Por fin Microsoft ha realizado una papelera de reciclaje como dios manda, y es que hasta ahora la papelera o tombstone de Active Directory dejaba mucho que desear en su interfaz con el usuario o administrador. Bien es verdad que había herramientas de terceros que lo hacían, ahora el propio administrador del servidor te lo permite configurar.
La papelera de reciclaje tiene las siguientes características:
- Por defecto viene deshabilitada, hay que habilitarla de manera manual. Una vez habilitada no podemos deshabilitarla.
- Como supondréis requiere un nivel funcional de bosque Windows 2008 R2.
- No podemos restaurar sub objetos de un objeto de una vez. Por ejemplo hemos borrado una OU y dentro tenemos usuarios, grupos y equipos. Si recuperamos la OU no recuperamos automáticamente todos los objetos que hay dentro de ella. Eso requerirá otra recuperación.
- La papelera de reciclaje incrementa el tamaño de la base de datos de Directorio Activo (NTDS.DIT).
- Debemos ser miembros del grupo Enterprise Admin para usar la papelera.
- Los objetos son recuperables o permanecen en la papelera 180 días por defecto (tombstone lifetime by default in Windows Server 2012).
- Una vez que hemos habilitado la papelera de reciclaje en Directorio Activo, los objetos eliminados pueden ser localizados en la OU Deleted Objects.
Aquí os dejo un video para que le echéis un vistazo y luego los paso a paso
¿Cómo habilitamos la Papelera de Reciclaje de Directorio Activo?
- Accedemos desde uno de nuestros Controladores de Dominio.
- Abrimos Active Directory Administrative Center. Desde Server Manager / Tools
- Seleccionamos el dominio sobre el que queremos trabajar.
- Y en el panel de la derecha hacemos click sobre Enable Recycle Bin
Vamos a ver diferentes ejemplos de como configurarla.
Al activar la papelera, veremos que cuando borremos un objeto, aparece en nuestra estructura de OUs, una nueva OU llamada Deleted Objects.
Esta OU es la Papelera de Reciclaje de Directorio Activo.
Veamos un ejemplo de como usarla para recuperar objetos:
- Tenemos esta OU llamada Marketing:
- Y hemos borrado por accidente el usuario Michael Button que como podéis ver era miembro de los siguientes grupos:
- Al eliminarlo nos hemos dado cuenta que ha sido por error. En ese caso accedemos al Active Directory Administrative Center, y a la OU llamada Deleted Objects:
- Como podéis ver nuestro usuario eliminado por error se encuentra dentro de la OU, y podemos realizar una serie de acciones sobre el objeto.
- Restore
- Restore To
- Locate Parent
- Restore: Recupera el objeto dentro de la misma OU que estaba en el momento de borrado. Con los mismos atributos. Eso si ya no marca el usuario con la protección contra borrado accidental.
- Restore To: Nos permite elegir la OU sobre la cual restauraremos el usuario en cuestión.
- Locate Parent: Nos redirige a la ubicación donde el objeto residía antes de se eliminación.
La restauración de un objeto en si es bastante sencilla.
Ahora vamos a ver el ejemplo de eliminar una OU por completo, con objetos dentro. Volvemos a usar nuestra OU de Marketing:
La eliminamos por completo, y la queremos recuperar con todos sus objetos dentro, como se puede apreciar en la captura de pantalla, el AD Administrative Center nos muestra todos los objetos eliminados en modo plano, al mismo nivel, así que si queremos recuperar todos los objetos de Marketing, nos va a llevar un par de acciones.
Si intentamos restaurar con la opción Restore al usuario Michael Button, nos salta un error porque la OU padre en la que se encontraba el objeto ha sido eliminada.
Para este tipo de casos hay dos opciones:
- Usar la opción de Restore To
- Restaurar toda la estructura de OUs.
Esto dependerá de lo que necesitemos recuperar, nosotros en este caso vamos a recuperar primero la OU Marketing y luego los objetos.
Otro truco para saber que OU iba anidada en que OU, es usar Locate Parent. En la captura previa la OU Directors, se encontraba dentro de Marketing. Pero quizás a la hora de restaurar no lo recordemos. Pues bien, situándonos encima de la OU Directors ( en Deleted Objects), si pulsamos sobre Locate Parent, nos localiza a su OU padre, que es Marketing.
Una vez recuperada la OU Marketing, podemos seleccionar todos los objetos eliminados que sabemos estaban dentro de Marketing, y lanzar Restore, todos se recuperarán dentro de la OU Marketing.
Paso a Paso via Daniel Gracia