Pewnie niejednemu z Was przytrafiło się przypadkowe usunięcie użytkownika z domeny AD… Dotychczas brak kosza był największą wadą Active Directory. W Windows Server 2008 poprawiło się trochę “bezpieczeństwo” poprzez ochronę OU przed przypadkowym usunięciem. Ale to i tak nie eliminowało całkowicie problemu. W wersji R2 tego systemu został wprowadzony kosz, czyli to na co wszyscy czekaliśmy. Co prawda nie jest on taki jak sobie wyobrażałem, ale lepsze to niż nic 🙂
Co musimy wiedzieć?
1. Poziom funkcjonalności domeny musi być ustawiony na Server 2008 R2.
2. Kosz jest standardowo wyłączony, uruchamiamy go poprzez LDP.EXE bądź PowerShell'a.
3. Kosz nie ma GUI (Graphical User Interface), jest w całości zarządzany z Powershell'a.
4. Kiedy włączysz kosz, już go nie wyłączysz 🙂
OK, to zaczynamy.
Zakładam, że macie poziom funkcjonalności domeny ustawiony na Windows Server 2008 R2, wiec pominę ten krok i od razu rzucimy się na uruchamianie kosza. Pierwszym krokiem jest uruchomienie Active Directory PowerShell w jako Administrator. Czyli Start –> Administrative Tools –> Active Directory Power Shell prawym przyciskiem klikamy i Run as Administrator. Trzeba sprawdzić, czy aby na pewno kosz jest wyłączony. Wpisujemy polecenie:
GET-ADOPTIONALFEATURE –filter {name –like “*”}
Jednak jest wyłączony 🙂 Kosz włączamy następującym poleceniem:
ENABLE-ADOPTIONALFEATURE ‘Recycle Bin Feature’ –score forest –target ‘FQDN’
W miejsce FQDN wpisujemy FQDN naszej domeny, czyli w moim przypadku to będzie:
ENABLE-ADOPTIONALFEATURE ‘Recycle Bin Feature’ –score forest –target ‘contoso.com’
Nie będę się rozpisywał tutaj nad dostępnymi przełącznikami, po prostu trzeba taką komendę wpisać, w miejsce contoso.com wpisać nazwę naszej domeny.
Po wpisaniu polecenia zostaniemy jeszcze zapytani czy jesteśmy pewni włączenia funkcji kosza w Active Directory, oczywiście wciskamy przycisk Y.
Możemy teraz potwierdzić, czy kosz na pewno został zainstalowany poleceniem GET-ADOPTIONALFEATURE –filter {name –like “*”}.
Wynik tego polecenia jest bardzo podobny, z pewną małą różnicą:
EnabledScopes : {CN=Partitions,CN=Configuration,DC=energized,DC=energizedtech,DC=com}
Oznacza to, że kosz został włączony, konta użytkowników stały się bezpieczniejsze 😉
Lecz to dopiero początek zabawy. Więc jak przywrócić jakiś obiekt w Active Directory przy użyciu kosza. Stworzyłem sobie użytkownika o nazwie test, a następnie go usunąłem (w prawdzie tak naprawdę było dwóch użytkowników o takiej nazwie podczas testów). Jak teraz go przywrócić?
Sprawdźmy, czy taki użytkownik jest w naszym koszu. Wpisujemy w PowerShellu następujące polecenie:
GET-ADOBJECT –filter {name –like “test*”} –includedeletedobjects
Oczywiście w miejsce test, podajemy nazwę naszego zaginionego obiektu.
Okazuje się, że jest! Nawet dwóch o takiej samej nazwie 😛 Ale to tylko ze względów na moje testy.
Pozostaje przywrócić obiekt takim samym poleceniem, tylko że z dodatkowym parametrem .
GET-ADOBJECT –filter {name –like “test*”} –includedeletedobjects | RESTORE-ADOBJECT
I? To już koniec. Użytkownik został przywrócony. Proste, prawda?
Oczywiście tak jak wspomniałem na początku istnieje możliwość instalowania kosza, i przywracania użytkownika poprzez LDP.EXE, ale szkoda zaprzątać sobie tym głowy. Metoda poprzez LDP i tak wykorzystuje PowerShella, więc nie będę jej opisywał. Powodzenia i lepiej żeby nie trzeba było korzystać z tego kosza 😉
Więcej o Koszu w Active Directory znajdziecie na http://technet.microsoft.com/en-us/library/dd392261.aspx.
