Кошик Active Directory у Windows Server 2012, Windows IT Pro

Кошик Windows, що давно став звичним, дозволяє відновити випадково віддалений файл. Однак під час використання Windows Server 2008 та попередніх версій при випадковому видаленні облікового запису користувача або комп'ютера в Active Directory (AD) можна лише відновити AD, знову створити обліковий запис або застосувати сторонній інструмент

Перший варіант кошика Active Directory з'явився у Windows Server 2008 R2. Була реалізована можливість відновлювати випадково віддалений обліковий запис користувача, комп'ютера чи підрозділу (OU). Однак працювати з кошиком Active Directory можна тільки за допомогою засобів PowerShell, що може виявитися складним, особливо для тих, хто не знайомий з цією командною оболонкою. Крім того, для пошуку віддалених об'єктів існують певні обмеження.

Команди PowerShell можуть бути досить довгими. Для прикладу нижче наведено команду активації кошика Active Directory:

Наступна команда дозволяє виконати пошук по всіх віддалених об'єктах у кошику Active Directory:

Команда відновлення облікового запису користувача JohnMarlin виглядає так:

Можна зауважити, що команди є досить складними. Зрозумійте мене правильно: я зовсім не даю негативну оцінку кошику Active Directory в Server 2008 R2, але звертаю вашу увагу на те, що робота з нею може виявитися непростим завданням.

Керуючись відгуками користувачів, розробники Microsoft зробили кошик Active Directory частиною центру адміністрування Active Directory у Windows Server 2012. Тепер використовувати його стало набагато простіше.

Встановлення кошика Active Directory

Як і раніше, у Server 2012 кошик Active Directory не включений за замовчуванням і вимагаєфункціонального рівня лісу Server 2008 R2 або нова версія. Щоб активувати корзину, відкрийте центр адміністрування Active Directory, клацніть на імені домену та в меню Tasks виберіть пункт Enable Recycle Bin. Цей же елемент можна вибрати в контекстному меню, яке відкривається правим клацанням на ім'я домену. Обидва варіанти показано на екрані 1.

directory

Після вибору елемента Enable Recycle Bin відобразиться вікно підтвердження активації кошика (див. екран 2).

кошик

Дане вікно містить попередження про те, що одного разу активований кошик згодом вже не можна буде вимкнути.

Активуючи кошик, слід пам'ятати, що розмір бази даних AD (Ntds.dit) збільшиться. Дисковий простір, що використовується кошиком, продовжуватиме зростати в міру поповнення новими віддаленими об'єктами та їх атрибутами. Тому потрібно заздалегідь забезпечити достатній обсяг системи зберігання, особливо якщо вам доводиться постійно видаляти об'єкти AD. Слід зауважити, що доступ до кошика відкритий лише членам групи адміністраторів підприємства.

Після натискання кнопки OK у вікні підтвердження активації кошика видається повідомлення з нагадуванням про те, що кошик стане повнофункціональним лише тоді, коли ця зміна буде реплікована на всі інші контролери домену (DC). У повнофункціональному кошику віддалений об'єкт зберігається відповідно до значення атрибута msDS-deletedObjectLifetime. Цей атрибут, що вперше з'явився в Server 2008 R2 і визначає термін підтримки можливості відновлення віддаленого об'єкта, задається в контейнері CN=Directory Service, CN=Windows NT, CN=Services, CN=Configuration, DC=COMPANY, DC=COM.

За умовчанням атрибут msDS-deletedObjectLifetime встановлюється відповідно до атрибуту tombstoneLifetime, впершещо з'явився у Windows 2000. Його значення за умовчанням раніше становило 60 днів, але Windows Server 2003 SP1 було збільшено до 120 днів, яким і залишається досі. Атрибут tombstoneLifetime задається у контейнері CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=COMPANY,DC=COM.

Кількість елементів, що відображаються в кошику, обмежена. За замовчуванням встановлено межу 20 000. Цю установку можна змінити (до 100 000) за допомогою елемента Management List Options у меню Manage (див. екран 3).

server

Застосування кошика Active Directory

server

  • працює в офісі у Далласі, шт. Техас;
  • є працівником відділу бухгалтерського обліку;
  • не реєструвався у системі протягом останніх 10 днів;
  • під час останньої реєстрації термін дії його пароля мав спливти через 2 дні.

Якщо в полі фільтра вказати John, у відповідь буде видано список усіх облікових записів, імена яких містять цей фрагмент. Але якщо таких облікових записів не одна сотня? Щоб звузити діапазон пошуку, можна встановити критерії за допомогою кнопки Add criteria. Як показано на екрані 5 існує широкий вибір критеріїв.

2012

directory

Для відновлення об'єкта John23 в меню, яке відкривається клацанням правої кнопки, вибираємо Restore (відновлення у вихідному OU) або Restore To (відновлення в іншому OU). Ці два елементи також є у меню Tasks.

Можна відновлювати не лише один, а й одразу кілька об'єктів, а також OU. Наприклад, припустимо, що у компанії працює група тимчасових співробітників, у яких термін дії контракту спливає у п'ятницю ввечері. Як старший адміністратор, ви відповідаєте за видалення OU (групи тимчасових співробітників) та всіх облікових даних тимчасовихкористувачів після закінчення терміну дії договору. Наступного тижня ви йдете у відпустку, тому заздалегідь у четвер складаєте сценарій видалення об'єктів, який має запуститися у п'ятницю ввечері.

У п'ятницю ввечері керівництво ухвалює рішення залишити тимчасову групу ще на тиждень. Вам надсилається електронною поштою повідомлення з вказівкою почекати з видаленням об'єктів, але ви його не отримуєте. Увечері в п'ятницю сценарій запускається та видаляє облікові дані для цього тимчасового підрозділу та всі облікові записи, що до нього стосуються.

Вранці у понеділок тимчасові працівники не можуть зареєструватись у системі. Інший адміністратор відкриває кошик для відновлення віддалених облікових записів. Однак невідомо про видалення OU; крім того, не знає імен користувачів.

Відкривши кошик, адміністратор додає критерії пошуку (див. екран 7) та отримує список віддалених облікових записів.

2012

Однак при спробі відновлення першого облікового запису з'являється повідомлення про помилку (див. екран 8). У ньому йдеться про те, що тимчасовий підрозділ (OU) було видалено. Обліковий запис не може бути відновлено в неіснуюче OU, а нове OU не створюється. Адміністратору доводиться виконати новий пошук, щоб знайти віддалене OU та відновити його. Потім знову виконується попередній пошук для виведення списку віддалених об'єктів. Усі облікові записи, що підлягають відновленню, вибираються та відновлюються за допомогою простої операції (див. екран 9). Тепер тимчасові співробітники можуть знову зареєструватися в системі.