Active Directory Recycle Bin + GUI Tools

“Active Directory Recycle Bin” er en ny spændende feature som kommer med Windows 2008 R2.
Det betyder at man nu kan restore AD objekter (ex. OU’s, grupper, brugere) uden nedetid.
Med nedetid menes der at skulle boote DC’eren i DSRM eller stoppe AD/DS servicen i forbindelse med restore udfra et mounted snapshots.
En anden fordel skal også ses i forhold til backup.
Sletter jeg feks en OU om aften og min sidste gode backup er fra aften før, så vil ændringer for denne OU jeg har lavet i løbet af dagen være tabt i forbindelse med en restore.
Er der så en længere periode imellem den sidste gode system state backup, så kan det gå hen og blive en rigtig dårlig dag. Dette problem undgår man med “AD Recycle Bin”.
For at kunne aktivere denne funktion, kræver det “R2 forest functional level”, som igen betyder at man ikke kan have nogle 2003/2008 dc’ere i sit miljø.

For et 2003/2008 gælder følgende procedure for et slettet objekt, kort fortalt.
Et objekt (feks en user account) bliver slettet i AD. I den forbindelse bliver de fleste “User Attributes” fjernet (telephone, e-mail, link til security groups mfl.).
Objektet bliver herefter flyttet til “Deleted Object containeren” (CN=Deleted Objects), som en “tombstone”.
Levetiden for en “tombstone”, er default 180 dage, hvorefter processen “Garbage Collector” fjerner den fra Active Directory (ntds.dit).
Nedenstående billede viser dette.

For Windows 2008 R2 med “AD Recycle Bin” aktiveret, bliver der lagt en ny cyklus ind, som kaldes “Recycled”.
Det betyder at et slettet user objekt bliver flyttet til “Deleted Object containeren”, men bibeholder alle sine “User Attributes”.
Recycle perioden for slettet objekter er default 180 dage. Attributten “ms-DS-deletedObjectLifetime” bestemmer Recycle perioden.
Hvis denne værdi er blank benytter den “tombstoneLifetime” værdien, som default også er 180 dage.
DeletedObjectLifetime og TombstoneLifetime attributterne kan ændres. Se nedenstående links.

Determine the tombstone lifetime for the forest.
http://technet.microsoft.com/en-us/library/cc784932(WS.10).aspx

PowerShell – Tombstone Periods.
http://richardsiddaway.spaces.live.com/blog/cns!43CFA46A74CF3E96!2473.entry

Modifying the tombstone lifetime and deleted object lifetime
http://technet.microsoft.com/en-us/library/dd392260(WS.10).aspx

Efter DeletedObjectLifetime (Recycled) perioden er overstået, bliver de fleste “User Attributes” fjernet og objektet får nu status som en “tombstone”, som vi kender det fra tidligere.
Under Recycled perioden kan man restore objekter uden nedetid, feks via LDP eller PowerShell.
Nedenstående billede viser den nye Recycle cyklus.

 
AD Recycle Bin, er ikke aktiveret default. Det vil man bla kunne se i eventloggen under “Directory Service” med eventid’en 2120 og 2121.

 

Med en powershell kommando vil vi ligeledes kunne se at “AD Recycle Bin” ikke er aktiveret.
Get-ADOptionalFeature “Recycle Bin Feature”. Man vil her kunne se at “EnabledScopes” har en null værdi.

For at aktivere Recycle Bin funktionen, skal man skrive nedenstående PS Kommando. Mit domæne hedder i dette eksempel win.local.
Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=win,DC=local’
–Scope ForestOrConfigurationSet –Target ‘win.local’

Svar herefter y for “yes”
 

Læg også mærke til at denne handling ikke kan disables bagefter.
Kommandoen Get-ADOptionalFeature “Recycle Bin Feature viser at vi nu har fået et enabled scope for Recycle Bin” og dermed har aktiveret denne feature.

Eventid 2119 under eventlog “Directory Service” melder også at “AD Recycle Bin” er blevet aktiveret.

Jeg er nu nået til det punkt, hvor jeg vil slette brugeren “demo01” og genskaber objektet igen bagefter.
Jeg benytter her 2 metoder i form af LDP og PowerShell.
Der er endnu ingen restore integration fra feks “Active Directory Users and Computers” (ADUC interfacet).
Jeg starter først ADExplorer og ser at “demo01”  ligger i “Deleted Object containeren”.

 

 

Jeg tilretter herefter følgende Atributter via LDP.exe.
– distinguishedName (denne værdi indsætter/kopiere jeg fra “lastKnownParent” – CN=demo01,OU=Users,OU=Salg,OU=WinRoot,DC=win,DC=local)
– isDeleted (Jeg sletter her TRUE værdien)

LDP resultatet er vist på nedenstående billede.

Jeg har nu genskabt brugeren demo01 inklusiv de grupper han var medlem af.
En rigtig god guide til LDP metoden med screendump kan ses her.
http://www.policelli.com/blog/?p=316

Jeg har nu slettet brugeren demo01 igen og vil genskabe objektet via PowerShell.
Først lister jeg alle deleted objeckt via nedenstående PowerShell kommando.
Get-ADObject –SearchBase “CN=Deleted Objects,DC=win,DC=local” –ldapFilter “(objectClass=*)” -includeDeletedObjects

 

Kopier herefter objectGUID ud i en tekstfil. Restore demo01 med følgende kommando.
Restore-ADObject –Identity objectGUID.
Restore-ADObject –Identity d75a12cd-c80c-4769-99d0-1897f38cbb28

Hvis man vil restore en OU, skal man først genskabe OU objektet og herefter genskabe child objekterne.
For mere info se nednstående link.
http://blogs.technet.com/niraj_kumar/archive/2009/02/03/new-feature-active-directory-recycle-bin-in-windows-2008-r2.aspx

Restore metoden via LDP og PowerShell virker, men det kan være lidt bøvlet hvis det er mange objekter man skal restore.
Alternativt er der 2 gode GUI Tools, som kan downloades fra nedenstående links.

Object Restore for Active Directory (freeware).
http://www.quest.com/object-restore-for-active-directory/

ADRecycleBin (freeware).
http://www.overall.ca/index.php?option=com_docman&task=doc_download&gid=68&Itemid=11

Jeg har testet begge GUI tools og de virker uden problemer. Man kan dog med “ADRecycleBin” lave bulk recovery, hvilket er en klar fordel og gør den til min favorit.
Nedenstående billede viser interfacet for “Object Restore for Active Directory “.

Her vises interfacet for ADRecycleBin + restore report med CSV export. Jeg kan her vælge alle objekter på en gang og restore dem, genialt.
Guide til ADRecycleBin med screendumps kan ses her.
http://www.overall.ca/index.php?option=com_content&view=article&id=40:adrecyclebin&catid=15:adrecyclebinexe&Itemid=64


 

Jeg har testet Active Directory Recycle Bin på Windows 2008 R2 RC.
Referencer til ovenstående.

Active Directory Recycle Bin Step-by-Step Guide.
http://technet.microsoft.com/en-us/library/dd392261(WS.10).aspx

Active Directory Recycle Bin For Server 2008 R2.
http://www.frickelsoft.net/blog/?p=169.com

Comments are closed.