none
Copia a una carpeta temporal de los ficheros borrados en un Active Directory? RRS feed

  • Pregunta

  • Hola.

    Soy nuevo en la administración del Active Directory y ando un mucho perdido.

    Les comento lo que queremos hacer: Cuando se borre un fichero/carpeta del Active Directory, que el mismo sea copiado (movido) a una carpeta temporal por si se trata de un borrado accidental. El mismo está en un RAID 1 y no sacamos copia de seguridad (con la frecuencia debida).

    Sería interesante el que también duplicara la ruta del elemento/s borrado.

    También podría valer un programa que esté ejecutándose en el servidor.

    ¿Es esto posible?

    Muchas gracias por sus repuestas.

    viernes, 22 de junio de 2012 8:10

Respuestas

  • Miguel_Po,

    Creo estas mezclando los conceptos, el recycle bin de AD 2008 sirve para usuarios grupos en fin, objetos de active directory, que no estan relacionados con ficheros y carpetas ya que esto es a nivel de NTFS.

    En tu caso tienes dos cosas distintas

    1 . Si quieres recuperar de manera rapida objetos borrados de Active Directory y esto incluye (Usuarios o grupos de AD por ejemplo) estarias yendo por el buen camino
    2 . Si lo que quieres es tener tolerancia a fallos por borrado de carpetas de tus usuarios y esto esta relacionado a NTFS y no Active Directory necesitas ir por una solucion de respaldo, o bien tolerancia a fallos como DFS Replication para poder tener alta disponibilidad de tus archivos si es que estas refiriendote a un File Server.


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos

    viernes, 22 de junio de 2012 10:24
    Moderador
  • Buenos Dias,

    Correcto, para ficheros y carpetas no sirve el recycle bin de AD eso es solo para objetos de active directory. Por el tema de borrado de archivos tienes que tener una buena estrategia de backup y organizar tu file server de acuerdo a lo que los usuarios necesitan.

    Si tu tienes un file server el cual tiene carpetas para Sistemas , Administracion etc. Deberias crear grupos que tengan permiso solo sobre las rutas que ellos precisen, a eso sumarle una estrategia de backup, y dar los minimos permisos necesarios. Si alguien tiene permisos para borrar archivos y los borra no hay nada que puedas hacer, por lo cual te recomiendo hacer un diseño en cuanto a permisos de tu file server , como asi tambien pensar en una estrategia de backup para poder recuperarte de borrados accidentales en el caso de ser necesario.


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos

    sábado, 23 de junio de 2012 20:25
    Moderador
  • Miguel_Po, para confirmarte, no es lo mismo el procedimiento para recuperar "objetos del directorio" (usuarios, unidades organizativas, grupos, etc.), que "objetos del sistema de archivos" (carpetas y archivos)

    Hay una opción muy buena y poco conocida para recuperar no sólo archivos borrados accidentalmente, sino además modificados, pudiendo recuperar versiones anteriores

    No encuentro ahora un enlace con la explicación en español, pero mira el siguiente (en inglés)

    Create and Restore Shadow Copies on Windows Server 2008:
    http://technet.microsoft.com/en-us/magazine/dd637757.aspx

    Si tuvieras un W2003, se habilita desde las propiedades del disco, y es válido únicamente cuando se acceden a carpetas compartidas a través de la red

    Y de todas formas *no hay RAID* ni ningún otro método que reemplace a una copia de seguridad (Backup). Están "jugando con fuego"
    Piensa solamente en qué sucedería si ese servidor no volviera a arrancar
    Dices que no piensas que pueden fallar dos discos al mismo tiempo ¿y la placa controladora de los discos? ;)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    sábado, 23 de junio de 2012 23:01
    Moderador
  • Miguel,

    Tal cual como dijo guillermo hay muchas caracteristicas que se pueden utilizar, pero la mejor forma de asegurarte que estas cubierto de riesgos es teniendo una estrategia de backup y restore, cabe aclarar que la frecuencia de los backups debera estar asociada a la necesidad de recuperar informacion, cantidad de cambios se efectuen. Por ejemplo, si haces un backup diario y en el dia crean y borran un archivo tu no tendras control sobre eso.

    El cuidado de los archivos es algo personal, como administradores podemos reducir riesgos lo mas posible pero en cierto punto el usuario tiene responsabilidad para poder cumplir su trabajo.

    1. Podemos asegurarnos de que cada usuario pueda leer, escribir solo en los archivos que necesita. Es el usuario quien es responsable por esta informacion

    2 . Debemos evitar que ese mismo usuario pueda ver o modificar informacion que no corresponde a su area para poder evitar una mala intencion

    3 . Debemos asegurar una estrategia de backup y restore teniendo en cuenta la frecuencia en la que tomemos los backups, ya que esto nos dara disponibilidad parcial o total en caso de un incoveniente o borrado accidental.

    Creo que con este thread ya tienes bastante trabajo para comenzar :)


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos

    domingo, 24 de junio de 2012 16:17
    Moderador
  • Están integrados, aunque los procedimientos de copia y recuperación sean distintos :)

    El servicio de directorio (Active Directory), permite administrar el acceso de las cuentas (usuarios, grupos, etc.) a los recursos (archivos y servicios)

    Los problemas de fiabilidad los puedes tener con cualquier componente, no sólo los discos. En la respuesta anterior comenté de la placa de la controladora de discos, pero puede ser cualquier componente del sistema. Inclusive componentes que luego no puedas reponer porque no se fabrican más.

    Respecto a determinar la frecuencia de Backup, debes responderla tú mismo haciendote la siguiente pregunta: ¿cuánto tiempo de trabajo estoy dispuesto a perder?

    Si haces Backup una vez al mes, es que estás dispuesto a perder el trabajo de hasta un mes :)

    Y si llegara a haber un borrado accidental, bueno, tu sabrás cuánto se puede llegar a borrar de una sola vez

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    domingo, 24 de junio de 2012 21:29
    Moderador
  • No hay en Windows "papelera" si se borra a través de la red. Hay aplicaciones de terceros. Deberías buscar en la web, no conozco ninguna que pueda recomendarte

    Por el tema de archivos modificados más de una vez entre cada "shadow" la única solución es hacer los "shadow" más seguidos, es configurable si te fijas.
    Pero ten en cuenta que esto además de consumir recursos en el servidor, hace también que pierdas antes las versiones anteriores, ya que cuando se llena el espacio, comienza a eliminar lo más viejo

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 25 de junio de 2012 18:09
    Moderador
  • http://www.condusiv.com/products/undelete/

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 26 de junio de 2012 18:39
    Moderador

Todas las respuestas

  • Me auto respondo ...

    Encrontré este enlace: http://technet.microsoft.com/es-es/library/dd392261%28v=ws.10%29

    Creo hace todo lo que pretendo (solo para Win Server 2008 RC2 y 2012). Solo me falta probarlo y ver que realmente funciona.

    Saludos.

    viernes, 22 de junio de 2012 9:28
  • Miguel_Po,

    Creo estas mezclando los conceptos, el recycle bin de AD 2008 sirve para usuarios grupos en fin, objetos de active directory, que no estan relacionados con ficheros y carpetas ya que esto es a nivel de NTFS.

    En tu caso tienes dos cosas distintas

    1 . Si quieres recuperar de manera rapida objetos borrados de Active Directory y esto incluye (Usuarios o grupos de AD por ejemplo) estarias yendo por el buen camino
    2 . Si lo que quieres es tener tolerancia a fallos por borrado de carpetas de tus usuarios y esto esta relacionado a NTFS y no Active Directory necesitas ir por una solucion de respaldo, o bien tolerancia a fallos como DFS Replication para poder tener alta disponibilidad de tus archivos si es que estas refiriendote a un File Server.


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos

    viernes, 22 de junio de 2012 10:24
    Moderador
  • Hola. Gracias por tu respuesta.

    Soy un novato en Active Directory (AD) ...

    El AD está instalado en un RAID 1 y no se sacan copias de seguridad. Si un usuario borra (accidentalmente) desde su puesto un fichero/carpeta del AD, se realizará en todos los HD del RAID y al no tener backups no podré recuperar la información.

    Lo que me interesa es poder tener una utilidad similar a la Papelera de reciclaje de Windows, de forma que lo borrado pueda ser recuperado desde este "elemento" en un tiempo prudencial.

    ¿El Active Directory Recycle Bin no es capaz de realizar esta tarea?

    ¿Solamente sirve a nivel de administración (usuarios, grupos,  políticas ...) pero no para los ficheros y carpetas administrados?

    Muchas gracias.

    viernes, 22 de junio de 2012 12:27
  • Leyendo tu respuesta de nuevo entiendo que para los Ficheros y Carpetas no vale ¿verdad? ¿conoces alguna forma de implementarlo?

    En principio confiamos en el RAID 1 como seguridad (esperamos que no nos fallen 2 HD al mismo tiempo), pero eso nos deja el borrado de ficheros.

    Incluso he pensado en un servicio que detecte el borrado y mueva/copie la información a una carpeta temporal (algo similar a lo que hace el FileSystemWatcher de Visual Studio, pero este no detecta borrados múltiples y tampoco tengo claro que pueda actual antes).

    Saludos.

    viernes, 22 de junio de 2012 12:33
  • Buenos Dias,

    Correcto, para ficheros y carpetas no sirve el recycle bin de AD eso es solo para objetos de active directory. Por el tema de borrado de archivos tienes que tener una buena estrategia de backup y organizar tu file server de acuerdo a lo que los usuarios necesitan.

    Si tu tienes un file server el cual tiene carpetas para Sistemas , Administracion etc. Deberias crear grupos que tengan permiso solo sobre las rutas que ellos precisen, a eso sumarle una estrategia de backup, y dar los minimos permisos necesarios. Si alguien tiene permisos para borrar archivos y los borra no hay nada que puedas hacer, por lo cual te recomiendo hacer un diseño en cuanto a permisos de tu file server , como asi tambien pensar en una estrategia de backup para poder recuperarte de borrados accidentales en el caso de ser necesario.


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos

    sábado, 23 de junio de 2012 20:25
    Moderador
  • Miguel_Po, para confirmarte, no es lo mismo el procedimiento para recuperar "objetos del directorio" (usuarios, unidades organizativas, grupos, etc.), que "objetos del sistema de archivos" (carpetas y archivos)

    Hay una opción muy buena y poco conocida para recuperar no sólo archivos borrados accidentalmente, sino además modificados, pudiendo recuperar versiones anteriores

    No encuentro ahora un enlace con la explicación en español, pero mira el siguiente (en inglés)

    Create and Restore Shadow Copies on Windows Server 2008:
    http://technet.microsoft.com/en-us/magazine/dd637757.aspx

    Si tuvieras un W2003, se habilita desde las propiedades del disco, y es válido únicamente cuando se acceden a carpetas compartidas a través de la red

    Y de todas formas *no hay RAID* ni ningún otro método que reemplace a una copia de seguridad (Backup). Están "jugando con fuego"
    Piensa solamente en qué sucedería si ese servidor no volviera a arrancar
    Dices que no piensas que pueden fallar dos discos al mismo tiempo ¿y la placa controladora de los discos? ;)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    sábado, 23 de junio de 2012 23:01
    Moderador
  • Hola.

    Muchas gracias por las respuestas.

    La verdad es que es una lástima que no esté todo integrado en el Active Directory, he estado haciendo pruebas con el VSS (Volume Shadow Copy Service) y he conseguido alguna cosilla, me falta probar más afondo y con volúmenes grandes de datos (lo más complicado llegar a hacer la prueba ;-).

    Sobre lo que comentas de los problemas de fiabilidad que se puede presentar, en parte estoy de acuerdo contigo. No obstante la RAID creo que es doble (redundante) y creo que hay formas de recuperarse de un fallo de este hardware. Me preocupa mucho más el volumen de datos que por error se puedan borrar ... si estos superar el tamaño asignado, pues se perderá información. El lunes comentaré la necesidad de sacar al menos una copia completa cada cierto tiempo (día, semana, mes) por si acaso.

    Reitero las gracias.

    Un cordial saludo.

    domingo, 24 de junio de 2012 11:14
  • Miguel,

    Tal cual como dijo guillermo hay muchas caracteristicas que se pueden utilizar, pero la mejor forma de asegurarte que estas cubierto de riesgos es teniendo una estrategia de backup y restore, cabe aclarar que la frecuencia de los backups debera estar asociada a la necesidad de recuperar informacion, cantidad de cambios se efectuen. Por ejemplo, si haces un backup diario y en el dia crean y borran un archivo tu no tendras control sobre eso.

    El cuidado de los archivos es algo personal, como administradores podemos reducir riesgos lo mas posible pero en cierto punto el usuario tiene responsabilidad para poder cumplir su trabajo.

    1. Podemos asegurarnos de que cada usuario pueda leer, escribir solo en los archivos que necesita. Es el usuario quien es responsable por esta informacion

    2 . Debemos evitar que ese mismo usuario pueda ver o modificar informacion que no corresponde a su area para poder evitar una mala intencion

    3 . Debemos asegurar una estrategia de backup y restore teniendo en cuenta la frecuencia en la que tomemos los backups, ya que esto nos dara disponibilidad parcial o total en caso de un incoveniente o borrado accidental.

    Creo que con este thread ya tienes bastante trabajo para comenzar :)


    Sebastian del Rio - MCP - MCSA +S - MCSE +S - MCITP:Enterprise Administrator Buenos Aires - Argentina Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho. Ud. asume los riesgos

    domingo, 24 de junio de 2012 16:17
    Moderador
  • Están integrados, aunque los procedimientos de copia y recuperación sean distintos :)

    El servicio de directorio (Active Directory), permite administrar el acceso de las cuentas (usuarios, grupos, etc.) a los recursos (archivos y servicios)

    Los problemas de fiabilidad los puedes tener con cualquier componente, no sólo los discos. En la respuesta anterior comenté de la placa de la controladora de discos, pero puede ser cualquier componente del sistema. Inclusive componentes que luego no puedas reponer porque no se fabrican más.

    Respecto a determinar la frecuencia de Backup, debes responderla tú mismo haciendote la siguiente pregunta: ¿cuánto tiempo de trabajo estoy dispuesto a perder?

    Si haces Backup una vez al mes, es que estás dispuesto a perder el trabajo de hasta un mes :)

    Y si llegara a haber un borrado accidental, bueno, tu sabrás cuánto se puede llegar a borrar de una sola vez

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    domingo, 24 de junio de 2012 21:29
    Moderador
  • Gracias por los consejos. Buscaremos un sistema de copia de seguridad, por lo que pudiese pasar.

    Hemos hecho pruebas con Shadow Copies (VSS) en un Windows 2012 Server RC y en general hace todo lo que queremos con un par de problemas (el sistema funcionará finalmente bajo Windows 2008 Server R2):

    - No avisa, NO llama la atención sobre los ficheros/carpetas modificados o eliminados.

    - Si un fichero se crea entre dos periodos de creación de Shadow Copies, el mismo se pierde.

    ¿No tiene Windows ni el Active Directory nada para que estos ficheros vayan a una carpeta temporal o papelera?. En Linux (conexión a través de Samba) si lo tiene (desconozco como está implementado o como se llama) y funciona bien. ¿Algo similar a que capture el borrado en determinada unidad y mueva/copie los elementos afectados a esta carpeta temporal?

    Saludos y reitero las gracias.




    • Editado Miguel_Po lunes, 25 de junio de 2012 10:28
    lunes, 25 de junio de 2012 9:30
  • No hay en Windows "papelera" si se borra a través de la red. Hay aplicaciones de terceros. Deberías buscar en la web, no conozco ninguna que pueda recomendarte

    Por el tema de archivos modificados más de una vez entre cada "shadow" la única solución es hacer los "shadow" más seguidos, es configurable si te fijas.
    Pero ten en cuenta que esto además de consumir recursos en el servidor, hace también que pierdas antes las versiones anteriores, ya que cuando se llena el espacio, comienza a eliminar lo más viejo

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 25 de junio de 2012 18:09
    Moderador
  • Gracias por todo.

    He buscado aplicaciones de terceros, pero no he encontrado nada. El problema es que principalmente me lleva a cuestiones de papelera y recuperación de programas borrados.

    Saludos.

    martes, 26 de junio de 2012 6:53
  • http://www.condusiv.com/products/undelete/

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Notas Windows Server
    MVP - MCT - MCSE - MCSA
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    martes, 26 de junio de 2012 18:39
    Moderador