметить, что доступ к корзине открыт только членам группы администраторов предприятия.

По умолчанию атрибут msDS-deletedObjectLifetime устанавливается в соответствии с атрибутом tombstoneLifetime, впервые появившимся в Windows 2000. Его значение по умолчанию ранее составляло 60 дней, но в Windows Server 2003 SP1 было увеличено до 120 дней, каковым и остается до сих пор. Атрибут tombstoneLifetime задается в контейнере CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=COMPANY,DC=COM.

Число элементов, отображаемых в корзине, ограничено. По умолчанию установлен предел в 20 000. Эту установку можно изменить (до 100 000) с помощью элемента Management List Options в меню Manage (см. экран 3).

Экран 3. Изменение числа элементов, отображаемых в?корзине

Применение корзины Active Directory

Чтобы открыть корзину Active Directory, в центре администрирования Active Directory выберите элемент Deleted Objects под именем домена. По умолчанию на экране отображается пять столбцов: Name, When Deleted, Last known parent, Type и Description. При желании добавьте столбцы, для чего выберите нужные категории из списка, который открывается щелчком правой кнопки на колонке (см. экран 4).

Экран 4. Добавление колонок

Число объектов в корзине постоянно растет, и зачастую их прокрутка занимает длительное время, поэтому предусмотрена возможность применения фильтров, что позволяет сузить диапазон поиска. К примеру, предположим, что по ошибке была удалена учетная запись, в имени которой присутствует фрагмент John. Точно неизвестно, какую именно учетную запись требуется восстановить, поскольку она была удалена непреднамеренно, однако имеется следующая информация о пользователе:

работает в офисе в Далласе, шт. Техас;
является сотрудником отдела бухгалтерского учета;
не регистрировался в системе на протяжении последних 10 дней;
во время последней регистрации срок действия его пароля должен был истечь через 2 дня.

Если в поле фильтра указать John, то в ответ будет выдан список всех учетных записей, имена которых содержат этот фрагмент. Но что если таких учетных записей не одна сотня? Чтобы сузить диапазон поиска, можно задать критерии с помощью кнопки Add criteria. Как показано на экране 5, существует широкий выбор критериев.

Экран 5. Критерии для?сужения диапазона поиска

На основании имеющейся информации о пользователе выбираем соответствующие критерии и вводим данные, как показано на экране 6. Как мы видим, учетная запись, которую требуется восстановить – John23.

Экран 6. Ввод данных для поиска учетной записи пользователя John в соответствии с выбранными критериями

Для восстановления объекта John23 в меню, открываемом щелчком правой кнопки, выбираем Restore (восстановление в исходном OU) или Restore To (восстановление в другом OU). Эти два элемента также имеются в меню Tasks.

Можно восстанавливать не только один, но и сразу несколько объектов, а также OU. К примеру, предположим, что в компании работает группа временных сотрудников, у которых срок действия контракта истекает в пятницу вечером. Как старший администратор, вы отвечаете за удаление OU (группы временных сотрудников) и всех учетных данных временных пользователей по истечении срока действия контракта. На следующей неделе вы уходите в отпуск, поэтому заблаговременно в четверг составляете сценарий удаления объектов, который должен запуститься в пятницу вечером.

Утром в понедельник временные сотрудники не могут зарегистрироваться в системе. Другой администратор открывает корзину, чтобы восстановить удаленные учетные записи. Однако ему неизвестно об удалении OU; кроме того, он не знает имен пользователей.

Открыв корзину, администратор добавляет критерии поиска (см. экран 7) и получает список удаленных учетных записей.

Экран 7. Ввод данных для поиска учетных записей временных сотрудников

Экран 9. Восстановление всех пользователей одной операцией

Вы, вероятно, знаете, что у AD есть несколько разделов. Корзина может управлять только разделами домена. Объекты, удаленные из разделов Configuration, Domain DNS или Forest DNS, не могут быть восстановлены с помощью этого инструмента.

Палочка-выручалочка

Корзина Active Directory может выручать в тех случаях, когда проблему не решает простое повторное создание учетной записи, либо если требуется восстановить всю AD или ее большие фрагменты. В случае необходимости пользуйтесь этим простым и удобным инструментом.

Что мы имеем, а это произведенная модернизация с серверной оси Windows на самый последний релиз, а именно Windows Server 2012 R2, также опираясь на действия заметки модернизирован функциональный уровень домена. Потихоньку читая документацию по новой системе обозначил для себя новые темы которые хотел бы видеть в виде пошаговых практичных заметок, так вот одна из них это «Использование Корзины» в новом домене, вроде как вместо консоли командной строки используется графический пользовательский интерфейс. Теперь процесс удаления объектов Active Directory восстанавливается не так утомительно по сравнению с Windows Server 2008 R2. Вот в этом я сейчас и разберусь на практике.

На заметку: По документации функция «Корзина» для Active Directory также выключена, включив ее однажды отключить будет невозможно. Хотя кто в здравом уме будет такое делать, это же палочка выручалочка в случае чего.

Итак, проверяю текущий уровень леса:

Win + X — Command Prompt (Admin) -

C:\Windows\system32>cd /d %systemroot%\system32\WindowsPowerShell\v1.0\

C:\Windows\System32\WindowsPowerShell\v1.0>powershell.exe

PS C:\Windows\System32\WindowsPowerShell\v1.0>

PS C:\Windows\System32\WindowsPowerShell\v1.0> import-module servermanager

PS C:\Windows\System32\WindowsPowerShell\v1.0> import-module activedirectory

PS C:\Windows\System32\WindowsPowerShell\v1.0> get-adforest

ApplicationPartitions :
DC=DomainDnsZones,DC=polygon,DC=local>
CrossForestReferences : <>
DomainNamingMaster : srv-ad.polygon.local
Domains :
ForestMode : Windows2012R2Forest
GlobalCatalogs :
Name : polygon.local
PartitionsContainer : CN=Partitions,CN=Configuration,DC=polygon,DC=local
RootDomain : polygon.local
SchemaMaster : srv-ad.polygon.local
Sites :
SPNSuffixes : <>
UPNSuffixes : <>

из вывода видно, то мой уровень леса самый последний ( Windows2012R2Forest ) и ничего повышать не нужно.

А потому можно включить корзину Active Directory все так же как и в прошлый раз через PowerShell:

PS C:\Windows\System32\WindowsPowerShell\v1.0> Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=polygon,DC=local' -Scope ForestOrConfigurationSet -Target 'polygon.local'

Are you sure you want to perform this action?

[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help

или же через оснастку именуемую, как Active Directory Administrative Center:

Win + X — Control Panel — Administrative Tools — Active Directory Administrative Center, после слева выбираем текущий домен (Polygon.local) и в правой части панели нажимаем кнопку «Enable Recycle Bin».

После если обратить внимание на оснастку то кнопку Enable Recycle Bin будет затемнена, это значит «Корзина» активирована и в оснастке Active Directory Administrative Center текущего домена (polygon.local) появился новый организационный контейнер (OU=Deleted Objects) в который и будут помещаться удаленные объекты из Active Directory. По аналогии и с Server 2008 R2 они также хранятся 180 дней.

Ладно теперь практика:

У меня есть OU = Otdel Sales с тремя учетными записями внутри, удаляю сотрудников и сам организационный контейнер.

PS C:\Windows\System32\WindowsPowerShell\v1.0> dsquery user "OU=Otdel Sales,DC=polygon,DC=local"

PS C:\Windows\System32\WindowsPowerShell\v1.0> dsrm "CN=Екатерина Авфорова,OU=Otdel Sales,DC=polygon,DC=local" -noprompt

dsrm succeeded:CN=Екатерина Авфорова,OU=Otdel Sales,DC=polygon,DC=local

PS C:\Windows\System32\WindowsPowerShell\v1.0> dsrm "CN=Павел Севостьянов,OU=Otdel Sales,DC=polygon,DC=local" -noprompt

PS C:\Windows\System32\WindowsPowerShell\v1.0> dsrm "CN=Ольга Бузина,OU=Otdel Sales,DC=polygon,DC=local" -noprompt

PS C:\Windows\System32\WindowsPowerShell\v1.0> dsrm "OU=Otdel Sales,DC=polygon,DC=local" -subtree

Are you sure you wish to delete OU=Otdel Sales,DC=polygon,DC=local (Y/N)? y

dsrm failed:OU=Otdel Sales,DC=polygon,DC=local:Access is denied.

type dsrm /? for help.

PS C:\Windows\System32\WindowsPowerShell\v1.0>

(но вот что, если не удалять учетные записи внутри OU, то команда выше успешно удалит их и контейнер:

PS C:\Windows\System32\WindowsPowerShell\v1.0> dsrm "OU=Otdel Sales,DC=polygon,DC=local" -subtree

Are you sure you wish to delete OU=Otdel Sales,DC=polygon,DC=local (Y/N)? Y

dsrm succeeded:OU=Otdel Sales,DC=polygon,DC=local

, а оснастка Active Directory Users and Computers будет показывать что такой контейнер есть, то вот его значок будет помечен желтым треугольником внутри которого восклицательный знак, см. скриншот ниже:

, а оснастка Active Directory Administrative Center будет показывать что имеется удаленный OU и CN внутри. Вот так вот.

странно, а почему ошибка я же все делаю правильно, внимательно посмотрев пришел к выводу, что если:

Win + X — Control Panel — Administrative Tools — Active Directory Users and Computers — View — Advanced Features, после открыв свойства (Properties) OU=Otdel Sales и перейдя на вкладку: Object заметил, что стоит галочка препятствующая простому удалению данного объекта — Protect object from accidental deletion, но вот снимать через оснастку я не буду я хочу разобраться как это сделать через консоль командной строки:

PS C:\Windows\System32\WindowsPowerShell\v1.0> Get-ADOrganizationalUnit -Identity 'OU=Otdel Sales,DC=polygon,DC=local' | Set-ADObject -ProtectedFromAccidentalDeletion:$false -PassThru | Remove-ADOrganizationalUnit -Confirm:$false

Вот то что мне и требовалось.

Теперь же чтобы восстановить удаленные объекты из Active Directory шаги следующие:

выбрав текущий домен в левой части polygon.local и контейнер Deleted Objects в котором и находят все удаленные объекты, в моем случае (в рамках этой заметки), это учетные записи и организационный контейнер.

Выделяем все объекты и в правой части нажимаем на кнопку Restore (Восстановить объект) , а если нужно восстановить в другое место отличное от ранее имевшее быть, то воспользуемся уже кнопкой Restore To…

мне же в этой заметке будет достаточно кнопки Restore, процедура восстановления проходит мгновенно и уже переключившись в оснастку Active Directory Users and Computer я лицезрею восстановленные учетные записи и OU.

На заметку: нельзя просто так восстановить один объект если он был внутри удаленного другого, т. е. Если CN был удален внутри OU , то сперва нужно восстановить OU , а уже потом CN.

Что могу сказать, действительно удобно пользоваться GUI оснасткой, все просто, ведь раньше нужно было использовать для этого дела консоль командной строки, а сейчас такое действо не занимает время и это очень радует, видимо действительно много нового и интересного появилось в Server 2012 R2. Все что меня интересует я постараюсь освятить в виде своих пошаговых заметок на блоге, а пока я прощаюсь и до новых встреч, с уважением автор блога — ekzorchik.

Данная статья предназначена для тех, кто искал подробное и понятное руководство о том, как включить корзину Active Directory в Windows Server 2012 R2.

Корзина Active Directory предназначена для восстановления удаленных объектов Active Directory и может оказать существенную помощь администратору, если он случайно удалил большое количество учетных записей пользователей.

В этом руководстве мы будем рассматривать тот случай, когда у вас уже есть сервер с установленной на нем операционной системой Windows Server 2012 R2.

Подробно о том, как установить Windows Server 2012 R2, вы можете прочитать в моем руководстве “Установка Windows Server 2012 R2”. Узнать о том, как установить Active Directory Domain Services на Windows Server 2012 R2, вы можете, прочитав “Установка Active Directory Domain Services на Windows Server 2012 R2””.

По умолчанию корзина Active Directory отключена.

Чтобы включить корзину Active Directory, открываем “Server Manager”, нажимаем на “Tools” в правом верхнем углу экрана и выбираем “Active Directory Administrative Center”.

В меню слева выбираем раздел с вашим доменом, затем в меню справа нажимаем на кнопку “Enable Recycle Bin”.

Теперь необходимо подтвердить включение корзины Active Directory.

Обратите внимание, в дальнейшем отключить корзину Active Directory будет невозможно.

Нажимаем на кнопку “OK”.

Процесс включения корзины Active Directory запущен.

Далее нужно обновить информацию в “Server Manager” и немного подождать, пока сведения о включении корзины Active Directory получат все контроллеры домена в лесу Active Directory.

Нажимаем на кнопку “OK”.

В “Server Manager” нажимаем на значок со стрелочками в правом верхнем углу экрана и ждем обновления информации в разделе с вашим доменом.

После обновления информации в “Server Manager” в разделе с вашим доменом появится новый контейнер “Deleted Objects”.

Теперь удалим учетную запись пользователя и попробуем восстановить ее из корзины Active Directory.

Переходим в контейнер “Users” и выбираем учетную запись пользователя, затем в меню справа нажимаем на кнопку “Delete”.

Теперь необходимо подтвердить удаление учетной записи пользователя.

Нажимаем на кнопку “OK”.

Чтобы восстановить удаленную учетную запись пользователя, необходимо перейти в контейнер “Deleted Objects” и выбрать учетную запись пользователя, которую нужно восстановить, затем в меню справа нажимаем на кнопку “Restore”.

Обратите внимание, восстановить объекты можно только в течение срока их жизни, который по умолчанию составляет 180 дней.

Учетная запись пользователя успешно восстановлена и снова появилась в контейнере “Users”.

Продолжим тему восстановления объектов в Active Directory, начатую в предыдущей статье. Сегодня я расскажу об инструменте, который призван облегчить процесс восстановления данных и сделать его более эффективным. Речь идет о Active Directory Recycle Bin, или корзине для удаленных объектов Active Directory.

Принцип работы корзины

Для начала вспомним, как выглядит жизненный цикл объекта AD при удалении. Объект помечается как удаленный (атрибут isDeleted объекта устанавливается в true) и из него удаляются лишние атрибуты. Затем он переименовывается и перемещается в контейнер Deleted Objects, в котором хранится в течение срока жизни удаленного объекта. По истечении этого срока он удаляется окончательно.

При включении корзины Active Directory картина меняется. Теперь при удалении объекта Active Directory система сохраняет все атрибуты объекта, после чего объект помечается как логически удаленный (это новое состояние, появившееся в Windows Server 2008 R2). Его имя изменяется, атрибуту isDeleted назначается значение true и объект перемещается все в тот же контейнер Deleted Objects. В этом состоянии объект остается на протяжении срока жизни удаленного объекта. Пока объект находится в состоянии удаленный, его можно восстановить без потери атрибутов или членства в группах.

Когда срок жизни удаленного объекта заканчивается, он переводится в состояние утилизированный. В этом состоянии его атрибуту isRecycled присваивается значение true, связанные значения атрибутов (группы и др.), наряду с большинством обычных атрибутов удаляются, так же, как при отсутствие корзины. Объект, переведенный в это состояние, невозможно восстановить обычными способами. По истечении срока жизни утилизированного объекта он физически удаляется сборщиком мусора.

Условия для включения корзины

Корзина Active Directory впервые появилась в Windows Server 2008 R2. По умолчанию она неактивна и для ее включения необходимо соблюдение следующих условий:

1) Уровень функционирования леса должен быть не ниже Windows Server 2008 R2;
2) В лесу не должно быть контролеров домена под управлением Windows Server 2003;
3) Если лес изначально создавался на базе Windows Server 2003, необходимо осуществить обновление схемы.

Для обновления схемы надо выполнить adprep /forestprep на контроллере домена с ролью мастера схемы, выполнить adprep /domainprep /gpprep на контроллере домена с ролью мастера инфраструктуры. Если есть контроллер домена только для чтения (RODC), запустить на нем adprep /rodcprep.

Включение корзины

Посмотреть состояние корзины и проверить, включена ли она, можно с помощью команды:

Get-ADOptionalFeature ′Recycle Bin Feature′

Как видите, у корзины нет активных областей (EnabledScopes), значит она не активна.

Включим корзину следующей командой:

И еще раз посмотрим свойства корзины. Теперь у нее есть включенные области, значит корзина активна.

Для восстановления из корзины используется командлет Get-ADObject с параметром
-IncludeDeletedObjects , а параметр -Filter позволяет задавать условия для поиска. Следующей командой мы укажем поиск всех объектов, удаленных из контейнера OU=Managers:

Get-ADObject -Filter ′isDeleted -eq $true -and lastKnownParent
-eq ″OU=Managers,DC=contoso,DC=com″′ -IncludeDeletedObjects

Найденный в результате объект пользователя восстановим командлетом Restore-ADObject , указав в параметре -Identity его ObjectGUID. При включенной корзине все атрибуты пользователя восстановятся вместе с учетной записью.

Время хранения удаленных объектов

Объект, помеченный как логически удаленный, храниться в течение срока жизни удаленного объекта. Срок этот определяется в атрибуте msDS-DeletedObjectLifetime, находящемся в CN=Directory Service,CN=Windows NT, CN=Services, CN=Configuration, DC=«Domain Name». Затем объект помечается как утилизированный и храниться дальше, в течение срока жизни утилизированного объекта, который определяется уже известным вам атрибутом tombstoneLifetime.

По умолчанию msDS-DeletedObjectLifetime не определен, а время жизни удаленного объекта совпадает с временем жизни утилизированного объекта, которое определяется аттрибутом tombstoneLifetime и по умолчанию составляет 180 дней. Если же для атрибута msDS-deletedObjectLife задать какое либо значение, то этот атрибут более не будет принимать значение атрибута tombstoneLifetime.

Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,
CN=Services,CN=Configuration,DC=contoso,DC=com” –Partition
″CN=Configuration,DC=contoso,DC=com″ –Replace:@

И такое-же значение дадим для tombstoneLifetime:

Set-ADObject -Identity ″CN=Directory Service,CN=Windows NT,
CN=Services,CN=Configuration,DC=contoso,DC=com″ –Partition
“CN=Configuration,DC=contoso,DC=com” –Replace:@

Добавлю, что Microsoft не рекомендует без крайней необходимости изменять дефолтные значения атрибутов msDS-deletedObjectLifetime и tombstoneLifetime, поскольку это может привести к возникновению проблем.

Корзина AD в Windows Server 2012

В недавно вышедшем Windows Server 2012 корзина наконец обрела лицо, т.е. собственный графический интерфейс. Теперь включить ее можно из административного центра Active Directory.

После включения контейнер Deleted Objects отображается как обычная папка. По нему можно перемещаться, просматривать удаленные объекты, производить поиск с помощью фильтров. Найденый объект восстанавливается в два клика мышки. Очень удобно.

Корзина Active Directory штука очень полезная, но ее наличие не отменяет необходимость резервного копирования. В некоторых случаях, удаленные объекты можно восстановить только из архива, с помощью авторитативного восстановления. Подробнее об этом я расскажу в следующей статье.

Читайте также: