Procedimiento Restauración de objetos borrados en Active Directory

5/11/2018 Procedimiento Restauraci n de objetos borrados en Active Directory - slidep...

http://slidepdf.com/reader/full/procedimiento-restauracion-de-objetos-borrados-en-activ

1

Procedimiento Restauracio n de

objetos borrados en Active Directory Cuando eliminamos un objeto de Active Directory, no estamos borrándolo de inmediato, sino que

marcamos dicho objeto para eliminarlo en un futuro. Active Directory utiliza un modelo de

replicación que se caracteriza por ser "multi-master loose consistency with convergence",

entonces se pueden hacer cambios en cualquier DC en el bosque, y los cambios se replicaran

gradualmente por toda nuestra arquitectura de domain controllers.

Entonces repetimos, cuando se elimina un objeto del directorio, no elimina físicamente los objetos

de la base de datos. En su lugar, Active Directory marca el objeto como eliminado por valor de

atributo isDeleted del objeto a TRUE, despojando a la mayoría de los atributos del objeto, cambiarel nombre del objeto, y después de mover el objeto a un contenedor especial en el contexto de

nombres del objeto (CN) llamado CN = DeletedObjects. El objeto, que ahora se llama una

tombstone, es invisible para las operaciones de directorio normal.

Obviamente, los objetos no se quedan en este contenedor indefinidamente. La duración de este

estado es por defecto es de 60 días para los bosques construidos inicialmente utilizando Windows

2000 y Windows Server 2003, y 180 días para los bosques que fueron construidos inicialmente con

Windows Server 2003 SP1.

También podemos cambiar este tiempo de vida en el limbo, cambiando el atributo

tombstoneLifetime de CN=Directory Service,CN=Windows NT, CN=Services,CN=Configuration, DC=

object.

Cada 12 horas, cada controlador de dominio se inicia el proceso de recolección de basura (garbage

collection process). Esto se puede cambiar modificando el valor del atributo garbageCollPeriod de

la CN=Directory Service,CN=Windows NT, CN=Services,CN=Configuration,DC= object. Está

recolección de basura analiza todos los Tombstone del DC y se eliminan físicamente los que son

más antiguos que la fecha de dicho Tombstone.

El contenedor DeletedObjects se encuentra oculta y no se puede ver mediante la consola Active

Directory Users and Computers o por ADSIEDIT.MSC, pero podemos usar el LDP.EXE.



2

En este ejemplo vamos a borrar un usuario y luego recuperarlo

En este ejemplo se eliminó el usuario Rico Madagascar

Para recuperar el objeto con la utilidad ldp, iniciamos sesión en un controlador de dominio, luego

ejecutamos una ventana CMD con permiso de administrador

Ejecutamos el comando ldp



3

Luego nos vamos a Connection Connect

Pulsamos OK

Luego nos vamos a Connection Bind



4

Seleccionamos OK

Una vez realizados estos pasos nos vamos a Options Controls



5

En load Predefined seleccionamos Return deleted objects, y luego OK

Luego seleccionamos view Tree

En BaseDN escribimos distingued name de nuestro dominio



6

Seleccionamos CN=Deleted Objects,DC=micasa,DC=cl, y buscamos el usuario eliminado

Botón derecho sobre el usuario que vamos a recuperar y seleccionamos Modify



7

1. En Edit Entry Attribute escribimos isDeleted

2. En operation seleccionamos Delete

3. Seleccionamos Enter



8

1. En Edit Entry Attribute escribimos distinguishedName

2. En Values CN=Madagascar,OU=Usuarios,OU=micasa,DC=micasa,DC=cl (Esta es la unidad

organizativa donde se encontraba el objeto)

3. En operation seleccionamos Replace

4. Seleccionamos Enter

5. Seleccionamos Extended

6. Seleccionamos Run

7. Seleccionamos Close



9

Habilitar la Papelera de Reciclaje

Puede habilitar la papelera de reciclaje de Active Directory solamente si el nivel funcional del bosque del entorno se establece en Windows Server 2008 R2 Para habilitar la papelera de reciclaje no tenemos más obligación que apoyarnos en otra de las

novedades del Directorio Activo en Windows Server 2008 R2, el Módulo de PowerShell para ActiveDirectory.

1. En uno de los controladores de dominio, seleccionar Inicio, Herramientas Administrativas, y

finalmente Módulo de Active Directory para Windows PowerShell.

2. En el símbolo del sistema de PowerShell, escribir el siguiente comando, con la variación del

dominio que tenga cada uno. El dominio con el que yo voy a micasa.cl

Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory

Service,CN=Windows NT,CN=Services,CN=Configuration,DC=micasa,DC=cl’ –Scope

ForestOrConfigurationSet –Target ‘micasa.cl’

Para recuperar la cuenta ejecutamos el siguiente comando

Get-ADObject -Filter {displayName -eq "Alex San Martin"} -IncludeDeletedObjects | Restore-

ADObject

Nota:

También podemos usar el campo SamAccountName

Get-ADObject -Filter {SamAccountName -eq "asanmartin"} -IncludeDeletedObjects | Restore-

ADObject

Procedimiento Restauración de objetos borrados en Active Directory

Documents

Transcript of Procedimiento Restauración de objetos borrados en Active Directory