Корзина Active Directory позволяет администратору домена восстановить любой удаленный объект в домене AD (пользователя, компьютер, группу безопасности). Корзина Active Directory доступа во всех версиях AD, начиная с Windows Server 2008 R2. В этой статье мы покажем, как включить корзину Active Directory Recycle Bin и восстановить удаленный объект.
По умолчанию корзина AD в домене отключена во всех версиях Windows Server. Вы можете проверить состояние корзины с помощью командлета.
Get-ADOptionalFeature "Recycle Bin Feature" | select-object name, EnabledScopes
Если значение EnabledScopes пустое, это означит, что корзина AD не включена.
Чтобы включить корзину Active Directory Recycle Bin,все контроллеры домена должны работать под управлением Windows Server 2008 R2 (или выше), а функциональный режим работы леса должен быть Windows Server 2008 R2 или выше.
Вы можете проверить функциональный уровень леса AD с помощью команды:
Get-ADForest | select-object ForestMode|fl
Если уровень ForestMode ниже, чем Windows2008R2Forest, вам нужно выполнить обновление функционального уровня леса.
Вы можете включить корзину Active Directory в Windows Server 2022/2019/2022 с помощью команды PowerShell:
Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target vmblog.loc
Также вы можете включить корзину AD из оснастки Active Directory Administrative Center. Запустите ADAC (dsac.exe), щёлкните правой кнопкой по имени домена и выберите опцию “Enable Recycle Bin”.
Подтвердите включение:
Enable Recycle Bin Confirmation. Are you sure you want to perform this action? Once Recycle Bin has enabled, it cannot be disabled.
После включения корзины Active Directory в Active Directory Administrative Center появится новый контейнер Deleted Objects. В этот контейнер будут помещаться все удаленные объекты Active Directory. Вы можете просмотреть свойства удаленных объектов, и восстановить их в исходную или другую OU.
Попробуем удалить учетную запись тестового пользователя в AD.
Объект AD, помеченный как логически удаленный, храниться в течение срока жизни удаленного объекта. Срок этот определяется в атрибуте msDS-DeletedObjectLifetime, находящемся в CN=Directory Service,CN=Windows NT, CN=Services, CN=Configuration, DC=vmblog,DC=loc (по умолчанию он не определен). Затем объект помечается как утилизированный и храниться дальше, в течение срока жизни утилизированного объекта, который определяется атрибутом tombstoneLifetime (по умолчанию 180 дней).
Проверьте, что удаленный пользователь появился в контейнере Deleted Objects. Чтобы восстановить данный объект, щелкните по нему и выберите Restore или Restore to. Также здесь вы можете просмотреть свойства пользователя.
Вы можете найти удаленного пользователя и восстановить его из корзины AD с помощью PowerShell:
Get-ADObject -filter {displayname -eq "testuser1"} -Filter 'isDeleted -eq $true' –includedeletedobjects | Restore-ADObject
Вывести все удаленные объекты в корзине AD:
Get-ADObject -ldapFilter:"(msDS-LastKnownRDN=*)" – IncludeDeletedObjects
