Продовжимо тему відновлення об'єктів в Active Directory, розпочату в попередній статті. Сьогодні я розповім про інструмент, який покликаний полегшити процес відновлення даних і зробити його більш ефективним. Йдеться про Active Directory Recycle Bin, або кошику для віддалених об'єктів Active Directory.

Принцип роботи кошика

Для початку згадаємо, як виглядає життєвий цикл об'єкта AD при видаленні. Об'єкт позначається як віддалений (атрибут isDeleted об'єкта встановлюється в true) і з нього видаляються зайві атрибути. Потім він перейменовується і переміщається в контейнер Deleted Objects, в якому зберігається протягом терміну життя віддаленого об'єкта.Після закінчення цього терміну він видаляється остаточно.

При включенні кошика Active Directory картина змінюється. Тепер при видаленні об'єкта Active Directory система зберігає всі атрибути об'єкта, після чого об'єкт позначається як логічно віддалений (це новий стан, що з'явилося в Windows Server 2008 R2).Його ім'я змінюється, атрибуту isDeleted призначається значення true і об'єкт переміщається все в той же контейнер Deleted Objects. У цьому стані об'єкт залишається на протязі терміну життя віддаленого об'єкта. Поки об'єкт знаходиться в стані віддалений, його можна відновити без втрати атрибутів або членства в групах.

Коли термін життя віддаленого об'єкта закінчується, він переводиться в стан утилізований. У цьому стані його атрибуту isRecycled присвоюється значення true, пов'язані значення атрибутів (групи та ін.), Поряд з більшістю звичайних атрибутів видаляються, так само, як при відсутність кошика.Об'єкт, перекладений в цей стан, неможливо відновити звичайними способами. Після закінчення терміну життя утилізованого об'єкта він фізично віддаляється складальником сміття.

Умови для включення кошика

Кошик Active Directory вперше з'явилася в Windows Server 2008 R2.За умовчанням вона неактивна і для її включення, слід дотримуватись таких умов:

1) Рівень функціонування лісу повинен бути не нижче Windows Server 2008 R2;
2) В лісі не повинно бути контролерів домену під керуванням Windows Server 2003;
3) Якщо ліс спочатку створювався на базі Windows Server 2003, необхідно здійснити оновлення схеми.

Для оновлення схеми треба виконати adprep/forestprep на контролері домену з роллю майстра схеми, виконати adprep/domainprep/gpprep на контролері домену з роллю майстра інфраструктури. Якщо є контролер домену тільки для читання (RODC), запустити на ньому adprep /rodcprep.

Пара важливих моментів, які врахувати до включення.Перше - після активізації кошика AD все раніше віддалені об'єкти стають утилізувати і не зможуть бути відновлені. Друге - включення кошика AD процес односторонній, тобто якщо її активувати, то відключити вже неможливо.

Включення кошика

Графічного інтерфейсу для роботи з Active Directory Recycle Bin в Server 2008 R2 немає.Майкрософт пропонує два способи роботи з кошиком - утиліта LDP або модуль Active Directory для PowerShell. На мій погляд LDP має не дуже доброзичливий