NAKIVO > Blog > Multiplatform

Jak odzyskać usunięte obiekty usługi Active Directory: Kompletny przewodnik

Updated: 7 maja, 2026

Autor:: Zespół NAKIVO

Jako globalna usługa katalogowa służąca do uwierzytelniania, zapewniająca scentralizowane zarządzanie zasobami infrastruktury IT, Active Directory (AD) jest jedną z najważniejszych aplikacji biznesowych. Oznacza to, że w przypadku awarii szybkie odzyskiwanie sprawności ma kluczowe znaczenie dla ograniczenia przestojów w działaniu usług. AD zazwyczaj zawiera wiele obiektów zorganizowanych hierarchicznie, przy czym niektóre obiekty są zależne od innych. Proces odzyskiwania może być czasochłonny, ponieważ konieczne jest odtworzenie złożonej struktury hierarchicznej oraz ręczne odtworzenie niektórych danych. W tym wpisie na blogu wyjaśniono, jak odzyskać obiekty Active Directory, które zostały usunięte.

Podstawy odzyskiwania obiektów Active Directory

Proces odzyskiwania AD można rozpocząć za pomocą zintegrowanego narzędzia do tworzenia kopii zapasowych systemu Windows Server lub innego obsługiwanych narzędzia innej firmy. Active Directory oferuje dwie główne metody odzyskiwania:

  • Non-Authoritative Recovery jest domyślną metodą odzyskiwania Active Directory. Metoda ta po prostu przywraca domenę do stanu z momentu wykonania kopii zapasowej i pozwala na regularną replikację w celu nadpisania wszelkich zmian obiektów i kontenerów wprowadzonych później.
  • Authoritative Recovery składa się z dwóch części: odzyskiwania nieautorytatywnego z kopii zapasowej, a następnie odzyskiwania autorytatywnego. Główna różnica polega na tym, że ta metoda pozwala na wprowadzanie autorytatywnych zmian w obiektach i ich atrybutach w całym katalogu. Ten rodzaj odzyskiwania może wpływać na konta komputerów, relacje zaufania i przynależność do grup.

Aby wybrać odpowiednią metodę odzyskiwania AD, należy wziąć pod uwagę następujące kwestie:

  • The cause of the failure: Czy przyczyną jest przypadkowe lub złośliwe usunięcie lub modyfikacja obiektów, które zostały zreplikowane na wszystkie kontrolery domeny, czy też całkowita awaria całej maszyny wirtualnej? W przypadku usunięcia/modyfikacji konieczne jest odzyskiwanie autorytatywne.
  • Roles and functions uszkodzonego serwera Active Directory.

Natywne narzędzia do odzyskiwania usuniętych obiektów AD

Usunięte obiekty AD nie zawsze są wyświetlane w przystawce „Użytkownicy i komputery usługi Active Directory” . Można wyświetlić kontener „Obiekty usunięte” z usuniętymi obiektami AD i odzyskiwać je wyłącznie za pomocą specjalnych narzędzi.

Istnieją dwa podejścia do przywracania usuniętych obiektów w Active Directory (AD) przy użyciu natywnych narzędzi Microsoftu, w tym narzędzi wbudowanych w system Windows Server: z wykorzystaniem Kosza Active Directory oraz bez niego. Istnieje duża różnica między tymi dwoma podejściami.

Odzyskiwanie bez kosza AD

Gdy AD Recycle Bin is disabled, proces usuwania i przywracania obiektów AD przebiega następująco:

  1. Po usunięciu obiekt staje się „tombstonem”.
  2. Obiekt typu „tombstone” jest przechowywany w kontenerze „Deleted Objects” przez okres ustawiony w tombstoneLifetime dla bieżącej domeny. Większość atrybutów zostaje utracona, gdy obiekt staje się „tombstone”, zwanym również obiektem usuniętym.
  3. W okresie ważności „tombstone” można odzyskać obiekt AD, ale bez żadnych dodatkowych informacji zapisanych w jego atrybutach.
  4. Po wygaśnięciu okresu ważności „tombstone” obiekt zostaje fizycznie usunięty bez możliwości jego odzyskania.

Cykl życia obiektu Active Directory przedstawiono na poniższym schemacie w celu zilustrowania zasady przywracania obiektów AD bez korzystania z Kosza AD.

The lifecycle of a deleted Active Directory object when the AD Recycle Bin is disabled

Odzyskiwanie z Kosza AD

Sytuacja zmienia się, gdy turn on Active Directory Recycle Bin:

  1. Po usunięciu obiektu AD jego stan zmienia się na „logicznie usunięty”. Atrybuty obiektu są zachowywane przez okres ustawiony w Czas życia usuniętego obiektu ( msDS-deletedObjectLifetime ), który domyślnie jest równy Czasowi życia obiektu w koszu (180 dni). W tym okresie można przywrócić usunięte obiekty w usłudze Active Directory.
  2. Atrybut isDeleted ma wartość True . Atrybut isRecycled ma wartość False .
  3. Po upływie okresu Deleted Object Lifetime stan obiektu zmienia się z logicznie usuniętego na obiekt w koszu . Obiekt poddany recyklingowi jest podobny do obiektu typu „tombstone”, gdy kosz AD jest wyłączony.
  4. Ten obiekt poddany recyklingowi nadal znajduje się w kontenerze Deleted Objects, dopóki nie upłynie Recycled Object Lifetime zdefiniowany w tombstoneLifetime atrybut. Domyślnie okres ten wynosi 180 dni. Atrybut isRecycled jest ustawiony na True . Większość atrybutów obiektu, które są nadal zachowane w stanie logicznie usuniętym, zostaje usunięta.
  5. Gdy wygaśnie Recycled Object Lifetime ( tombstoneLifetime ), mechanizm czyszczenia pamięci Active Directory całkowicie usuwa obiekt poddany recyklingowi, a obiekt ten zostaje fizycznie usunięty. Odzyskiwanie obiektu nie jest już możliwe.

The lifecycle of a deleted Active Directory object when the AD Recycle Bin is enabled

Kosz Active Directory: co warto wiedzieć

Kosz Active Directory został po raz pierwszy udostępniony w systemie Windows Server 2008 R2 wyłącznie do użytku w środowisku PowerShell. Graficzny interfejs użytkownika (GUI) dla Kosza AD jest dostępny od wersji Windows Server 2012. Domyślnie Kosz AD jest wyłączony.

Przed włączeniem Kosza Active Directory należy zwrócić uwagę na następujące kwestie:

  • Po włączeniu Kosza Active Directory wszystkie obiekty typu tombstone w lesie domeny zostaną usunięte. Oznacza to, że jeśli usuniesz obiekty Active Directory, a następnie włączysz Kosz Active Directory, przywrócenie tych obiektów będzie niemożliwe. Aby odzyskać usunięte obiekty Active Directory, należy skorzystać z innych metod, nie polegając na Koszu, a dopiero potem włączyć Kosz.
  • Włączenie Kosza AD pozwala przywrócić obiekty AD usunięte po włączeniu Kosza AD. Włącz Kosz AD before przed usunięciem obiektów AD.
  • Po włączeniu Kosza AD nie można go wyłączyć. Ta opcja jest nieodwracalna. Wykonaj kopię zapasową kontrolera domeny AD przed włączeniem Kosza AD, jeśli nie masz pewności, czy potrzebujesz tej funkcji na stałe.
  • Włączenie Kosza AD powoduje zmianę schematu Active Directory.
  • Rozmiar Active Directory rośnie, ponieważ obiekty wraz z ich atrybutami są tymczasowo zachowywane w Active Directory po zmianie ich stanu.

Jak przywrócić usunięte obiekty AD za pomocą natywnych narzędzi

Usuniemy obiekty w Active Directory, a następnie omówimy, jak je przywrócić z wykorzystaniem Kosza AD oraz bez niego. Omówimy 4 metody natywne:

  • Przykład 1: Korzystanie z PowerShell
  • Przykład 2: Korzystanie z ADRestore
  • Przykład 3: Korzystanie z Ldp.exe
  • Przykład 4: Przywracanie z Kosza Active Directory

Pierwsze trzy przykłady dotyczą przywracania obiektów AD bez korzystania z Kosza Active Directory. W czwartym przykładzie powinniśmy włączyć Kosz Active Directory, usunąć niektóre obiekty, a następnie je przywrócić.

The environment used in the examples:

  • Kontroler domeny działający w systemie Windows Server 2019, który jest jedynym kontrolerem domeny w lesie domen.
  • Nazwa domeny to ID.TEST
  • Mamy wielu użytkowników – user1 , user2 , user3 itp. będących członkami Group-A w tej domenie AD.

Należy pamiętać, że opisane poniżej metody natywne nie wymagają wyłączania kontrolera domeny i przełączania go w tryb offline w celu przywrócenia usuniętych użytkowników AD.

Przykład 1: Przywracanie obiektów AD w PowerShell (Restore-ADObject)

Usuńmy user1 z Active Directory, a następnie spróbujmy przywrócić user1 obiekt. Operacje te wykonujemy na kontrolerze domeny.

How to delete and restore deleted AD account

Aby przywrócić usuniętego użytkownika AD, wykonaj następujące kroki:

  1. Otwórz PowerShell z uprawnieniami administratora (PowerShell z podwyższonymi uprawnieniami).
  2. Usunięte obiekty znajdują się w kontenerze DeletedObjects i mają flagę isDeleted . Wyświetl usunięte obiekty AD za pomocą polecenia:

Get-ADObject -IncludeDeletedObjects -Filter {IsDeleted -eq $true}

  1. Aby przywrócić obiekt, należy usunąć z niego flagę isDeleted . Musimy przywrócić user1 . Wprowadź polecenie, aby wyświetlić wszystkie obiekty, których nazwy zaczynają się od user . W tym celu dodajemy do filtra następujące opcje: {Isdeleted -eq $true -and Name -like „user*„}

Poniższe polecenie służy do wyświetlenia innych użytkowników, takich jak user2 , user3 itp., jeśli zostali usunięci:

Get-ADObject -IncludeDeletedObjects -Filter {Isdeleted -eq $true -and Name -like "user*"}

How to view information about a deleted AD user in PowerShell

  1. Zwróć uwagę na ObjectGUID lub DistinguishedName dla potrzebnego obiektu. W naszym przypadku używamy ObjectGUID dla user1 :

4c723d90-5a05-47c3-9482-c05dc3c6201c

  1. Aby przywrócić usunięty obiekt, uruchom polecenie w następującej postaci:

Restore-ADObject -Identity "GUID or DistingushedName here" -NewName "new_restore_name"

W naszym przypadku:

Restore-ADObject -Identity "4c723d90-5a05-47c3-9482-c05dc3c6201c" -NewName "user1-restored"

  1. Opcjonalnie można zdefiniować alternatywną lokalizację, w której ma zostać przywrócony bieżący obiekt, używając klucza -TargetPath i ustawiając nazwę wyróżniającą (DN) dla nowej lokalizacji, na przykład:

CN=Users,DC=domain,DC=net

Po uruchomieniu polecenia i przywróceniu obiektu Active Directory nie widzimy user1 w Users katalogu oraz w Group-A gdzie ten użytkownik znajdował się wcześniej.

If you recover deleted AD accounts without the Recycle Bin, group membership is not restored

Dzieje się tak, ponieważ prawie wszystkie atrybuty obiektu są utracone po usunięciu obiektu Active Directory bez użycia Kosza AD, nawet jeśli sam obiekt został przywrócony.

We restore deleted AD accounts and can find the accounts in Domain Users

Przywrócony obiekt AD user1-restored można znaleźć w grupie Domain Users . Nazwa logowania użytkownika jest zapisana wyłącznie w formacie sprzed systemu Windows 2000. Konto użytkownika user1-restored jest wyłączone. Chodzi o to, że oryginalny identyfikator SID zostaje zachowany, a wszelkie uprawnienia NTFS do plików i folderów powiązanych z tym użytkownikiem pozostają ważne.

Only the pre-Windows 2000 logon name is preserved after restoring an AD user

Uwaga: Jeśli zamiast przywrócić usunięty obiekt z rejestru tombstone utworzysz nowy obiekt AD, zostaną przypisane nowe wartości atrybutów objectGUID oraz objectSID , co wymaga aktualizacji odwołań do tego obiektu.

Musimy edytować nazwę logowania, włączyć konto, zaktualizować hasło i dodać tego użytkownika do Group-A . Przywrócenie wszystkich atrybutów i członkostwa poprawnie wymaga wykonania wielu czynności ręcznie.

Przykład 2: Użycie ADRestore do przywrócenia usuniętych użytkowników AD

Kosz Active Directory jest nadal wyłączony w naszym drugim przykładzie.

User2 , który jest członkiem Group-A , zostaje usunięty.

Zamierzamy użyć bezpłatnego narzędzia ADRestore do przywrócenia usuniętych obiektów w Active Directory. Narzędzie to jest dostępne na stronie internetowej Microsoftu:

https://docs.microsoft.com/en-us/sysinternals/downloads/adrestore

  1. Pobierz narzędzie i rozpakuj zawartość archiwum zip do określonego folderu, na przykład C:programsadrestore
  2. Przejdź do tego katalogu w PowerShell:

cd c:programsadrestore

Uruchamiamy PowerShell jako administrator.

  1. Wyświetl informacje o usuniętym user2 podając dokładną nazwę użytkownika w PowerShell z uprawnieniami administratora:

Get-ADObject -Filter 'SAMAccountName -eq "user2"' -IncludeDeletedObjects

Viewing the information about the deleted user in PowerShell

Deleted: True potwierdza, że ten użytkownik został usunięty.

CN=Deleted Objects oznacza, że obiekt (konto użytkownika) został przeniesiony do Deleted Objects kontenera.

  1. Zapisz ObjectGUID dla user2 :

c6c121a3-d664-4d71-a6ef-9ad26b833fe6

  1. Wpisz polecenie przywrócenia obiektu za pomocą adrestore podając ObjectGUID potrzebnego użytkownika:

.adrestore -r c6c121a3-d664-4d71-a6ef-9ad26b833fe6

Wpisz y i naciśnij Enter w celu potwierdzenia i kontynuowania.

How to restore Active Directory object with ADRestore in PowerShell

  1. Po przywróceniu usuniętego obiektu ( user2 ) sprawdź tego użytkownika w oknie Active Directory Users and Computers .

Wynik jest podobny do tego z pierwszego przykładu. user2 zostaje przywrócony bez żadnych dodatkowych danych, takich jak atrybuty i przynależność do grup.

AD recovery – the user is restored

Przykład 3: Przywracanie usuniętych użytkowników AD za pomocą Ldp.exe

Trzecia metoda opisana w naszym przewodniku dotyczącym przywracania usuniętych użytkowników AD 3 nie wymaga korzystania z Kosza AD. W tej metodzie używamy darmowego ldp.exe narzędzia LDAP.

Narzędzie Ldp to natywne narzędzie firmy Microsoft, które jest dostarczane wraz z systemami operacyjnymi Windows Server, takimi jak Windows Server 2008, 2012 itp. Jest to lekki klient LDAP z graficznym interfejsem użytkownika (GUI) w stylu Eksploratora Windows, umożliwiający przeglądanie i edycję wpisów Active Directory.

  1. Kliknij Start > Run (lub naciśnij Win+R).
  2. Wpisz ldp w oknie Uruchom i naciśnij Enter.

Running the Ldp tool for restoring AD objects after deleting

  1. Kliknij Connection > Connect w głównym oknie Ldp.

Connecting to a server in the Ldp.exe utility

  1. Ustaw wymagane parametry w oknie Połącz .

Server: Wprowadź adres IP lub nazwę serwera AD DC.

Port: Domyślnie używane jest 389 lub 636.

Kliknij OK.

Setting up the connection parameters in the Ldp tool

  1. Kliknij Connection > Bind w głównym oknie Ldp.

Binding to Active Directory in the LDP.exe tool

  1. Biorąc pod uwagę, że jesteśmy zalogowani jako administrator domeny na kontrolerze domeny, wybieramy pierwszą opcję:
  • Bind as currently logged on user.

Można skorzystać z drugiej opcji ( Bind with credentials ) i ustawić nazwę użytkownika, hasło oraz domenę, z którą chcesz się połączyć.

Kliknij OK aby kontynuować.

Selecting binding options

  1. Kliknij Options > Controls w głównym oknie Ldp.

W PowerShell z podwyższonymi uprawnieniami możesz uruchomić polecenie, aby wyświetlić informacje o usuniętym użytkowniku.

Get-ADObject -Filter 'SAMAccountName -eq "user3"' -IncludeDeletedObjects

Obiekt objectGUI użytkownika user3 to:

17ede5dc-b527-4ae4-ba5b-3ed50855be80

Wybierz Return deleted objects w menu rozwijanym Load Predefined okna Controls . Naciśnij OK.

Selecting Return deleted objects in Controls to restore deleted AD objects

  1. Kliknij View > Tree w głównym oknie Ldp.

Wprowadź BaseDN . Nazwa naszej domeny to ID.TEST a nasz BaseDN to DC=ID,DC=TEST

Naciśnij OK aby kontynuować.

Entering a baseDN when using Ldp.exe

  1. Przejdź w drzewie do usuniętego obiektu, który chcesz odzyskać ( user3 to w naszym przypadku obiekt, który chcemy przywrócić z Kosza AD). Rozwiń domenę i rozwiń kontener Deleted Objects .
Nazwa naszego użytkownika to user3 . ObjectGUID tego obiektu jest wyświetlany w oknie Ldp z włączonym widokiem drzewa. Jak widać, ten identyfikator ObjectGUID dla user3 jest taki sam, jak ten wyświetlony powyżej w PowerShell.

Uwaga: Wyniki wykonanych operacji można zobaczyć w prawym panelu okna.

Selecting a deleted AD user in the window of the LDP tool

  1. Kliknij prawym przyciskiem myszy obiekt ( user3 w naszym przypadku) i wybierz Modify z menu kontekstowego.

There is the need to modify some values to restore AD account in the Ldp tool

  1. Pole DN zostało już automatycznie zaznaczone.

Wpisz isDeleted w polu Edytuj atrybut wpisu .

Wybierz Delete w opcjach Operacja .

Kliknij przycisk Enter w tym oknie.

Selecting the isDeleted attribute to delete for the AD object we want to recover

  1. Wpisz distinguishedName w polu Wartości .

Wprowadź wartości do przywrócenia obiektów, na przykład: CN=user3,OU=Users,DC=ID,DC=test

Możesz wprowadzić wartości dla niestandardowej lokalizacji DN do przywrócenia.

Wybierz operację Replace .

Kliknij przycisk Enter w interfejsie tego okna Modify.

Zaznacz pola wyboru Synchronous i Extended . Następnie kliknij Run.

Entering values and selecting the Replace operation

Po przywróceniu obiektu AD do wybranej lokalizacji za pomocą tej metody przy użyciu narzędzia Ldp (LDAP) dodatkowe dane z atrybutami nie są przywracane (hasło, przynależność do grupy itp.). Musisz skonfigurować te parametry ręcznie.

Ogólnie rzecz biorąc, wynik jest podobny do wyniku uzyskanego przy użyciu pozostałych dwóch metod, które również nie wykorzystują Kosza AD.

Włączmy Kosz Active Directory i zobaczmy inny wynik podczas przywracania usuniętych obiektów w Active Directory.

Przykład 4: Jak przywrócić dane z Kosza Active Directory

Zanim przejdziemy do odzyskiwania, przyjrzyjmy się, jak włączyć Kosz AD.

Jak włączyć Kosz Active Directory

Zaleca się, aby wykonaj kopię zapasową usługi Active Directory kontroler domeny przed włączeniem Kosza AD. Umożliwi to w razie potrzeby przywrócenie stanu z wyłączonym Koszem AD i istniejącymi znacznikami.

Uruchom polecenie, aby sprawdzić, czy Kosz Active Directory jest włączony:

Get-ADOptionalFeature "Recycle Bin Feature" | select-object name,EnabledScopes

Jeśli w wynikach zobaczysz puste nawiasy {} , Kosz AD jest wyłączony.

How to view AD Recycle Bin status (enabled or disabled) in PowerShell

Oto wymagania dotyczące włączenia Kosza AD.

  • Aby włączyć Kosz Active Directory, musisz być zalogowany do systemu Windows Server jako administrator domeny lub użytkownik należący do grupy Enterprise Admins lub Schema Admins.
  • Aby włączyć Kosz Active Directory, poziom funkcjonalny lasu musi wynosić co najmniej Windows Server 2008.

Istnieją dwie główne metody włączenia Kosza Active Directory: w PowerShell oraz w Menedżerze serwera.

1. Enabling AD Recycle Bin in PowerShell

Uruchom następujące polecenia, aby włączyć Kosz Active Directory w PowerShell z podwyższonymi uprawnieniami:

Import-Module ActiveDirectory

Ogólnie polecenie włączające Kosz AD wygląda następująco:

Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target

W naszym przypadku dokładne polecenie z podaną nazwą naszej domeny to:

Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=ConfigurationDC=id,DC=test' -Scope ForestOrConfigurationSet -Target 'id.test'

Wpisz nazwę swojej domeny zamiast id.test użytej w naszym przykładzie.

2. Enabling AD Recycle Bin in Server Manager

  1. Otwórz Menedżera serwera. Kliknij Start i wpisz server manager lub naciśnij Win+R. W oknie Uruchom wpisz dsac.exe i naciśnij Enter.
  2. Przejdź do Tools > Active Directory Administrative Center w oknie Menedżer serwera .

Opening the Active Directory Administrative Center

  1. Wybierz domenę główną lasu w lewym panelu. W naszym przypadku wybieramy ID (local) .
  2. Kliknij Enable Recycle Bin w prawym panelu.

How to enable Active Directory Recycle Bin in the AD Administrative Center

  1. Przeczytaj ostrzeżenie i kliknij OK w oknie Włącz potwierdzenie kosza , aby kontynuować.

Refresh AD Administrative Center after you turn on AD Recycle Bin

  1. Musisz odświeżyć okno Centrum administracyjnego Active Directory. Kliknij przycisk Refresh w prawym górnym rogu okna Centrum administracyjnego.
  2. Następnie opcja Enable Recycle Bin stanie się wyszarzona (nieaktywna).
  3. Pojemnik Deleted Objects pojawia się w menu po kliknięciu domeny w celu rozwinięcia zawartości.

Locating an object to restore from AD Recycle Bin

  1. Upewnij się, że Kosz Active Directory jest włączony, uruchamiając polecenie w PowerShell:

Get-ADOptionalFeature "Recycle Bin Feature" | select-object name,EnabledScopes

Aby uzyskać więcej informacji na temat funkcji, użyj tego polecenia:

Get-ADOptionalFeature -filter *

How to check that the AD Recycle Bin in enabled in PowerShell

Przywracanie użytkowników z Kosza Active Directory

Usuńmy user4 , który jest członkiem Group-A w naszej id.test domenie, tak jak zrobiliśmy to w poprzednich przykładach z innymi użytkownikami.

Deleting a user in Active Directory

Otwórz Kosz AD w Server Manager > Active Directory Administrative Center i wybierz usuniętego użytkownika. User4 to obiekt, który w naszym przypadku chcemy przywrócić z Kosza Active Directory.

Istnieją cztery główne opcje dla usuniętego obiektu Active Directory w Koszu:

  • Restore – przywróć usunięte obiekty AD do pierwotnej jednostki organizacyjnej
  • Restore To – wybierz inną jednostkę organizacyjną jako miejsce docelowe przywrócenia usuniętego obiektu AD
  • Locate Parent – otwórz pierwotną jednostkę organizacyjną, w której przechowywano usunięty obiekt
  • Properties – wyświetl niektóre właściwości usuniętego obiektu, takie jak Data utworzenia , Zmodyfikowano , Nazwa kanoniczna , Klasa obiektu lub Numery sekwencji aktualizacji

Aby przywrócić użytkownika do pierwotnej lokalizacji, kliknij Restore w menu znajdującym się po lewej stronie okna.

User4 is the object we need to restore from AD Recycle Bin

User4 został przywrócony jako obiekt Active Directory do tej samej lokalizacji z zachowaniem wszystkich powiązanych danych i atrybutów. Członkostwo w grupie zostało zachowane, a user4 jest członkiem Group-A po przywróceniu.

A user has been restored with attributes and group membership

Polecenie przywracania usuniętego użytkownika AD z Kosza Active Directory w PowerShell wygląda następująco:

Get-ADObject -Filter {displayName -eq "user4"} -IncludeDeletedObjects | Restore-ADObject

Zmień user4 na obiekt, który chcesz przywrócić na swoim serwerze.

W ten sposób Kosz Active Directory jest przydatny, jeśli nie wykonujesz Wykonać kopię zapasową usługi Active Directory.

Jak zmienić czas przechowywania w Koszu AD

Możesz zmienić niektóre ustawienia Kosza Active Directory, aby mieć możliwość przywracania usuniętych obiektów w Active Directory przez dłuższy czas. Omówimy zmianę dwóch następujących ustawień:

  1. Czas życia tombstone’a ( tombstoneLifetime )
  1. Czas życia usuniętego obiektu ( msDS-DeletedObjectLifetime )

Uwaga: Zwiększenie wartości tych dwóch parametrów może wpłynąć na wydajność Active Directory.

Jak sprawdzić aktualny czas życia tombstone’a w PowerShell

Wyświetl aktualny czas życia tombstone’a w PowerShell z podwyższonymi uprawnieniami za pomocą tego zestawu poleceń:

Import-Module ActiveDirectory

$ADForestconfigurationNamingContext = (Get-ADRootDSE).configurationNamingContext

$DirectoryServicesConfigPartition = Get-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,$ADForestconfigurationNamingContext" -Partition $ADForestconfigurationNamingContext -Properties *

$TombstoneLifetime = $DirectoryServicesConfigPartition.tombstoneLifetime

Write-Output "Active Directory’s Tombstone Lifetime is set to $TombstoneLifetime days `r "

How to view AD Recycle Bin tombstone lifetime in PowerShell

  1. Otwórz Edytor ADSI narzędzie, które jest standardowym narzędziem preinstalowanym w systemie Windows Server 2019.

Narzędzie to można znaleźć w

C:ProgramDataMicrosoftWindowsStart MenuProgramsAdministrative Tools

lub korzystając z tej ścieżki:

%SystemRoot%system32adsiedit.msc

Możesz kliknąć Start i wpisać ASDI Edit , aby szybko uruchomić narzędzie.

How to open ADSi Edit in Windows

  1. Kliknij prawym przyciskiem myszy ADSI Edit w oknie i kliknij Connect to w menu kontekstowym.

Connecting to an Active Directory domain controller in ADSI Edit

  1. W oknie Ustawienia połączenia ustaw następujące parametry:
  • Nazwa: Configuration
  • Punkt połączenia : Select a well known Naming Context > Configuration
  • Komputer: Default

Kliknij OK , aby zastosować te ustawienia.

ADSI connection settings

  1. Drzewo z parametrami konfiguracyjnymi Active Directory jest teraz wyświetlane w głównym oknie narzędzia ADSI Edit .
  2. Przejdź do Configuration > CN=Configuration > CN=Services > CN=Windows NT > CN=Directory Service
  3. Kliknij prawym przyciskiem myszy CN=Directory Service i w menu kontekstowym wybierz Properties.

Opening properties for Directory Service

  1. Przewiń listę właściwości w dół i znajdź tombstoneLifetime. Jak sprawdziliśmy wcześniej, wartość domyślna to 180 dni.
  2. Kliknij dwukrotnie tombstoneLifetime , aby edytować ustawioną wartość.

How to change Tombstone Lifetime

  1. Wprowadź nową wartość, na przykład 365 i kliknij OK , aby zapisać ustawienia.

Changing tombstoneLifetime

Uwaga: Jeśli ustawisz wartość na null <not set>, czas życia tombstone zostanie automatycznie ustawiony na 60 dni, ponieważ ten okres jest na stałe zakodowany w konfiguracji systemu dla wartości null.

  1. Nowa wartość została ustawiona.

Tombstone Lifetime is changed

  1. Kliknij OK , aby zapisać ustawienia i zamknąć okno Properties .

Możesz sprawdzić, czy wartość została ustawiona w PowerShell, używając zestawu poleceń wyjaśnionych powyżej.

Checking a new Tombstone Lifetime value in PowerShell

Jak edytować czas życia tombstone w PowerShell

Otwórz PowerShell jako administrator.

Uruchom zestaw poleceń, aby ustawić nową wartość czasu życia tombstone w PowerShell z podwyższonymi uprawnieniami:

Import-Module ActiveDirectory

$ADForestconfigurationNamingContext = (Get-ADRootDSE).configurationNamingContext

Set-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,$ADForestconfigurationNamingContext" -Partition $ADForestconfigurationNamingContext -Replace @{tombstonelifetime='366'}

Sprawdź zaktualizowany czas życia tombstone, używając odpowiedniego zestawu poleceń wyjaśnionych w poprzedniej sekcji.

How to change tombstone lifetime for AD recovery in PowerShell

Jak zmienić czas życia obiektu usuniętego

Atrybut msDS-deletedObjectLifetime określa czas życia obiektu usuniętego. Parametr ten można edytować za pomocą narzędzia ASDI Edit tak samo, jak w przypadku edycji parametru czasu życia tombstone.

Przejdź do:

Configuration > CN=Configuration,DC=ID,DC=TEST > CN=Services > CN = Windows NT > CN=Directory Service

W CN=Directory Serviceznajdź atrybut msDS-deletedObjectLifetime i edytuj jego wartość. Domyślnie wartość ta jest ustawiona na null . Oznacza to, że okres życia usuniętego obiektu jest równy okresowi życia tombstone.

Minimalną wartością, jaką można ustawić, jest 2 (czyli 2 dni).

How to change the Deleted Object lifetime

Ograniczenia natywnych narzędzi do odzyskiwania AD

Podsumujmy ograniczenia związane z używaniem natywnych narzędzi i metod odzyskiwania AD:

  • Wymaga to sporej ilości pracy ręcznej, takiej jak uruchamianie poleceń lub konfigurowanie niezbędnych parametrów w interfejsie graficznym dostarczonych narzędzi.
  • Procesy wyszukiwania i odzyskiwania mogą być czasochłonne.
  • Hasła użytkowników nie są zachowywane po odzyskaniu. Konieczne jest zresetowanie hasła dla każdego użytkownika.
  • Niektóre obiekty lub atrybuty przywróconych obiektów należy dodać ręcznie.
  • Kosz Active Directory usprawnia proces przywracania obiektów AD i przywraca większość atrybutów obiektów. Jednak ta funkcja nie pomaga, jeśli nie została włączona przed usunięciem obiektów.
  • Po włączeniu Kosza Active Directory zwiększa się rozmiar drzewa informacji katalogowej (DIT).
  • Nie można odzyskać usuniętych obiektów Active Directory, jeśli czas, jaki upłynął od ich usunięcia, przekracza okres przechowywania tombstone.

Na szczęście można ominąć ograniczenia czasowe Kosza Active Directory dzięki kopii zapasowej Active Directory.

Przywracanie obiektów AD z kopii zapasowej

Przywracanie usuniętych obiektów Active Directory z kopii zapasowej jest najbardziej niezawodną metodą i pozwala przywrócić usunięte obiekty AD niezależnie od tego, czy Kosz Active Directory jest włączony, czy nie. Metoda tworzenia kopii zapasowej polega na wykonaniu kopii zapasowej Active Directory lub całego kontrolera domeny działającego na serwerze fizycznym lub maszynie wirtualnej.

Wyjaśnimy, jak odzyskać usunięte obiekty Active Directory z kopii zapasowej przy użyciu uniwersalnego rozwiązania do ochrony danych NAKIVO Backup & Replication:

  • Wykonaliśmy już kopię zapasową kontrolera domeny Active Directory. W naszym przykładzie kontroler domeny jest zainstalowany na maszynie wirtualnej (VM) w VMware vSphere i wykonaliśmy kopię zapasową całej maszyny wirtualnej.
  • System operacyjny to Windows Server 2019, tak jak w poprzednich przykładach w tym poście.
  • Nazwa domeny to domain1.local w tym przykładzie, ale pozostałe ustawienia domeny są identyczne jak w poprzednim.

Wymagania

Wymagania dotyczące serwera, na którym przywracane są usunięte obiekty AD, są następujące:

  • Należy zainstalować pakiet Visual C++ Redistributable dla Visual Studio 2015. Instalator pakietu vc_redist.x86.exe (wersja 2015) jest dostępny na stronie internetowej firmy Microsoft.
  • Należy uruchomić usługę inicjatora iSCSI.
  • Należy otworzyć port TCP 5000.
  • Należy zainstalować moduł Active Directory dla środowiska PowerShell.

Usuwanie obiektów usługi AD

Usuńmy jednostkę organizacyjną unit1 w naszej domenie, którą jest domain1.local . Jednostka organizacyjna zawiera trzech użytkowników: user1 , user2 oraz user3 .

Deleting users in Active Directory

Przywracanie usuniętych obiektów AD z kopii zapasowej

Otwórz interfejs internetowy rozwiązania do tworzenia kopii zapasowych NAKIVO.

Wybierz zadanie tworzenia kopii zapasowej maszyn wirtualnych VMware vSphere, które zawiera kopię zapasową kontrolera domeny Active Directory.

Kliknij Recover > Microsoft Active Directory objects.

Starting to recover deleted AD objects

Otworzy się kreator odzyskiwania obiektów dla serwera Microsoft AD.

  1. Backup. Wybierz potrzebną maszynę wirtualną z wybranej kopii zapasowej. Następnie wybierz punkt odzyskiwania. W naszym przypadku kopia zapasowa zawiera jedną maszynę wirtualną z serwerem AD (nazwa maszyny wirtualnej to Blog-Win19-DC ) i wybieramy najnowszy punkt odzyskiwania.

Kliknij Next na każdym kroku, aby kontynuować.

Selecting a backup and recovery point from which to recover Active Directory objects

  1. Recovery Server. Wybierz ustawienia serwera odzyskiwania:
  • Recovery Server: Wybierz serwer odzyskiwania jako miejsce docelowe przywrócenia usuniętych obiektów AD. Odzyskujemy te obiekty na tę samą maszynę wirtualną. Możesz rozwinąć listę i wybrać serwer lub maszynę wirtualną ze swojego zasobu.
  • Server hostname or IP: Wprowadź nazwę hosta lub adres IP wybranej maszyny wirtualnej lub serwera.
  • Username: Wprowadź nazwę użytkownika administratora domeny lub innych użytkowników posiadających odpowiednie uprawnienia w domenie. W naszym przykładzie nazwa użytkownika to domain1administrator
  • Password: Wprowadź hasło zdefiniowanego użytkownika.

Selecting a recovery server for AD recovery

Kliknij Test Connection. Jeśli test zakończył się powodzeniem, kliknij Next.

Configuring recovery server settings and testing the connection

Uwaga: Upewnij się, że usługa inicjatora iSCSI działa na docelowym komputerze z systemem Windows Server (na którym przywracasz obiekty AD). W przeciwnym razie pojawi się błąd: Usługa „iSCSI Initiator” nie działa na serwerze odzyskiwania . W takim przypadku test połączenia zakończy się niepowodzeniem.

Usługę inicjatora iSCSI firmy Microsoft można uruchomić w oknie Zarządzanie komputerem (Computer Management > Services and Applications > Services).

How to start the iSCSI initiator service in Windows

Alternatywnie można uruchomić usługę w PowerShell:

  1. Sprawdź stan usługi inicjatora iSCSI:

Get-Service -Name MSiSCSI

  1. Uruchom usługę iSCSI:

Start-Service msiscsi

  1. Ustaw typ uruchamiania usługi na automatyczny:

Set-Service -Name MSiSCSI -StartupType Automatic

  1. Sprawdź, czy usługa inicjatora iSCSI została uruchomiona:

Get-Service -Name MSiSCSI

How to start the iSCSI initiator service in PowerShell

  1. Objects. Wybierz obiekty AD, które chcesz przywrócić. Możliwe jest odzyskanie wielu obiektów jednocześnie przy wysokim stopniu automatyzacji. Chcemy odzyskać usunięte konta AD.
W lewym panelu przeglądaj drzewo obiektów Active Directory dostępnych w kopii zapasowej. Po wybraniu obiektu nadrzędnego wybierz obiekty do odzyskiwania w prawym panelu. W naszym przypadku przeglądamy unit1 i wybieramy trzech użytkowników ( user1 , user2 oraz user3 ) znajdujących się w tej jednostce organizacyjnej do odzyskiwania.

Select and restore deleted AD users

Uwaga: Możesz zobaczyć komunikat Nie można załadować punktu odzyskiwania , jeśli usługa iSCSI nie jest uruchomiona. Aby uruchomić usługę iSCSI na komputerze z systemem Linux, na przykład na komputerze z repozytorium kopii zapasowych lub Transporterem, uruchom polecenie:

/etc/init.d/iscsid start

  1. Options. W tym kroku wybierz opcje odzyskiwania AD. Wszystkie możliwe opcje są wymienione poniżej.
  • Recovery type:
  • Odzyskaj do pierwotnej lokalizacji
  • Eksportuj
  • Recovery of user object:
  • Użytkownik zostanie wyłączony
  • Użytkownik musi zmienić hasło przy następnym logowaniu
  • Overwrite behavior:
  • Zmień nazwę odzyskanego elementu, jeśli taki element istnieje
  • Pomiń odzyskany element, jeśli taki element istnieje
  • Zastąp oryginalny element, jeśli taki element istnieje

W tym przykładzie odzyskiwania AD odzyskujemy elementy do pierwotnej lokalizacji i wybieramy opcje, jak widać na poniższym zrzucie ekranu.

Options to recover deleted AD objects

Kliknij Recover, przeczytaj powiadomienie i naciśnij Proceed.

Restoring AD objects – a notification about attributes

  1. Finish. Rozpoczęło się odzyskiwanie obiektów Active Directory. Poczekaj, aż proces odzyskiwania się zakończy.

Po zakończeniu odzyskiwania obiektów AD tą metodą możemy otworzyć Użytkownicy i komputery usługi Active Directory na naszym serwerze Windows Server 2019 i sprawdzić, czy usunięta jednostka organizacyjna AD ( unit1 ) została odzyskana wraz z obiektami podrzędnymi.

Jak widać na poniższym zrzucie ekranu, wszyscy użytkownicy przechowywani w unit1 zostali odzyskani. Większość ich atrybutów, w tym przynależność do grup, została zachowana. Musimy tylko zresetować hasła i włączyć te konta użytkowników.

AD recovery has finished – checking the data of the recovered users

Zaawansowane odzyskiwanie AD z kopii zapasowej

Może zaistnieć potrzeba przeprowadzenia zaawansowanego odzyskiwania Active Directory i przywrócenia usuniętych obiektów Active Directory z kopii zapasowej przy użyciu wysoce spersonalizowanych ustawień. Na przykład można wyeksportować obiekty AD z kopii zapasowej na niestandardowy serwer, edytować ich parametry i zaimportować je do wymaganej lokalizacji.

Uniwersalne rozwiązanie do ochrony danych firmy NAKIVO pozwala na realizację takich zadań. Spójrzmy na przykład.

Eksportowanie obiektów AD z kopii zapasowej

Pierwsze kroki procesu w interfejsie internetowym są takie same, jak wyjaśniono w poprzedniej sekcji tego artykułu. Przejdźmy od razu do trzeciego kroku kreatora odzyskiwania obiektów. Różnica w zaawansowanym procesie odzyskiwania AD zaczyna się od tego kroku.

  1. Objects. W tym przykładzie wybierzmy inne obiekty Active Directory do odzyskania. Chcemy przywrócić usuniętych użytkowników AD. Przejdźmy do Users i wybierzmy user10 . W katalogu Users możemy wybrać wiele obiektów AD do odzyskania z kopii zapasowej.

Active Directory restore deleted users (selecting users to restore)

  1. Options. Wybieramy opcję eksportu wybranych obiektów Active Directory, które chcemy przywrócić. Chcemy wyeksportować obiekty do folderu lokalnego na serwerze odzyskiwania, a wszystkie nasze ustawienia w tym kroku są następujące.
  • Recovery type: Export
  • Export location: Local folder on serveru do odzyskiwania
  • Local path: C:TempAD-Recovery
  • Overwrite behavior: Rename recovered item if such item exists

Click Recover and Proceed to continue.

AD recovery options for export and confirmation to proceed

Wait until zadanie odzyskiwania jest zakończone i wybrane obiekty Active Directory są eksportowane do celu.

Po zakończeniu procesu eksportu możemy zobaczyć nasze obiekty Active Directory w folderze C:TempAD-Recovery . Każdy obiekt Active Directory jest eksportowany jako osobny LDIF. Selected AD objects are exported to LDIF files for recovery

Plik LDIF to edytowalny plik tekstowy zawierający informacje o wyeksportowanym obiekcie usługi Active Directory. Spróbujmy przywrócić usuniętego użytkownika AD, którym w naszym przypadku jest user10 . Przykładową zawartość pliku LDIF można zobaczyć na poniższym zrzucie ekranu.

The contents of the LDIF file

Ldifde to natywne narzędzie systemu Windows Server, które umożliwia eksportowanie/importowanie obiektów usługi Active Directory do/z plików .LDIF . Aby jednak korzystać z tego narzędzia, należy spełnić pewne wymagania, takie jak zainstalowanie roli serwera urzędu certyfikacji (CA).

Przygotowanie systemu Windows Server do przywracania obiektów AD

Przed rozpoczęciem upewnij się, że serwer Active Directory posiada rolę CA. Będzie to konieczne do nawiązania bezpiecznego połączenia LDAP. Można włączyć tę rolę w Server Manager za pomocą kreatora Add roles and features . Procedura dodawania tej roli jest standardowa, dlatego skupimy się wyłącznie na głównych krokach.

Zaznacz pole wyboru Active Directory Certificate Services w kroku Server Roles kreatora Dodaj role i funkcje .

Installing AD Certificate Services restore deleted AD objects and import them with ldifde

Wybierz Certification Authority w Role Services step.

Installing Certification Authority to recover deleted AD objects

Po wykonaniu wszystkich kroków kreatora należy przeprowadzić konfigurację po wdrażaniu dla zainstalowanej roli.

Active Directory Certificate Services post-deployment configuration

Postępuj zgodnie ze standardowymi krokami kreatora konfiguracji AD CS:

  1. Poświadczenia. Wprowadź poświadczenia administratora domeny (w naszym przypadku domain1administrator)
  2. Usługi roli. Upewnij się, że zaznaczono opcję Urząd certyfikacji.
  3. Typ konfiguracji. Wybierz Enterprise CA.
  4. Typ urzędu certyfikacji. Wybierz Root CA.
  5. Klucz prywatny. Wybierz opcję Utwórz nowy klucz prywatny.
  6. Kryptografia. Możesz użyć ustawień domyślnych.
  7. Nazwa urzędu certyfikacji. Upewnij się, że nazwa urzędu certyfikacji jest poprawna dla Twojej domeny.
  8. Okres ważności. Ustaw okres, na przykład 5 lat.
  9. Baza certyfikatów. Użyj ustawień domyślnych.

Active Directory Certificate Services are installed to recover deleted AD objects with ldifde

Uruchom ponownie serwer Windows, aby zmiany zaczęły obowiązywać po zakończeniu pracy kreatora konfiguracji AD CS.

Zakończenie odzyskiwania AD

Teraz możemy użyć narzędzia wiersza poleceń Ldifde w Windows PowerShell do przywrócenia usuniętych obiektów w Active Directory poprzez ich import. Jak pamiętasz, wcześniej wyeksportowaliśmy je z kopii zapasowej.

  1. Uruchom PowerShell jako administrator.
  2. Przejdź do katalogu, w którym znajdują się pliki LDIF odzyskanych elementów:

cd C:TempAD-Recovery

  1. Polecenie służące do zaimportowania obiektów AD z pliku LDIF w celu ich przywrócenia wygląda następująco:

ldifde -i -t 636 -f filename.ldif -k -j logfolder

Gdzie filename.ldif to ścieżka do pliku LDIF, a logfolder to ścieżka do folderu, w którym będą zapisywane logi procesu. Opcja -t 636 oznacza port TCP 636, który jest używany do bezpiecznego połączenia z serwerem AD. W naszym przypadku polecenie przywracania usuniętych obiektów AD poprzez ich import to:

ldifde -i -t 636 -f NakivoExport-domain1.local.Users.user10.ldif -k -j C:TempAD-RecoveryLog

Przywracamy user10 . Przykładowy wynik konsoli PowerShell w przypadku pomyślnego importu pokazano na poniższym zrzucie ekranu.

Restoring AD objects by using ldifde import in PowerShell

Uwaga: Jeśli używasz narzędzia ldifde do ręcznego eksportowania obiektów Active Directory, użyj filtrów. Nie wszystkie atrybuty obiektów AD mogą być importowane przez administratora. Niektóre atrybuty są chronione, a prawa do ich importowania należą wyłącznie do systemu. W takim przypadku podczas próby importowania obiektów z plików LDIF mogą pojawić się komunikaty o błędach, takie jak Atrybut jest własnością Menedżera kont zabezpieczeń (SAM ), problem 5003 (WILL_NOT_PERFORM) i inne.

Jeśli eksportujesz obiekt, taki jak użytkownik lub grupa, wraz ze wszystkimi atrybutami, może być konieczne ręczne usunięcie niektórych atrybutów, takich jak objectGUID , objectSid , sAMAccountType i innych z pliku .LDIF poprzez usunięcie odpowiednich wierszy przed importem. W przeciwnym razie nie będzie można zaimportować obiektu za pomocą narzędzia ldifde .

Należy pamiętać o tych aspektach podczas korzystania z funkcji eksportu/importu narzędzia ldifde do wykonywania kopii zapasowych i odzyskiwania danych bez dedykowanego rozwiązania do tworzenia kopii zapasowych. Lepiej jest używać specjalistycznego rozwiązania do tworzenia kopii zapasowych w celu ochrony całego serwera Active Directory lub maszyny wirtualnej z możliwością szybkiego i łatwego wykonywania pełnego odzyskiwania oraz odzyskiwania obiektów AD na poziomie szczegółowym.

Wnioski

Niezawodnym sposobem ochrony danych i aplikacji, w tym usługi Active Directory wraz ze wszystkimi zawartymi w niej elementami, jest regularne wykonywanie prawidłowych kopii zapasowych danych oraz przechowywanie kopii zapasowych zgodnie z racjonalną polityką przechowywania. W tym przypadku pomocne jest specjalistyczne rozwiązanie do tworzenia kopii zapasowych. NAKIVO Backup & Replication to uniwersalne rozwiązanie do ochrony danych, które jest spójne z aplikacją i umożliwia pełne odzyskiwanie oraz odzyskiwanie plików i obiektów na poziomie szczegółowym, w tym w usłudze Active Directory.

Wypróbuj NAKIVO Backup & Replication

Wypróbuj NAKIVO Backup & Replication

Skorzystaj z bezpłatnej wersji próbnej, aby poznać wszystkie funkcje rozwiązania w zakresie ochrony danych. 15 dni za darmo. Bez żadnych ograniczeń dotyczących funkcji ani pojemności. Nie trzeba podawać danych karty kredytowej.

Wypróbuj za darmo

People also read

Picture
Role i uprawnienia w VMware vSphere
Picture
Jak zainstalować i skonfigurować Menedżera Hyper-V
Picture
Jak zamontować system plików VMFS w systemach Windows, Linux i ESXi