Procedimiento Restauracion de objetos borrados en Active Directory

Cuando eliminamos un objeto de Active Directory, no estamos borrndolo de inmediato, sino que marcamos dicho objeto para eliminarlo en un futuro. Active Directory utiliza un modelo de replicacin que se caracteriza por ser "multi-master loose consistency with convergence", entonces se pueden hacer cambios en cualquier DC en el bosque, y los cambios se replicaran gradualmente por toda nuestra arquitectura de domain controllers. Entonces repetimos, cuando se elimina un objeto del directorio, no elimina fsicamente los objetos de la base de datos. En su lugar, Active Directory marca el objeto como eliminado por valor de atributo isDeleted del objeto a TRUE, despojando a la mayora de los atributos del objeto, cambiar el nombre del objeto, y despus de mover el objeto a un contenedor especial en el contexto de nombres del objeto (CN) llamado CN = DeletedObjects. El objeto, que ahora se llama una tombstone, es invisible para las operaciones de directorio normal. Obviamente, los objetos no se quedan en este contenedor indefinidamente. La duracin de este estado es por defecto es de 60 das para los bosques construidos inicialmente utilizando Windows 2000 y Windows Server 2003, y 180 das para los bosques que fueron construidos inicialmente con Windows Server 2003 SP1. Tambin podemos cambiar este tiempo de vida en el limbo, cambiando el atributo tombstoneLifetime de CN=Directory Service,CN=Windows NT, CN=Services,CN=Configuration, DC= object. Cada 12 horas, cada controlador de dominio se inicia el proceso de recoleccin de basura (garbage collection process). Esto se puede cambiar modificando el valor del atributo garbageCollPeriod de la CN=Directory Service,CN=Windows NT, CN=Services,CN=Configuration,DC= object. Est recoleccin de basura analiza todos los Tombstone del DC y se eliminan fsicamente los que son ms antiguos que la fecha de dicho Tombstone. El contenedor DeletedObjects se encuentra oculta y no se puede ver mediante la consola Active Directory Users and Computers o por ADSIEDIT.MSC, pero podemos usar el LDP.EXE.

En este ejemplo vamos a borrar un usuario y luego recuperarlo En este ejemplo se elimin el usuario Rico Madagascar

Para recuperar el objeto con la utilidad ldp, iniciamos sesin en un controlador de dominio, luego ejecutamos una ventana CMD con permiso de administrador

Ejecutamos el comando ldp

Luego nos vamos a Connection Connect

Pulsamos OK

Luego nos vamos a Connection Bind

Seleccionamos OK

Una vez realizados estos pasos nos vamos a Options Controls

En load Predefined seleccionamos Return deleted objects, y luego OK

Luego seleccionamos view Tree

En BaseDN escribimos distingued name de nuestro dominio

Seleccionamos CN=Deleted Objects,DC=micasa,DC=cl, y buscamos el usuario eliminado

Botn derecho sobre el usuario que vamos a recuperar y seleccionamos Modify

1. En Edit Entry Attribute escribimos isDeleted 2. En operation seleccionamos Delete 3. Seleccionamos Enter

1. En Edit Entry Attribute escribimos distinguishedName 2. En Values CN=Madagascar,OU=Usuarios,OU=micasa,DC=micasa,DC=cl (Esta es la unidad organizativa donde se encontraba el objeto) 3. En operation seleccionamos Replace 4. Seleccionamos Enter 5. Seleccionamos Extended 6. Seleccionamos Run 7. Seleccionamos Close

Habilitar la Papelera de Reciclaje

Puede habilitar la papelera de reciclaje de Active Directory solamente si el nivel funcional del bosque del entorno se establece en Windows Server 2008 R2

Para habilitar la papelera de reciclaje no tenemos ms obligacin que apoyarnos en otra de las novedades del Directorio Activo en Windows Server 2008 R2, el Mdulo de PowerShell para Active Directory. 1. En uno de los controladores de dominio, seleccionar Inicio, Herramientas Administrativas, y finalmente Mdulo de Active Directory para Windows PowerShell. 2. En el smbolo del sistema de PowerShell, escribir el siguiente comando, con la variacin del dominio que tenga cada uno. El dominio con el que yo voy a micasa.cl Enable-ADOptionalFeature Identity CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=micasa,DC=cl Scope ForestOrConfigurationSet Target micasa.cl

Para recuperar la cuenta ejecutamos el siguiente comando Get-ADObject -Filter {displayName -eq "Alex San Martin"} -IncludeDeletedObjects | RestoreADObject Nota: Tambin podemos usar el campo SamAccountName Get-ADObject -Filter {SamAccountName -eq "asanmartin"} -IncludeDeletedObjects | RestoreADObject