Papelera de reciclaje en el Directorio Activo
Hola.
En esta ocasión me gustaría compartir con vosotros el funcionamiento de la funcionaliadad de la papelera de reciclaje para Active directory:
Introducción
La papelera de reciclaje para el directorio activo es una nueva funcionalidad introducida con Windows Server 2008 R2, que nos permitirá restaurar objetos del directorio eliminados siguiendo el mismo concepto que la papelera de reciclaje de Windows.
Antes de que apareciera esta funcionalidad si necesitábamos restaurar objetos eliminados como los pueden ser los contenidos en una determinado OU necesitábamos tirar de restore autoritativo del directorio con lo que esto conlleva o utilizar herramientas de terceros con un coste adicional como pueden ser la ofrecidas por Quest.
Esta nueva funcionalidad nos permitirá restaurar tanto objetos eliminados como atributos de los mismos. Debemos tener claro que para poder usar esta funcionalidad debemos tener nuestro dominio elevado a un nivel funcional de Windows Server 2008 R2, esto por supuesto conlleva tener todos los contralores dominio corriendo en este sistema operativo.
¿Cómo Funciona esto?
Con la funcionalidad de la papelera de directorio habilitada cuando eliminamos un objeto este pasa al status de logically deleted en este estado permanecerá un tiempo X definido en el deleted object lifetime por defecto 180 días, mientras el objeto permanezca en este status podremos restaurarlo con todos sus atributos usando la funcionalidad de la papelera de reciclaje.
Tras consumirse el deleted object lifetime el objeto pasará al status de recycled en este estado permanecerá un tiempo X definido en el tombstone lifetime por defecto otros 180 días, en este status ya no podremos recuperar el objeto ni usando la papelera de reciclaje ni restores autoritativos, una vez consumido el tombstone lifetime el objeto se eliminará automáticamente de la BD de DA usando el garbage collector.
¿Cómo habilitamos la funcionalidad de la papelera de reciclaje de directorio?
Cabe mencionar que por defecto esta funcionalidad esta deshabilitada en nuestro dominio con nivel funcional Windows Server 2008 R2. Para habilitarla una vez tenemos preparado el dominio ejecutamos la siguiente sentencia de PowerShell con privilegios elevados, remplazando las variables con los nombre de nuestro dominio:
Enable-ADOptionalFeature «Recycled Bin Feature» –Scope ForestOrConfigurationSet –Target «mybosque.com»
¿Cómo se usa esta funcionalidad?
Para restaurar cualquier objeto eliminado usaremos cmdlets para PowerShell usando el modulo de AD.
Una vez abrimos la línea de comandos de PowerShell con privilegios elevados usaremos dos comandos para restaurar objetos:
Get-ADObject para localizar el objeto eliminado que queremos restaurar
Restore-ADObject para restaurar el objetivo anteriormente localizado
Ejemplos:
Para obtener una lista de todos los objetos eliminados usaríamos el siguiente comando
Get-ADObject –SearchBase “CN=Deleted Objects,DC=nombre_bosque,DC=nombre_dominio” -LdapFilter “(objectclass=*)” –IncludeDeletedObjects
Para Restaurar la cuenta de usuario del usuario Samuel López usaríamos el siguiente:
Restore-ADObject –Filter ‘displayName –eq “Samuel Lopez”’ –IncludeDeletedObjects
Cabe mencionar que cuando queremos restaurar objetos que contienen otros objetos como puede ser OUS primero realizaremos el restore de los objetos de nivel superior y después de los objetos de nivel inferior restaurando primero la OU madre luego las OUS hijas y después los objetos contenidas en la mismas.
