Active Directory Recycle Bin – новые возможности восстановления объектов AD (часть 2)

В продолжение начатой статьи я постараюсь рассказать о функции в Windows Server 2008 R2 дающей новые возможности по восстановлению удаленных объектов Active Directory. А именно как включить функцию ADRB в вашей среде AD. В первой части статьи я рассказывал о том, что такое ADRB и как она работает.

Active Directory Recycle Bin (ADRB) – “корзина AD” – позволяет минимизировать простой вашей службы каталогов за счет расширенных возможностей по сохранению и восстановлению случайно удаленных объектов Active Directory без необходимости прибегать к восстановлению из бекапа и перезагрузки контроллеров домена.

И так, после того как мы подготовили лес и домены с помощью команды adprep, как это было описано в первой части статьи, мы можем перейти к следующим шагам.

Для работы функции ADRB необходимо сделать два основных шага:

  • Поднять функциональный уровень леса до Windows Server 2008 R2
  • Включить функцию ADRB

Поднятие уровня леса до Windows Server 2008 R2

Вы можете поднять функциональный уровень леса следующими способами:

  • Используя команду Set-ADForestMode в Active Directory Module for Windows PowerShell
  • Используя утилиту LDP.exe
  • Используя консоль Active Directory Domains and Trusts

ВАЖНО

Обратите внимание, что нам надо поднять функциональный уровень леса, а не только домена. Поэтому использовать всем известную функцию Raise Domain Function Level в консоли Active Directory Users and Computers, будет недостаточно.

Вам потребуются права Enterprise Admin для выполнения данных процедур.

Вариант 1. С помощью Active Directory Module for Windows PowerShell

Заходим на контроллер домена с правами Enterprise Admin или запускаем Active Directory Module for Windows PowerShell через runas.

Start, Administrative Tools, правой кнопкой мыши Active Directory Module for Windows PowerShell, и выберите Run as administrator. Введите домен, логин и пароль пользователя с соответствующими правами.

adm_powershell

В открывшемся окне PowerShell наберите следующее:

Set-ADForestMode -Identity <ADForest> -ForestMode <ADForestMode> , где <ADForest> имя корневого домена леса, а <ADForestMode> имя функционального уровня леса, нам надо набрать Windows2008R2Forest.

Вот, как эта команда выглядела у меня для домена one.local

adm_powershell_2

Далее система попросит у вас подтверждение выполнения данной операции. Решайте, что вы будете делать, я согласился. Вот что у меня получилось в итоге, тоже должно получиться и у вас, если вы хотите установить ADRB.

adm_powershell_3

Для получения дополнительной информации по команде Set-ADForestMode наберите Get-Help Set-ADForestMode.

Теперь давайте проверим функциональный уровень леса, сделать это мы можем командой Get-ADForest , вот что получилось у меня.

adm_powershell_4

Обратите внимание на параметр ForestMode, он изменился так как нужно.

Вариант 2. С помощью утилиты LDP.exe

Вот еще один вариант, как можно изменить функциональный уровень леса с помощью утилиты LDP.exe.

Заходим на контроллер домена с правами Enterprise Admin и запускаем LDP.exeStart, Run и набираем ldp.exe

В открывшемся окне выбираем Connection, Connect

ldp_admode_1

Нажимаем ОК, подключаясь к текущему контроллеру

ldp_admode_2

При подключении вы должны увидеть нечто подобное у себя.

ldp_admode_3

Затем выполняем Connection, Bind

ldp_admode_4

Подключаемся под текущей учетной записью, мы же с правами Enterprise Admin

ldp_admode_5

Такое сообщение говорит о том, что вы успешно подключились.

ldp_admode_6

Откроем древовидный вид – View - Tree.

ldp_admode_7

В окне выбора ключевого узла Base DN, выберите Configuration Directory Partition

ldp_admode_8

Должно получиться вот что.

ldp_admode_9

Теперь перейдем к разделу CN=Partitions, нам нужно будет изменить его атрибуты.

ldp_admode_10

Нам нужно изменить значение атрибута msDS-Behavior-Version, для этого в открывшемся окне, в разделе Attribute: пишем msDS-Behavior-Version, а в разделе Values: ставим значение 4 (4 – соответствует значению функционального уровня леса – Windows Server 2008 R2) В поле Operations: выбираем Replace.

ldp_admode_11

Далее нажимаем кнопку Enter, чтобы наша команда попала в поле Entry List и нажимаем кнопку Run.

ldp_admode_12

Теперь значение атрибута msDS-Behavior-Version изменилось, мы поменяли значение функционального уровня леса.

ldp_admode_13

Вариант 3. С использованием консоли Active Directory Domains and Trusts

Этот вариант совсем простой в использовании, делается несколькими кликами мышки.

Заходим на контроллер домена с правами Enterprise Admin и открываем консоль Active Directory Domains and Trusts. Выделяем мышкой самый корень ветки - Active Directory Domains and Trustsи нажимаем правой кнопкой, в выпадающем меню должен быть пункт – Raise Forest Function Level.

addt_admode_1

В открывшемся окне, выбираем нужный нам функциональный уровень леса и нажимаем кнопку Raise.

addt_admode_2

Система выдаст предупреждение о том, что данный процесс необратим. Ваш выбор, продолжать или отказаться. Я продолжаю и нажимаю OK.

addt_admode_3

Затем система выдает сообщение о том, что изменение функционального уровня леса прошло успешно и теперь эти изменения буду реплицированы на другие контроллеры леса.

addt_admode_4

Как мы теперь видим, функциональный уровень леса стал Windows Server 2008 R2

addt_admode_5

Теперь вы знаете, как можно изменить функциональный уровень леса, вам остается выбрать подходящий для вас вариант, проделать его и перейти к следующему шагу, непосредственно включению функции ADRB.

Включение функции ADRB

Так же как и изменить функциональный уровень леса, включить функцию ADRB вы можете несколькими способами:

  • Используя команду Enable-ADOptionalFeature в Active Directory Module for Windows PowerShell (Microsoft рекомендует использовать именно этот метод)
  • Используя утилиту LDP.exe

Вариант 1. С использованием команды Enable-ADOptionalFeature

Заходим на контроллер домена с правами Enterprise Admin или запускаем Active Directory Module for Windows PowerShell через runas.

Start, Administrative Tools, правой кнопкой мыши Active Directory Module for Windows PowerShell, и выберите Run as administrator. Введите домен, логин и пароль пользователя с соответствующими правами.

В открывшемся окне PowerShell наберите следующее:

Enable-ADOptionalFeature -Identity <ADOptionalFeature> -Scope <ADOptionalFeatureScope> -Target <ADEntity> где <ADOptionalFeature> – это название опции которую вы хотите включить, вы можете применить CN (common name) опции или DN (distinguished name), feature GUID или object GUID. <ADOptionalFeatureScope> – это область, на которую распространяется действие опции, <ADEntity> - это корневой домен леса.

Для получения дополнительной информации по команде Enable-ADOptionalFeature наберите Get-Help Enable-ADOptionalFeature.

Вот, как эта команда выглядела у меня для домена one.local

Enable-ADOptionalFeature ‘Recycle Bin Feature’ -Scope ForestOrConfigurationSet  -Target one.local

adm_adof_1

Для примера, эта команда равнозначна предыдущей

Enable-ADOptionalFeature ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=ONE,DC=local’ -Scope ForestOrConfigurationSet -Target one.local

Далее система спросит у вас подтверждение данной операции, у вас будет выбор продолжить или отменить ее. Если вы продолжили у вас должно получиться тоже что и у меня.

adm_adof_2

Вариант 2. С использованием утилиты LDP.exe

Этот вариант немного посложнее в применении, зато дает понять ,что же происходит с системой внутри при выполнении команд через PowerShell.

Заходим на контроллер домена с правами Enterprise Admin и запускаем LDP.exeStart, Run и набираем ldp.exe

В открывшемся окне выбираем Connection, Connect

ldp_admode_1

Нажимаем ОК, подключаясь к текущему контроллеру

ldp_admode_2

При подключении вы должны увидеть нечто подобное у себя.

ldp_admode_3

Затем выполняем Connection, Bind

ldp_admode_4

Подключаемся под текущей учетной записью, мы же с правами Enterprise Admin

ldp_admode_5

Такое сообщение говорит о том, что вы успешно подключились.

ldp_admode_6

Откроем древовидный вид – View - Tree.

ldp_admode_7

В окне выбора ключевого узла Base DN, выберите Configuration Directory Partition

ldp_admode_8

Должно получиться вот что.

ldp_admode_9

Теперь перейдем к разделу CN=Partitions, нам нужно будет изменить его атрибуты.

ldp_admode_10

Нам нужно добавить новый атрибут enableOptionalFeature, для этого в открывшемся окне очищаем значения в разделе DN, в разделе Attribute: пишем enableOptionalFeature, а в разделе Values: ставим значение CN=Partitions,CN=Configuration,DC=mydomain,DC=com:766ddcd8-acd0-445e-f3b9-a7f9b6744f2a (DC=mydomain,DC=com - меняем на соответсвующее имя корневого домена леса, а 766ddcd8-acd0-445e-f3b9-a7f9b6744f2a – это значение атрибута msDS-OptionalFeatureGUID объекта CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=mydomain,DC=com) В поле Operations: выбираем Add.

ldp_adof_1

Выполняем команду нажатием кнопки Run.

Вот так вы можете посмотреть значение атрибута msDS-OptionalFeatureGUID. Вроде бы он одинаков для всех систем, но лучше проверить.

ldp_adof_2

Итак, выбрав и проделав один из вариантов, мы включаем функцию ADRB.

В следующей части статьи я расскажу о восстановлении объектов AD с помощью функции ADRB.

categories Windows 2008 | Artyom Oreshkin | 28.07.2009

categories , , ,

Leave a Reply

*
To prove you're a person (not a spam script), type the security word shown in the picture. Click on the picture to hear an audio file of the word.
Click to hear an audio file of the anti-spam word

Dansette

Рейтинг@Mail.ru