Windows Server 2008 R2: Active Directory Recycle Bin

Questa funzionalità è stata introdotta per annullare eliminazioni accidentali di oggetti AD.

In Windows Server 2008 e Windows Server 2003 quello che era possibile fare era:

  • Ripristino autorevole tramite NTDSUTIL con conseguente downtime del DC
  • Recupero degli oggetti contrassegnati per la rimozione tramite LDP o ADRestore
  • Non è possibile ripristinare gli attributi con valori di collegamento degli oggetti recuperati. Ciò signica, ad esempio, che gli account utente non riottengono le appartenenze ai gruppi e i diritti di accesso
  • Opzione Proteggi oggetto da eliminazioni accidentali (il security descriptor dell’oggetto viene modificato aggiugendo un entry Deny Delete per Everyone). Per informazioni si veda Protect Objects from accidential deletion
    • Disponibile nella GUI di Windows 2008 Server
    • In Windows 2003 abilitabile via DSACLS (dsacls ou=MyUsers,dc=example,dc=com /d Everyone:SDDT)

La caratteristiche della funzionalità AD Recycle BIN sono:

  • Si basa sull’infrastruttura esistente del recupero degli oggetti contrassegnati per la rimozione e offre una maggiore capacità di conservare e recuperare gli oggetti Active Directory eliminati accidentalmente
  • Disponibile per AD e AD LDS (Lightweight Directory Services)
  • Disattivata per default e richiede livello funzionale della foresta Windows Server 2008 R2. Quindi tutti i DC nella foresta devono essere Windows Server 2008 R2. Nel caso di AD LDS è necessario che tutte le repliche siano in esecuzione in una nuova “modalità applicazione”.
  • Consente il ripristino degli oggetti nello stesso stato logico coerente in cui si trovavano. Ciò significa che gli account utente riottengono appartenenze ai gruppi e i diritti di accesso all’interno del dominio e tra domini.

Il clico di vita degli oggetti viene modificato come segue:

image

  • Delete object lifetime:
    L’oggetto viene eliminato a livello logico e spostato nel contenitore CN=Deleted Objects (modifica del DN dell’oggetto), ma mantiene attributi con valori di collegamento e non.
    La durata dipende dall’attributo msDS-deletedObjectLifetime per default è null ovvero uguale al valore dell’attributo tombstoneLifetime
  • Recycle object lifetime:
    L’oggetto perde la maggior parte degli attributi (tranne quelli con searchFlags = 0x00000008 nello schema) .
    La durata dipende dal valore dell’attributo tombstoneLifetime che per default è null ovvero 180 giorni.
  • Per default l’eliminazione definitiva dell’oggetto avviene dopo 180 + 180 giorni.

Per abitare la funzionalità occorre:

  1. Eseguire il raise del livello funzionale della foresta a Windows 2008 R2 tramite uno dei seguenti metodi:
    • Centro di amministrazione di Active Directory
    • Active Directory Domains and Trusts
    • Cmdlet Set-ADForestMode
      • Set-ADForestMode –Identity contoso.com -ForestMode Windows2008R2Forest
    • LDP.exe impostando msDS-Behavior-Version=4
  2. Abilitare la funzionalità tramite uno dei seguenti metodi:
    • Cmdlet Enable-ADOptionalFeature
      • Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=contoso,DC=com’ –Scope ForestOrConfigurationSet –Target ‘contoso.com’
    • LDP.exe impostando l’attributo enableOptionalFeature

Il processo di attivazione del Cestino per Active Directory è irreversibile, una volta attivato non sarà più possibile disattivarlo.

Gli oggetti precentemente eliminati (tombstone objects) diventano recycled objects quindi non più visibili nel container Deleted Objects, ma non recuperabili tramite Active Directory Recycle Bin. Per recuperarli occorre un restore autoritativo da un backup precedente all’attivazione.

Volendo è possibile modificare la durata del Deleted object lifetime e del Recycled object lifetime tramite uno dei seguenti metodi:

  1. Cmdlet Set-ADObject
    • Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com” –Partition “CN=Configuration,DC=contoso,DC=com” –Replace:@{“msDS-DeletedObjectLifetime” = 365}
    • Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com” –Partition “CN=Configuration,DC=contoso,DC=com” –Replace:@{“tombstoneLifetime” = 365}
  2. LDP.exe impostando l’attributo msDS-DeletedObjectLifetime e/o l’attributo tombstoneLifetime

E’possibile eseguire il restore di oggetti eliminati presenti nell AD Recycle Bin tramite uno dei seguenti metodi:

  1. Cmdlet Get-ADObject e Restore-ADObject
    • Get-ADObject -Filter {displayName -eq “Mario Rossi”} -IncludeDeletedObjects | Restore-ADObject
    • Get-ADObject -Filter {sAMAccountName -eq “m.rossi”} -IncludeDeletedObjects | Restore-ADObject
  • LDP.exe impostando l’attributo isDeleted

Per ulteriori approfondimenti si vedano: