Professional Documents
Culture Documents
Cuando eliminamos un objeto de Active Directory, no estamos borrndolo de inmediato, sino que marcamos dicho objeto para eliminarlo en un futuro. Active Directory utiliza un modelo de replicacin que se caracteriza por ser "multi-master loose consistency with convergence", entonces se pueden hacer cambios en cualquier DC en el bosque, y los cambios se replicaran gradualmente por toda nuestra arquitectura de domain controllers. Entonces repetimos, cuando se elimina un objeto del directorio, no elimina fsicamente los objetos de la base de datos. En su lugar, Active Directory marca el objeto como eliminado por valor de atributo isDeleted del objeto a TRUE, despojando a la mayora de los atributos del objeto, cambiar el nombre del objeto, y despus de mover el objeto a un contenedor especial en el contexto de nombres del objeto (CN) llamado CN = DeletedObjects. El objeto, que ahora se llama una tombstone, es invisible para las operaciones de directorio normal. Obviamente, los objetos no se quedan en este contenedor indefinidamente. La duracin de este estado es por defecto es de 60 das para los bosques construidos inicialmente utilizando Windows 2000 y Windows Server 2003, y 180 das para los bosques que fueron construidos inicialmente con Windows Server 2003 SP1. Tambin podemos cambiar este tiempo de vida en el limbo, cambiando el atributo tombstoneLifetime de CN=Directory Service,CN=Windows NT, CN=Services,CN=Configuration, DC= object. Cada 12 horas, cada controlador de dominio se inicia el proceso de recoleccin de basura (garbage collection process). Esto se puede cambiar modificando el valor del atributo garbageCollPeriod de la CN=Directory Service,CN=Windows NT, CN=Services,CN=Configuration,DC= object. Est recoleccin de basura analiza todos los Tombstone del DC y se eliminan fsicamente los que son ms antiguos que la fecha de dicho Tombstone. El contenedor DeletedObjects se encuentra oculta y no se puede ver mediante la consola Active Directory Users and Computers o por ADSIEDIT.MSC, pero podemos usar el LDP.EXE.
En este ejemplo vamos a borrar un usuario y luego recuperarlo En este ejemplo se elimin el usuario Rico Madagascar
Para recuperar el objeto con la utilidad ldp, iniciamos sesin en un controlador de dominio, luego ejecutamos una ventana CMD con permiso de administrador
Pulsamos OK
Seleccionamos OK
1. En Edit Entry Attribute escribimos isDeleted 2. En operation seleccionamos Delete 3. Seleccionamos Enter
1. En Edit Entry Attribute escribimos distinguishedName 2. En Values CN=Madagascar,OU=Usuarios,OU=micasa,DC=micasa,DC=cl (Esta es la unidad organizativa donde se encontraba el objeto) 3. En operation seleccionamos Replace 4. Seleccionamos Enter 5. Seleccionamos Extended 6. Seleccionamos Run 7. Seleccionamos Close
Para habilitar la papelera de reciclaje no tenemos ms obligacin que apoyarnos en otra de las novedades del Directorio Activo en Windows Server 2008 R2, el Mdulo de PowerShell para Active Directory. 1. En uno de los controladores de dominio, seleccionar Inicio, Herramientas Administrativas, y finalmente Mdulo de Active Directory para Windows PowerShell. 2. En el smbolo del sistema de PowerShell, escribir el siguiente comando, con la variacin del dominio que tenga cada uno. El dominio con el que yo voy a micasa.cl Enable-ADOptionalFeature Identity CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=micasa,DC=cl Scope ForestOrConfigurationSet Target micasa.cl
Para recuperar la cuenta ejecutamos el siguiente comando Get-ADObject -Filter {displayName -eq "Alex San Martin"} -IncludeDeletedObjects | RestoreADObject Nota: Tambin podemos usar el campo SamAccountName Get-ADObject -Filter {SamAccountName -eq "asanmartin"} -IncludeDeletedObjects | RestoreADObject