بازيابي اشياء پاک شده در اکتيودايرکتوري Active Directory Recycle Bin(fa-IR)
در صورت پاک شدن تصادفي هر يک از اشيا اکتيو دايرکتوري يکي از راه هاي بازيابي آن بازگرداندن آخرين بک آپ گرفته شده از اکتيو دايرکتوري ميباشد و اين امر نيازمند اجرا در حالت DSRM (Directory Services Restore Mode) , ريستارت AD DS و ريبوت دومين کنترلر و نتيجتا توقف در ارائه سرويس به کاربران و Downtime داشته و بادر نظر گرفتن اينکه شئ پاک شده به زمان گرفتن بک آپ بازميگردد و تغييرات پس از بک آپ در آن اعمال نميشود ميتوان گفت اين راه بازگرداني نيز همانند ساير روشهاي موجود (Authoritative Restore - Tombstone Reanimation و ..) گزينه چندان مناسبي نميباشد و به همين دليل ما در اين مقاله به بررسي قابليت بازيافت اشياء پاک شده در اکتيودايرکتوري ميپردازيم.
اين قابليت که از گزينه هاي اختياري سيستم عامل 2008R2 ميباشد به ما اين امکان را ميدهد که اشياء پاک شده از اکتيو را با حفظ تمام ويژگي ها و دسترسي هاي آن اشياء به اکتيو بازگردانيم , به طور مثال اگر شي پاک شده اکانت کاربري بوده که در بسياري از گروه ها عوض بوده است , پس از بازيافت سطح دسترسي و عضويت آن در تمامي گروهها با حالت قبل از پاک شدن عينا يکسان ميباشد.
بازيافت اشياء پاک شده از اکتيو شامل سه مرحله ميباشد و درصورت تحقق مرحله اول انجام سایر مراحلدر زمان بسیار کمی امکان پذیر بوده و تنها علت طولانی شدن این مقاله نمایش روش انجام هر مرحله از چندطريق ازجمله PowerShell و Ldp.exe میباشد :
- مرحله اول : فراهم سازي پيش نيازهاي لازم جهت فعالسازي اين قابليت
- مرحله دوم : فعالسازي قابليت بازيافت اکتيودايرکتوري
- مرحله سوم :بازيابي شي پاک شده
مرحله اول : پيش نيازهاي لازم جهت فعالسازي قابليت بازيافت اکتيودايرکتوري :
- آماده سازي فارست از طریق اجرای کامند adprep /forestprep بر روی forest Schema Master
- آماده سازي دومین از طریق اجرای دستور adprep/domainprep/gpprep برروی سرور داراي نقش infrastructure operations master
- اجراي دستور adprep /rodcprep در صورت وجود RODC
- ارتقاء سیستم عامل تمامي دومین کنترلرهاي فارست به 2008R2
- بالابردن سطح کارکرد فارست تا 2008R2
انجام اين امر با داشتن سطح دسترسي Enterprise admin و از طريق روشهاي زير مقدور ميباشد:
از طریق محیط گرافیکی :
- وارد استارت , Administrative tools شده و سپس Active Directory Domains and Trusts را انتخاب نمایید.
- برروی گزینه Active Directory Domains and Trusts راست کلیک و گزینه Raise Forest Functional Level را انتخاب و از لیست موجود Windows server 2008R2 را انتخاب نمایید.
از طريق Active Directory Module for Windows PowerShell :
Set-ADForestMode –Identity <MyDomain name> -ForestMode Windows2008R2Forest
از طريق Ldp.exe :
- وارد استارت , run شده و ldp.exe را تايپ نماييد.
- درداخل گزينه connection برروي connect و پس از آن برروي Bind کليک نماييد.
- در داخل گزينه View برروي Tree و سپس در داخل کادر BadeDN ميبايستي configuration directory partition را انتخاب نماييد.
- حال برروي Configuration که در سمت چپ اضافه گرديده دبل کليک نموده و در CN=Partitions container راست کليک و Modify را انتخاب نماييد.
- مطابق شکل 1 در اينجا msDS-Behavior-Version را در قسمت Edit Entry Attribute و عدد 4 را در قسمت Values وارد نموده و گزينه replace را در کادر Operation انتخاب نماييد و برروي enter کليک نماييد.
- با انتخاب گزينه Run در همين بخش , سطح کارکرد فارست شما به 2008R2 ارتقاء خواهد يافت.
شکل 1.بالابردن سطح کارکرد فارست FFL از طريق Ldp
مرحله دوم : فعالسازي قابليت بازيافت اکتيودايرکتوري Enabling Active Directory Recycle Bin
پس از ارتقاء سطح کارکرد فارست از طريق اعمال يکي از روشهاي زير با سطح دسترسي ادمين ميتوان Active Directory Recycle Bin را فعال نمود.
تنها کافیست بر روی AD PowerShell راست کلیک کرده و با دسترسی ادمین دستور زیر را وارد و اجرا نمایید.
Enable-ADOptionalFeature -Identity <ADOptionalFeature> -Scope <ADOptionalFeatureScope> -Target <ADEntity>
به طور مثال جهت ارتقاء mahan.com ميبايستي به شيوه زير عمل نماييد:
به طور مثال جهت ارتقاء
mahan.com
ميبايستي به شيوه زير عمل نماييد:
Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=mahan,DC=com’ –Scope ForestOrConfigurationSet –Target ‘mahan.com’
Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=mahan,DC=com’ –Scope ForestOrConfigurationSet –Target ‘
’
- هرآنچه که در کادر DN ميباشد را پاک نماييد.
- مطابق شکل 2 در اينجا enableOptionalFeature را در قسمت Edit Entry Attribute و مقدار
CN=Partitions,CN=Configuration,DC=mahan,DC=com:766ddcd8-acd0-445e-f3b9-a7f9b6744f2a را در قسمت Values وارد نموده و گزينه Add را در کادر Operation انتخاب نماييد و برروي enter کليک نماييد(بافرض اينکه اين امر جهت mahan.com در حال انجام ميباشد) .
- با انتخاب گزينه Run در همين بخش , قابليت بازيافت اکتيودايرکتوري فعال خواهد شد.
نکته : 766ddcd8-acd0-445e-f3b9-a7f9b6744f2a همان شناسه منحصربفرد عمومي يا GUID مربوط به Active Directory RecycleBinمیباشد . شکل 2. فعالسازي قابليت بازيافت اکتيودايرکتوري از طريق Ldp
نکته :
مرحله سوم : بازيابي شي پاک شده از اکتيودايرکتوري Restore a Deleted Active Directory Object
یکی از ساده ترین روشهای انجام این مرحله استفاده از نرم افزار هاي رایگان کمکی جهت بازیابی اشیا مانند POwerGUI و ADrestore بوده ولي ما دراینجا تنهابه انجام این مرحله از طرق زیر میپردازیم:
Get-ADObject-Filter {String} -IncludeDeletedObjects | Restore-ADObject
به طور مثال جهت بازگرداندن تنهایک شی Display name = Mary :
به طور مثال جهت بازگرداندن تنهایک شی
Display name =
Get-ADObject -Filter {displayName -eq "Mary"} -IncludeDeletedObjects | Restore-ADObject
بازگرداندن چندین شی با هم و یا یک OU با اعضای داخلی آن با دستورات دیگری انجام میپذیرد(Restore a Deleted Active Directory Object)
بازگرداندن چندین شی با هم و یا یک
OU
با اعضای داخلی آن با دستورات دیگری انجام میپذیرد(Restore a Deleted Active Directory Object)
- درداخل گزينه option برروي control کليک نماييدو در قسمت Load Predefined گزينه Return deleted objects را از ليست موجود انتخاب و بررويok کليک نماييد.
- در داخل گزينه View برروي Tree و سپس در داخل کادر BadeDN ميبايستي DC=mydomain,DC=com را انتخاب نماييد( نام دومين خود بجاي mydomain و com ).
- حال در صورتي که برروي DC=mydomain,DC=com که در سمت چپ میباشد دبل کليک نماييد خواهيد ديد که CN=Deleted Objects اضافه گرديده است.
- CN= Deleted Objects را انتخاب و از زیر مجموعه آن برروی یکی از اشیاء پاک شده راست کلیک و Modify را انتخاب نماييد.
- isDeleted را در قسمت Edit Entry Attribute وارد نموده و قسمت Values را خالی گذاشته و گزينه Delete را در کادر Operation انتخاب نماييد و برروي enter کليک نماييد.
- مجددا distinguishedName را در قسمت Edit Entry Attribute و DN شی پاک شده مد نظر را در قسمت Values وارد نموده و گزينه Replaceرا در کادر Operation انتخاب نماييد وبعد از زدن تیک Extended برروي enter و سپس Run کليک نماييد.
EnableActiveDirectoryRecycleBin http://4sysops.com/archives/how-to-use-enable-and-use-active-directory-recycle-bin