Active Directory (AD) er en av de mest sentrale funksjonsområdene i Windows Server og i R2 versjon kommer Microsoft med flere nyheter som skal gjøre installasjon og drift av Active Directory-tjenester enklere. Blant disse er en Recycle Bin funksjon som kan brukes for gjenopprettelse av slettede objekter i AD.
Gjenopprettelse av slettede objekter i AD er i seg selv ikke noe nytt. Fra før hadde vi allerede to måter å få tilbake et slettet objekt: ”authoritative restore” av objekter fra en sikkerhetskopi og ”tombstone reanimation”. Begge metodene er imidlertid relativt ”tunge” i bruk og har sine begrensninger. Gjenopprettelse av objekter fra sikkerhetskopi krever omstart av domenekontroller i Directory Services Restore Mode og domenekontrolleren må være offline i en periode mens gjenopprettelse pågår.
”Tombstone reanimation” (manuell korrigering av objektets egenskaper i AD) kan utføres online, men støtter ikke gjenopprettelse av avhengigheter (link-valued attributes), for eksempel gruppemedlemskap for brukerkontoer kan ikke gjenopprettes gjennom tombstone reanimation.
Active Directory Recycle Bin er en utvidelse av ”tombstone reanimation”. Når Recycle Bin er aktivert, beholder AD informasjon om både slettede objekter og avhengigheter (linker) som disse hadde. Informasjonen blir lagret i AD inntil objektet er ”resirkulert”. Et resirkulert objekt ligger fortsatt i AD, men systemet sletter mange av objektets attributter. Resirkulerte objekter kan ikke gjenopprettes og slettes fysisk som en del av ”garbage collection” prosess.
Neste bilde illustrer en livssyklus for et AD objekt i et system med Recycle Bin:
AD Object Lifecycle
AD Recycle Bin funksjonen krever Windows Server 2008 R2 “forest functional level”. I praksis betyr dette at alle domenekontrollere i AD-forest må kjøre R2 versjon av Windows Server 2008 før Recycle Bin kan slås på. Recycle Bin er slått av i utgangspunkt. Funksjonen må slås på gjennom en PowerShell kommando og kan ikke slås av igjen. Recycle Bin funksjon er tilgjengelig i alle utgaver av Windows Server 2008 R2 unntatt Web-utgave og Itanium-utgaver.
Det er ingen grafisk grensesnitt for Recycle Bin funksjon. Administratorer kan bruke PowerShell eller LDP for å aksessere funksjonen.
Aktivering av ActiveDirectory Recycle Bin
Etter at funksjonsnivå for AD-skog er løftet til ”Windows Server 2008 R2” kan administratoren bruke Enable-ADOptionalFeature cmdlet i Windows PowerShell for å slå på Recycle Bin:
LDP kan brukes for å kontrollere at Recycle Bin er aktivert: åpen CN=Partitions konteiner og sjekk at msDS-EnabledFeature attribute inneholder Recycle Bin:
Gjenopprettelse av objekter fra Recycle Bin
Administratorer kan bruke PowerShell for å gjenopprette slettede objekter.
Start “AD Module for Windows PowerShell” fra ”Administrative Tools” og bruk get-ADObject commando med IncludeDeletedObjects parameter for å finne objektet som skal gjenopprettes:
Som resultatet viser, ligger objektet i ”Deleted Objects” konteiner. Bruk ”pipe” kommando for å videresende objektet til Restore-ADObject cmdlet:
Hvis vi kjører get-ADObject cmdlet på nytt, så ser vi at objektet ble flyttet til ”Users” konteiner (den opprinnelige lokasjon). I AD Users & Computers kan vi nå se et gjenopprettet brukerkonto-objekt som har alle egenskaper på plass:
Mer informasjon om AD RecycleBin finnes på følgende sider:
What’s New in Active Directory Domain Services
http://technet.microsoft.com/en-us/library/dd378796(WS.10).aspx
Active Directory Recycle Bin Step-by-Step Guide
http://technet.microsoft.com/en-us/library/dd392261(WS.10).aspx
Reanimating Active Directory Tombstone Objects
http://technet.microsoft.com/en-us/magazine/2007.09.tombstones.aspx
