Ripristino di oggetti utenti Active Directory eliminati
Dopo aver rimosso qualsiasi oggetto in Active Directory (un utente, un gruppo, un computer o un’unità organizzativa), è possibile ripristinarlo. In questo articolo mostreremo come ripristinare un oggetto rimosso in AD utilizzando PowerShell e strumenti grafici.
Prima di tutto, vediamo cosa succede quando elimini un oggetto dall’AD. Il comportamento di AD durante la rimozione di oggetti dipende dal fatto che il Cestino di Active Directory sia abilitato o meno (è disabilitato per impostazione predefinita). In entrambi i casi, l’oggetto non viene rimosso fisicamente, viene solo contrassegnato come eliminato (il valore dell’attributo isDeleted viene modificato in true) e spostato in uno speciale contenitore di oggetti eliminati (non viene visualizzato negli snap-in mmc di AD).
Tuttavia, se il Cestino di AD è abilitato, tutti gli attributi e l’appartenenza vengono mantenuti.
Per impostazione predefinita, è possibile ripristinare un oggetto rimosso entro 180 giorni (è definito nell’attributo di dominio msDS-deletedObjectLifetime ).
Se il periodo è scaduto, l’oggetto rimane ancora nel contenitore Oggetti eliminati, ma la maggior parte dei suoi attributi e collegamenti vengono cancellati (Oggetto riciclato). Dopo il tombstoneLifetime periodo (è anche 180 giorni per impostazione predefinita, ma è possibile aumentarla), l’oggetto viene completamente rimosso da AD nel corso di una cancellazione automatica e non può essere ripristinato (è possibile solo ripristinare un tale oggetto da un backup di controller di dominio AD ) .
Cestino di Active Directory
Il Cestino di AD è disponibile in Active Directory a partire dal livello di funzionalità di Windows Server 2008 R2.
Nelle versioni precedenti di Windows Server, puoi anche ripristinare oggetti AD, ma richiede una serie complessa di azioni utilizzando strumenti speciali: ntdsutil(fino al ripristino autorevole da un backup AD nella modalità di ripristino del servizio directory) o ldp.exe inoltre, con il Cestino di AD puoi non perderà gli attributi dell’oggetto e l’ appartenenza al gruppo .
Controlla il livello di funzionalità della foresta AD (nel mio esempio, è Windows2016Forest ):
Get-ADForest |Select-Object forestmode
Questo comando e quelli seguenti richiedono l’ installazione di Active Directory per il modulo PowerShell .
Get-ADForest forestmode
Assicurati che il Cestino di AD sia abilitato per il tuo dominio (è disabilitato per impostazione predefinita):
Get-ADOptionalFeature “Recycle Bin Feature” | select-object name,EnabledScope
Se il valore EnabledScope non è vuoto, significa che il Cestino di Active Directory è abilitato per il tuo dominio.
Get-ADOptionalFeature “Funzione cestino”
Se si desidera abilitare il Cestino di Active Directory, utilizzare il cmdlet Enable-ADOptionalFeature :
Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=ConfigurationDC=woshub,DC=com’ –Scope ForestOrConfigurationSet –Target ‘woshub.com’
Nota . Il Cestino di Active Directory deve essere abilitato prima di rimuovere un oggetto dal dominio. Dopo aver abilitato la funzionalità Cestino di Active Directory, non è possibile disabilitarla.
Come ripristinare un account utente eliminato in Active Directory?
Proviamo a eliminare un utente AD e quindi ripristinarlo dal Cestino di AD.
Utilizzando il Get-ADUser cmdlet, visualizzare il valore del IsDeleted attributo di un utente (è vuoto):
get-aduser jsanti -Properties *| Select-Object IsDeleted,whenDeleted
Quindi rimuovere l’account utente:
Remove-ADUser jsanti
Per trovare un account utente rimosso nel Cestino di AD, utilizza il cmdlet Get-ADObject con il parametro IncludeDeletedObjects :
Get-ADObject -Filter ‘Name -like “santi“‘ –IncludeDeletedObjects
Come puoi vedere, l’utente è stato trovato nel contenitore Oggetti eliminati .
Controlla il valore dell’attributo IsDeleted , il contenitore in cui si trovava l’utente prima di essere rimosso ( LastKnownParent ) e l’elenco dei gruppi di cui l’utente era membro:
Get-ADObject -Filter ‘Name -like “santi“‘ –IncludeDeletedObjects -Properties *| select-object Name, sAMAccountName, LastKnownParent, memberOf, IsDeleted|fl
Come puoi vedere, l’utente è stato trovato nel contenitore Oggetti eliminati .
Controlla il valore dell’attributo IsDeleted , il contenitore in cui si trovava l’utente prima di essere rimosso ( LastKnownParent ) e l’elenco dei gruppi di cui l’utente era membro:
Get-ADObject -Filter ‘Name -like “santi“‘ –IncludeDeletedObjects -Properties *| select-object Name, sAMAccountName, LastKnownParent, memberOf, IsDeleted|fl
È inoltre possibile ripristinare un oggetto account utente eliminato dalla console grafica del Centro di amministrazione di Active Directory .
1 Eseguire il dsac.exe;
2 Trova il contenitore Oggetti eliminati. Contiene tutti gli oggetti AD eliminati ;
3 Fare clic sull’oggetto che si desidera ripristinare e selezionare Ripristina (per ripristinare il contenitore originale) o Ripristina in (per ripristinare un altro Uni organizzativo AD).
Allo stesso modo, puoi ripristinare un gruppo eliminato, un computer o un contenitore in Active Directory.
Per ripristinare un gruppo di sicurezza eliminato:
Get-ADObject -Filter { Deleted -eq $True -and ObjectClass -eq ‘group’ -and Name -like ‘Allow‘ } –IncludeDeletedObjects| Restore-ADObject –verbose
Per ripristinare un computer:
Get-ADObject -Filter { Deleted -eq $True -and ObjectClass -eq ‘computer’ -and Name -like ‘PCCA-sdd9302‘ } –IncludeDeletedObjects| Restore-ADObject –verbose
Come ripristinare un’unità organizzativa eliminata e i suoi oggetti annidati utilizzando PowerShell?
Ad esempio, l’ opzione Proteggi oggetto dall’eliminazione accidentale era disabilitata per un’unità organizzativa e occasionalmente hai eliminato l’unità organizzativa con tutti i suoi utenti, computer e gruppi.
Prima di tutto, è necessario ripristinare l’unità organizzativa di root:
Get-ADObject -Filter {Deleted -eq $True -and ObjectClass -eq ‘organizationalunit’ -and Name -like ‘California‘} –IncludeDeletedObjects| Restore-ADObject
Quindi ripristinare tutte le unità organizzative nidificate:
Get-ADObject -Filter {Deleted -eq $True -and ObjectClass -eq ‘organizationalunit’ -and LastKnownParent -eq ‘OU=California,DC=woshub,DC=com’} –IncludeDeletedObjects| Restore-ADObject
Successivamente, è possibile ripristinare tutti gli oggetti eliminati nelle unità organizzative utilizzando il parametro LastKnownParent (utenti, computer, gruppi e contatti):
Get-ADObject -Filter {Deleted -eq $True} –IncludeDeletedObjects -Properties | Where-Object LastKnownParent -like ‘OU=California,DC=woshub,DC=com’| Restore-ADObject
