La papelera de reciclaje de Active Directory permite a un administrador de dominio recuperar cualquier objeto de Active Directory eliminado (usuario, equipo, grupo de seguridad de anuncios, etc.).). La papelera de reciclaje de Active Directory se introdujo por primera vez en Windows Server 2008 R2. En esta versión, solo podía administrar la papelera de reciclaje y restaurar objetos AD a través de la interfaz de línea de comandos de PowerShell. Windows Server 2012 introdujo la función para administrar la papelera de reciclaje de anuncios y los objetos remotos desde la interfaz gráfica de usuario del Centro de Administración de Active Directory. En este artículo, le mostraremos cómo habilitar la papelera de reciclaje de anuncios en Windows Server 2016 y restaurar el objeto de usuario eliminado.
De forma predeterminada, la papelera de reciclaje de anuncios del dominio no está habilitada en todas las versiones de Windows Server. Puede comprobar el estado de la papelera de reciclaje mediante el cmdlet desde el módulo Active Directory para Windows PowerShell.
Get-ADOptionalFeature "Recycle Bin Feature" | select-object name, EnabledScopes
En nuestro caso, el valor EnabledScopes está vacío, lo que significa que la papelera de reciclaje de anuncios no está habilitada.
Para habilitar la papelera de reciclaje de AD, todos los controladores de dominio deben ejecutar Windows Server 2008 R2 (o posterior) y el nivel funcional del bosque debe estar configurado con Windows Server 2008 R2 o superior.
Puede comprobar el nivel funcional del bosque AD mediante el comando:
Get-ADForest | select-object ForestMode|fl
Si el nivel de modo forestal es inferior al de Windows2008R2Forest, debe actualizar el nivel funcional del bosque.
Puede habilitar la papelera de reciclaje de Active Directory en Windows Server 2016 mediante el comando PowerShell:
Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target theitbros.com
Nota. Activar la papelera de reciclaje de anuncios es irreversible! No se puede desactivar después de encenderlo.
También puede habilitar la papelera de reciclaje de anuncios desde el complemento Centro de administración de Active Directory.
Inicie ADAC, haga clic con el botón derecho en el nombre de dominio y seleccione la opción «Habilitar papelera de reciclaje».
Confirme la habilitación de la Papelera de reciclaje de anuncios en la ventana de alerta: «Habilitar confirmación de papelera de reciclaje. ¿Estás seguro de que quieres realizar esta acción? Una vez que la papelera de reciclaje está habilitada, no se puede deshabilitar.»
Después de habilitar la papelera de reciclaje de Active Directory en el Centro de Administración de Active Directory, aparecerá un nuevo contenedor de objetos eliminados. Todos los objetos de Active Directory eliminados se colocarán automáticamente en este contenedor.
En este contenedor, encontrará todos los objetos de ANUNCIOS eliminados; puede ver sus propiedades y restaurarlos a su destino original de la unidad organizativa o a cualquier otro lugar.
Eliminemos la cuenta de usuario de prueba e intentemos restaurarla.
¡Importante! Todos los atributos relacionados y no relacionados del objeto AD se guardan en la papelera de reciclaje de anuncios. Esto significa que puede restaurar un objeto junto con todos los atributos.
Un objeto de anuncio marcado como eliminado lógicamente se almacena durante la vida útil del objeto eliminado. Este valor se define en el atributo msDS-DeletedObjectLifetime ubicado en CN = Directory Service, CN = Windows NT, CN = Services, CN = Configuration, DC = theitbros y, de forma predeterminada, no está definido. En este caso, el objeto se almacena de acuerdo con el tiempo especificado en tombstoneLifetime (180 días por defecto).
Para restaurar este objeto de usuario de ANUNCIOS, haga clic en él y seleccione Restaurar o Restaurar a. Además, desde aquí puede ver las propiedades de usuario eliminadas.
También puede encontrar el usuario eliminado y restaurarlo desde la papelera de reciclaje de anuncios con PowerShell:
Get-ADObject -filter {displayname -eq "testuser1"} -Filter 'isDeleted -eq $true' –includedeletedobjects | Restore-ADObject