Быстрое восстановление удаленных объектов Active Directory.

  • Автор:

AD-object-restore-000.png

Сегодня с одним из наших сотрудников произошел неприятный случай, он случайно удалил учетную запись пользователя в AD. Возможно всему виной были приближающиеся праздники (и три дня выходных), а может недостаток опыта и нежелание читать системные предупреждения. Однако в тот момент это интересовало нас в последнюю очередь, требовалось быстро исправить ситуацию.

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Как же все произошло? В Exchange 2010 есть одна "интересная" особенность: удаление почтового ящика ведет к удалению связанного с ним пользователя в AD, о чем честно выводится предупреждение (но кто их читает).

AD-object-restore-001.pngВосстановление удаленного объекта штатными средствами не представлялось возможным, по причине требующейся перезагрузки сервера, имеющихся сомнений в актуальности и наличия бекапа и крайне сжатых сроков. Использование утилит типа Active Directory LDAP Browsing Utility или AdRestore тоже не представлялось хорошим вариантом, без должных знаний и опыта последствия их применения могут оказаться катастрофичными. Нужен был простой инструмент, который позволил бы даже неопытному администратору быстро восстановить удаленный объект.

Прежде чем перейти к практической части, сделаем маленький ликбез, рассмотрим как происходит удаление объектов в AD и каким образом их можно восстановить. В этом плане AD имеет двойную защиту от дурака, во первых снимки состояния (тот самый пресловутый бекап), которые должны делаться и быть актуальными. Кроме того удаленные объекты помещаются в специальный скрытый контейнер Deleted Objects, где хранятся в течении 60 дней.

Восстановление из резервной копии более предпочтительно, так как восстановит все атрибуты объекта, за исключением пароля, восстановленные из контейнера объекты будут иметь только основные атрибуты.

Вернемся к нашей ситуации. Понятно, что от подобных действий не застрахован никто и желательно иметь под рукой инструмент позволяющий просто и быстро сделать все "как было". Мы нашли неплохую утилиту Active Directory Object Restore Wizard от компании NetWrix, имеется полностью бесплатная версия, единственным ограничением которой является то, что она восстанавливает изменения произошедшие только за последний день. Учитывая, что ошибка удаления становится очевидна сразу, это не столь существенно.

Скачать программу можно на сайте производителя, заполнив небольшую анкету (скачать).

Утилита предельно проста в установке и использовании. Вся работа происходит при помощи мастера, который имеет подробные описания для каждой опции. Вы выбираете дату, на которую хотите восстановить изменения и источник восстановления. По умолчанию программа предлагает попытаться найти удаленные объекты в снимках состояния, если же поиск ничего не дал (или снимков нет), то можно воспользоваться поиском по контейнеру удаленных объектов.

AD-object-restore-002.pngЗакончив поиск программа покажет список удаленных объектов, доступных к восстановлению. Выделяем нужные и восстанавливаем.

AD-object-restore-003.pngПосле успешного восстановления не забываем проверить и откорректировать атрибуты, особенно если объект был восстановлен из контейнера, и сменить пароль.

В любом случае при работе с объектами AD следует следовать правилу "семь раз отмерь, один отрежь", но на случай непредвиденных обстоятельств следует иметь и уметь пользоваться инструментом восстановления. Active Directory Object Restore Wizard на наш взгляд один из таких инструментов и должен быть под рукой у любого системного администратора работающего с AD.

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Поддержи проект!

Или подпишись на наш Телеграм-канал: Подпишись на наш Telegram-канал



Loading Comments