PowerShell

Відновлення віддалених об'єктів в Active Directory

Відновлення віддалених об'єктів в Active Directory

Видаляючи будь -який об’єкт в Active Directory (користувач, група, комп'ютер або OU), ви можете відновити його. У цій статті ми розглянемо, як відновити віддалений об’єкт у AD за допомогою PowerShell та Graphic Tools.

По -перше, ми розберемося, що відбувається, коли об’єкт буде знятий з каталогу AD. Поведінка AD при видаленні об’єктів залежить від того, чи є відро для переробки Active Directory (за замовчуванням вимкнено). В обох випадках об'єкт не видаляється фізично, але позначений як віддалений (атрибут Здивований = правда) і переходить до спеціального контейнера Видалені об'єкти (не відображається в звичайних елементах управління MMC AD). Однак за допомогою кошика AD всі атрибути та членство в групах залишаються.

За замовчуванням протягом 180 днів (визначається в атрибуті домену MSD-deletedObjectLifeTime) Ви можете відновити віддалений об'єкт. Якщо цей період пройшов, об'єкт все ще знаходиться в контейнері видалених об'єктів, але більшість його атрибутів та з'єднань очищаються (перероблений об'єкт). Після закінчення періоду Tombstonelifetime (За замовчуванням також є 180 днів, але ви можете збільшити) Об'єкт повністю вилучений з AD за допомогою процесу автоматичного очищення і не може бути відновлений (лише їх резервні копії контролера можуть бути відновлені доменними оголошеннями).

Зміст:

Кошик AD (Active Directory Bin)

Ad bin Доступний в Active Directory, починаючи з функціонального рівня домену Windows Server 2008 R2. У попередніх версіях Windows Server процес відновлення реклами також можливий, але він вимагає досить складних маніпуляцій за допомогою утиліт Ntdsutil (До авторитетного відновлення з резервного копіювання реклами в режимі відновлення служби каталогу) або LDP.Екзе. Крім того, завдяки кошику ви не втратите атрибути об'єкта та членства в групах.

Перевірте функціональний рівень лісу (у моєму прикладі Windows2016Forest):

Get -dferest | select -Object Forestmode

Це та наступні команди вимагають встановленого активного модуля для каталогу PowerShell.

Перевірте, чи ввімкнено кошик для вашого домену (він відключений за замовчуванням):

Get-doptionalFeature "Особливість рециркуляції" | Виберіть -Object Name, enabledScopes

Якщо значення Увімкнимості Не порожній, тому у вашому доменному кошику Active Directory вже ввімкнено.

Якщо вам потрібно ввімкнути відро для переробки активних каталогів, командир використовується Увімкнути:

Увімкнути adoptionalfeature -Identity 'cn = функція рециркуляції, cn = необов'язкові функції, cn = служба каталогів, cn = windows nt, cn = services, cn = configurationdc = winitpro, dc = ru' -scope forestonconfigurationset -target 'winitpro.ru '

Примітка. Кошик оголошення потрібно включити, перш ніж ви зняли об’єкт з домену. Увімкнувши відро для переробки Active Directory, ви не можете його відключити. Детальніше про кошик оголошення див. У статті.

Відновлення віддаленого користувача Active Directory

Давайте спробуємо видалити рекламу користувача, а потім відновити його з реклами.

Використовуючи командира GET-DUSER, ми відобразимо атрибут користувача-делеції (він порожній).

Get-duser a.Новак -Пропетики *| Виберіть -Object IsDeleted

Тепер видаліть обліковий запис користувача:

Видалити-подавець a.Новак

Щоб знайти віддалений обліковий запис користувача в кошику AD, використовуйте командира Get-Dobject з параметром Включені печальники:

Get -dobject -filter 'ім'я -подібне "*novak*" " -включаючи об'єкти

Як бачите, користувач був знайдений у контейнері Видалені об'єкти.

Перевірте значення атрибута Здивований, Контейнер, в якому користувач був до зняття (Остання відомий), а також список груп, в яких він складався:

Get -dobject -filter 'ім'я -схоже на "*novak*" "-окуляторедедоб'єкти -properties*| Виберіть -Object Name, SamaccountName, Last Inthenparent, Mamberof, IsDeleted | FL

Якщо ви не пам’ятаєте назви користувача, який був видалений, ви можете відобразити повний список об'єктів, доступних у Active Directory:

Get -dobject -filter видалений -eq $ true -and objectclass -eq "користувач" -inkludededobjects

Щоб відновити обліковий запис користувача, скопіюйте значення атрибута Об'єкт І виконати команду:

Відновити-об'єкт -Дідиціональність '3DC33C7C-B912-4A19-B1B7-415C1395A34E'

Або ви можете відновити користувача його SamaccountName:

Get -dobject -filter 'samaccountname -eq "a.novak '' -оклюдедедоб'єкти | Відновити -adobject

Відкрийте консоль Aduc і перевірте, чи був відновлений обліковий запис користувача в тому ж ОУ, де це було до зняття.

Ви також можете відновити віддалений об'єкт з графічної консолі Адміністраційний центр Active Directory.

  1. Запустити консоль DSAC.Екзе;
  2. Знайдіть контейнер Видалені об'єкти, Він містить усі віддалені об'єкти AD;
  3. Клацніть на об'єкт, який потрібно відновити та вибрати Відновлення (для відновлення в джерелі ОУ), або Відновити (відновлення в довільному розділі AD);

Аналогічно, ви можете відновити віддалену групу, комп'ютер або контейнер в Active Directory.

Відновити віддалену групу:

Get -dobject -filter видалений -eq $ true -and objectclass -eq 'група' -і імені'like '*дозволити*' -incloudededobjects | Відновити -dobject -verbose

Відновити комп’ютер:

Get -dobject -filter видалений -eq $ true -and objectclass -eq 'комп'ютер' -і імені'like '*spb -fs02*' -includeletedobjects | Відновити -dobject -verbose

Відновлення віддалених ОУ та вкладених предметів з PowerShell

Наприклад, у вас є опція інвалідів на деякому ОУ "Захистіть предмет від випадкового видалення"І ви випадково видалили ОУ з усіма користувачами, комп'ютерами та групами.

Спочатку вам потрібно відновити корінь ou:

Get -dobject -filter видалений -eq $ true -and objectclass -eq 'orsancationalUnit' -і name -like '*spb*' -incloudededobjects | Відновити

Тоді всі вкладені ou:

Get -dobject -filter видалений -eq $ true -and objectclass -eq 'orboicationalUnit' -and last Inthenpharent -eq 'ou = spb, dc = winitpro' -incloudeletedobebects | Відновити

Тепер ви можете відновити всі віддалені об'єкти в цих ОУ відповідно до останнього параметра (користувачів, комп’ютерів, груп, контактів):

Get -dobject -filter видалений -eq $ true -includededobjects -properties *| Що -Object antebletherparent -like '*ou = spb, dc = winitpro, dc = ru' | Відновити

Як оновити до Windows 11 без TPM
Як завжди, після виходу нової версії найпопулярнішої операційної системи від Microsoft, шквал критики користувачів впав на розробників. ОС вікна 11 тр...
Як збільшити об'єм у Shrome за допомогою майстра обсягу
Якщо об'єм звуку аудіо або відео, відтвореного в браузері. Власники ноутбуків із вбудованими динаміками позбавлені цієї переваги, будь -які спроби збі...
Як створити резервну копію налаштувань робочого столу та програм UWP у Windows 10
Не всі програми дозволяють зберегти свої локальні налаштування у файлі, і зрештою, якщо ви думаєте добре, ця функція буде в нагоді, оскільки завдяки ц...