Active Directory - одна з найважливіших служб для мереж Windows, будь-які збої в її роботі позначаються на всіх користувачів мережі. При неполадках в Active Directory дуже важливо мати відпрацьовані сценарії аварійного відновлення. Одна з найбільш поширених причин збою служби - випадкове видалення об'єктів, тому пропоную вам познайомитися з деякими способами відновлення видалених об'єктів в Active Directory.

Отже, що робити, якщо ви випадково видалили з Active Directory потрібного користувача (комп'ютер, групу, контейнер і т.п.)?

Відповім на питання, яке відразу виникає в подібній ситуації - створити новий об'єкт набагато простіше, ніж намагатися відновити старий, і в деяких ситуація це допустимо.Але давайте уявимо, що станеться при створенні, скажімо, нового користувача замість вилученого. Так, ми можемо дати йому точно таке ж ім'я, і ​​він навіть зможе зайти під ним в мережу, але і все! Спробувавши отримати доступ до ресурсів, на які у нього раніше були права, він отримає відмову.

А справа в тому, що Active Directory розрізняє об'єкти не по імені, а за спеціальним ідентифікатором - Security Identifier (SID). Це унікальний ідентифікатор безпеки, який визначається об'єкту в момент його створення і залишається з ним навіть після видалення. А оскільки кожен SID унікальний, то новостворений користувач, незалежно від імені, отримає свій SID і буде розпізнано системою як зовсім інший користувач.При цьому буде втрачена вся інформація, яка була закріплена за старою обліковим записом, і доведеться все робити заново - роздавати права, включати користувача в групи, налаштовувати програми, і багато інших "цікавих" моментів.

Тому, щоб уникнути проблем (та й просто для загального розвитку) варто мати уявлення про способи відновлення видалених об'єктів в Active Directory.

Що відбувається з об'єктом AD при видаленні

Для початку розберемося з тим, що відбувається після того як ви натиснули Delete і об'єкт зник з оснащення управління.

При об'єкт рухається у зворотному з каталогу відбувається наступне: спочатку об'єкт позначається як віддалений, для чого атрибуту isDeleted об'єкта присвоюється значення true, потім більшість атрибутів з об'єкта видаляється, об'єкт перейменовується і переміщається в спеціальний контейнер - Deleted Objects.Тепер він зветься об'єктом-похованням і недоступний для звичайних операцій в AD.

Об'єкт-поховання невидимий в оснащеннях управління MMC, а для більшості службових програм його взагалі не існує. Однак фізично дані все ще тут - просто вони невидимі. Навіщо ж Active Directory зберігає видалені об'єкти в базі даних?

А ось навіщо: будучи невидимим для інших процесів, об'єкт-поховання все ще бачимо для процесу реплікації.Щоб упевнитися в тому, що видалення виконано повністю, на всіх контролерах домену, що містять віддалений об'єкт, AD реплицирует об'єкт-поховання на всі контролери в домені. Іншими словами, об'єкт-поховання використовується для реплікації видалення по всій Active Directory.

Естесственно, віддалені об'єкти не можуть зберігатися в контейнері Deleted Objects вічно. З періодичністю раз о 12 годині контролер домену виробляє збірку сміття. Складальник сміття перевіряє всі об'єкти-поховання і фізично видаляє ті, чий термін життя більше, ніж термін життя об'єктів-поховань.

Термін життя об'єкта-поховання визначається атрибутом tombstoneLifetime і за замовчуванням становить 180 днів (60 днів для лісів Windows 2000). Подивитися поточне значення tombstoneLifetime і змінити його можна таким способом.

Відкриваємо редактор ADSIEdit і в якості точки підключення (Connection Point) вибираємо «Select or Type a Distinguished Name or Naming Context».У порожньому полі вводимо шлях CN = Directory Service, CN = Windows NT, CN = Services, CN = Configuration, DC = contoso, DC = com (для домену contoso.com).

Натискаємо OK і в оснащенні з'являється новий контекст іменування. Розгортаємо його і у вікні, знаходимо цікавий для нас атрибут tombstoneLifetime. Як бачите, він дійсно дорівнює 180 дням.

Виходить що поки не закінчився термін життя об'єкта-поховання, віддалений об'єкт фізично знаходиться в базі AD , і відповідно може бути піднято з могили відновлено.

відновлення

як приклад візьмемо обліковий запис користувача Ivanov Vasiliy і видалимо її.Прощай Vasiliy