Active Directory Recycle Bin – новые возможности восстановления объектов AD (часть 2)

В продолжение начатой статьи я постараюсь рассказать о функции в Windows Server 2008 R2 дающей новые возможности по восстановлению удаленных объектов Active Directory. А именно как включить функцию ADRB в вашей среде AD. В первой части статьи я рассказывал о том, что такое ADRB и как она работает.

Active Directory Recycle Bin (ADRB) – “корзина AD” – позволяет минимизировать простой вашей службы каталогов за счет расширенных возможностей по сохранению и восстановлению случайно удаленных объектов Active Directory без необходимости прибегать к восстановлению из бекапа и перезагрузки контроллеров домена.

И так, после того как мы подготовили лес и домены с помощью команды adprep, как это было описано в первой части статьи, мы можем перейти к следующим шагам.

Для работы функции ADRB необходимо сделать два основных шага:

  • Поднять функциональный уровень леса до Windows Server 2008 R2
  • Включить функцию ADRB

Поднятие уровня леса до Windows Server 2008 R2

Вы можете поднять функциональный уровень леса следующими способами:

  • Используя команду Set-ADForestMode в Active Directory Module for Windows PowerShell
  • Используя утилиту LDP.exe
  • Используя консоль Active Directory Domains and Trusts

ВАЖНО

Обратите внимание, что нам надо поднять функциональный уровень леса, а не только домена. Поэтому использовать всем известную функцию Raise Domain Function Level в консоли Active Directory Users and Computers, будет недостаточно.

Вам потребуются права Enterprise Admin для выполнения данных процедур.

Вариант 1. С помощью Active Directory Module for Windows PowerShell

Заходим на контроллер домена с правами Enterprise Admin или запускаем Active Directory Module for Windows PowerShell через runas.

Start, Administrative Tools, правой кнопкой мыши Active Directory Module for Windows PowerShell, и выберите Run as administrator. Введите домен, логин и пароль пользователя с соответствующими правами.

adm_powershell

В открывшемся окне PowerShell наберите следующее:

SetADForestMode Identity <ADForest> —ForestMode <ADForestMode> , где <ADForest> имя корневого домена леса, а <ADForestMode> имя функционального уровня леса, нам надо набрать Windows2008R2Forest.

Вот, как эта команда выглядела у меня для домена one.local

adm_powershell_2

Далее система попросит у вас подтверждение выполнения данной операции. Решайте, что вы будете делать, я согласился. Вот что у меня получилось в итоге, тоже должно получиться и у вас, если вы хотите установить ADRB.

adm_powershell_3

Для получения дополнительной информации по команде SetADForestMode наберите GetHelp SetADForestMode.

Теперь давайте проверим функциональный уровень леса, сделать это мы можем командой GetADForest , вот что получилось у меня.

adm_powershell_4

Обратите внимание на параметр ForestMode, он изменился так как нужно.

Вариант 2. С помощью утилиты LDP.exe

Вот еще один вариант, как можно изменить функциональный уровень леса с помощью утилиты LDP.exe.

Заходим на контроллер домена с правами Enterprise Admin и запускаем LDP.exeStart, Run и набираем ldp.exe

В открывшемся окне выбираем Connection, Connect

ldp_admode_1

Нажимаем ОК, подключаясь к текущему контроллеру

ldp_admode_2

При подключении вы должны увидеть нечто подобное у себя.

ldp_admode_3

Затем выполняем Connection, Bind

ldp_admode_4

Подключаемся под текущей учетной записью, мы же с правами Enterprise Admin

ldp_admode_5

Такое сообщение говорит о том, что вы успешно подключились.

ldp_admode_6

Откроем древовидный вид – View Tree.

ldp_admode_7

В окне выбора ключевого узла Base DN, выберите Configuration Directory Partition

ldp_admode_8

Должно получиться вот что.

ldp_admode_9

Теперь перейдем к разделу CN=Partitions, нам нужно будет изменить его атрибуты.

ldp_admode_10

Нам нужно изменить значение атрибута msDS-Behavior-Version, для этого в открывшемся окне, в разделе Attribute: пишем msDS-Behavior-Version, а в разделе Values: ставим значение 4 (4 – соответствует значению функционального уровня леса — Windows Server 2008 R2) В поле Operations: выбираем Replace.

ldp_admode_11

Далее нажимаем кнопку Enter, чтобы наша команда попала в поле Entry List и нажимаем кнопку Run.

ldp_admode_12

Теперь значение атрибута msDS-Behavior-Version изменилось, мы поменяли значение функционального уровня леса.

ldp_admode_13

Вариант 3. С использованием консоли Active Directory Domains and Trusts

Этот вариант совсем простой в использовании, делается несколькими кликами мышки.

Заходим на контроллер домена с правами Enterprise Admin и открываем консоль Active Directory Domains and Trusts. Выделяем мышкой самый корень ветки — Active Directory Domains and Trustsи нажимаем правой кнопкой, в выпадающем меню должен быть пункт – Raise Forest Function Level.

addt_admode_1

В открывшемся окне, выбираем нужный нам функциональный уровень леса и нажимаем кнопку Raise.

addt_admode_2

Система выдаст предупреждение о том, что данный процесс необратим. Ваш выбор, продолжать или отказаться. Я продолжаю и нажимаю OK.

addt_admode_3

Затем система выдает сообщение о том, что изменение функционального уровня леса прошло успешно и теперь эти изменения буду реплицированы на другие контроллеры леса.

addt_admode_4

Как мы теперь видим, функциональный уровень леса стал Windows Server 2008 R2

addt_admode_5

Теперь вы знаете, как можно изменить функциональный уровень леса, вам остается выбрать подходящий для вас вариант, проделать его и перейти к следующему шагу, непосредственно включению функции ADRB.

Включение функции ADRB

Так же как и изменить функциональный уровень леса, включить функцию ADRB вы можете несколькими способами:

  • Используя команду EnableADOptionalFeature в Active Directory Module for Windows PowerShell (Microsoft рекомендует использовать именно этот метод)
  • Используя утилиту LDP.exe

Вариант 1. С использованием команды EnableADOptionalFeature

Заходим на контроллер домена с правами Enterprise Admin или запускаем Active Directory Module for Windows PowerShell через runas.

Start, Administrative Tools, правой кнопкой мыши Active Directory Module for Windows PowerShell, и выберите Run as administrator. Введите домен, логин и пароль пользователя с соответствующими правами.

В открывшемся окне PowerShell наберите следующее:

EnableADOptionalFeatureIdentity <ADOptionalFeature> —Scope <ADOptionalFeatureScope> —Target <ADEntity> где <ADOptionalFeature> — это название опции которую вы хотите включить, вы можете применить CN (common name) опции или DN (distinguished name), feature GUID или object GUID. <ADOptionalFeatureScope> — это область, на которую распространяется действие опции, <ADEntity> — это корневой домен леса.

Для получения дополнительной информации по команде Enable-ADOptionalFeature наберите Get-Help Enable-ADOptionalFeature.

Вот, как эта команда выглядела у меня для домена one.local

Enable-ADOptionalFeature ‘Recycle Bin Feature’ -Scope ForestOrConfigurationSet  -Target one.local

adm_adof_1

Для примера, эта команда равнозначна предыдущей

Enable-ADOptionalFeature ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=ONE,DC=local’ -Scope ForestOrConfigurationSet -Target one.local

Далее система спросит у вас подтверждение данной операции, у вас будет выбор продолжить или отменить ее. Если вы продолжили у вас должно получиться тоже что и у меня.

adm_adof_2

Вариант 2. С использованием утилиты LDP.exe

Этот вариант немного посложнее в применении, зато дает понять ,что же происходит с системой внутри при выполнении команд через PowerShell.

Заходим на контроллер домена с правами Enterprise Admin и запускаем LDP.exeStart, Run и набираем ldp.exe

В открывшемся окне выбираем Connection, Connect

ldp_admode_1

Нажимаем ОК, подключаясь к текущему контроллеру

ldp_admode_2

При подключении вы должны увидеть нечто подобное у себя.

ldp_admode_3

Затем выполняем Connection, Bind

ldp_admode_4

Подключаемся под текущей учетной записью, мы же с правами Enterprise Admin

ldp_admode_5

Такое сообщение говорит о том, что вы успешно подключились.

ldp_admode_6

Откроем древовидный вид – View Tree.

ldp_admode_7

В окне выбора ключевого узла Base DN, выберите Configuration Directory Partition

ldp_admode_8

Должно получиться вот что.

ldp_admode_9

Теперь перейдем к разделу CN=Partitions, нам нужно будет изменить его атрибуты.

ldp_admode_10

Нам нужно добавить новый атрибут enableOptionalFeature, для этого в открывшемся окне очищаем значения в разделе DN, в разделе Attribute: пишем enableOptionalFeature, а в разделе Values: ставим значение CN=Partitions,CN=Configuration,DC=mydomain,DC=com:766ddcd8-acd0-445e-f3b9-a7f9b6744f2a (DC=mydomain,DC=com — меняем на соответсвующее имя корневого домена леса, а 766ddcd8-acd0-445e-f3b9-a7f9b6744f2a – это значение атрибута msDS-OptionalFeatureGUID объекта CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=mydomain,DC=com) В поле Operations: выбираем Add.

ldp_adof_1

Выполняем команду нажатием кнопки Run.

Вот так вы можете посмотреть значение атрибута msDS-OptionalFeatureGUID. Вроде бы он одинаков для всех систем, но лучше проверить.

ldp_adof_2

Итак, выбрав и проделав один из вариантов, мы включаем функцию ADRB.

В следующей части статьи я расскажу о восстановлении объектов AD с помощью функции ADRB.

categories Windows 2008 | | 28.07.2009

categories , , ,

Leave a Reply

CAPTCHA

*

Dansette

Рейтинг@Mail.ru Яндекс.Метрика