az Active Directory Lomtár lehetővé teszi a tartományi rendszergazdák számára, hogy helyreállítsák a törölt Active Directory-objektumokat (Felhasználó, számítógép, HIRDETÉSBIZTONSÁGI csoport stb.). Az Active Directory Lomtár először a Windows Server 2008 R2 rendszerben került bevezetésre. Ebben a verzióban csak a Lomtárat kezelheti és visszaállíthatja a hirdetési objektumokat a PowerShell cli-n keresztül. A Windows Server 2012 bevezette az AD Lomtár és a távoli objektumok kezelését az Active Directory felügyeleti központ grafikus felhasználói felületéről. Ebben a cikkben megmutatjuk, hogyan engedélyezheti a hirdetési lomtárat a Windows Server 2016 rendszeren, és visszaállíthatja a törölt felhasználói objektumot.
alapértelmezés szerint a tartományban lévő hirdetés-Lomtár nincs engedélyezve a Windows Server összes verziójában. A Lomtár állapotát az Active Directory for Windows PowerShell modul parancsmagjával ellenőrizheti.
Get-ADOptionalFeature "Recycle Bin Feature" | select-object name, EnabledScopes
esetünkben az EnabledScopes érték üres, ami azt jelenti, hogy az AD Lomtár nincs engedélyezve.
az AD Lomtár engedélyezéséhez minden tartományvezérlőnek Windows Server 2008 R2 (vagy újabb) rendszert kell futtatnia, az erdő működési szintjét pedig Windows Server 2008 R2 vagy újabb rendszert kell beállítani.
az AD-erdő működési szintjét a következő paranccsal ellenőrizheti:
Get-ADForest | select-object ForestMode|fl
ha a ForestMode szintje alacsonyabb, mint a Windows2008R2Forest, frissítenie kell az erdő működési szintjét.
a PowerShell paranccsal engedélyezheti az Active Directory lomtárat a Windows Server 2016 rendszerben:
Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target theitbros.com
jegyzet. A hirdetési Lomtár engedélyezése visszafordíthatatlan! A bekapcsolás után nem tilthatja le.
a hirdetés-Lomtárat az Active Directory felügyeleti központ beépülő modulból is engedélyezheti.
indítsa el az ADAC programot, kattintson a jobb gombbal a domain névre, és válassza a “Lomtár engedélyezése” lehetőséget.
erősítse meg az AD Lomtár engedélyezését a riasztási ablakban: “Lomtár megerősítésének engedélyezése. Biztos benne, hogy végre akarja hajtani ezt a műveletet? Miután a Lomtár engedélyezte, nem lehet letiltani.”
miután engedélyezte az Active Directory Lomtárat az Active Directory felügyeleti központjában, megjelenik egy új törölt objektumok tárolója. Az összes törölt Active Directory-objektum automatikusan ebbe a tárolóba kerül.
ebben a tárolóban megtalálja az összes törölt hirdetési objektumot; megtekintheti azok tulajdonságait, és visszaállíthatja őket eredeti OU rendeltetési helyükre vagy bármely más helyre.
töröljük a teszt felhasználói fiókot, és próbáljuk meg visszaállítani.
fontos! Az AD objektum összes kapcsolódó és nem kapcsolódó attribútuma az AD Lomtárba kerül. Ez azt jelenti, hogy visszaállíthat egy objektumot az összes attribútummal együtt.
a logikailag eltávolítottként megjelölt AD objektum az eltávolított objektum élettartama alatt tárolódik. Ezt az értéket a CN=Directory Service, CN=Windows NT, CN=Services, CN=Configuration, DC=theitbros fájlokban található msDS-DeletedObjectLifetime attribútum határozza meg, alapértelmezés szerint nincs meghatározva. Ebben az esetben az objektum a sírkövön megadott idő szerint tárolódikéletidő (alapértelmezés szerint 180 nap).
az AD userobject visszaállításához kattintson rá, majd válassza a visszaállítás vagy visszaállítás ide lehetőséget. Itt is megtekintheti a törölt felhasználói tulajdonságokat.
a törölt felhasználót a PowerShell használatával is megtalálhatja, majd visszaállíthatja a hirdetés Lomtárából:
Get-ADObject -filter {displayname -eq "testuser1"} -Filter 'isDeleted -eq $true' –includedeletedobjects | Restore-ADObject