Active Directory yöneticilerinin herhalde en büyük korkularından birtanesi yanlışlıkla bir user hesabını veya daha da kötüsü bir OU’nun tamamını silmektir. Böyle bir durumla karşılaşıldıgı zaman, hele de işin için de başka domain controller da varsa, stresli dakikalar başlamış demektir. Kısaca yapmanız gerekenlerden bahsedecek olursak; öncelikle en son backuptan ntds.dit restore edilir. Silme işlemi diğer DC’lere replike olduysa authorative restore’da yapmanız gerekir ki USN numarası artsın ve replikasyon üstünlüğü olsun. Tabi bu dediklerimin hepsini restore mode’da yapmanız gerektiğini bunun da belirli bir down time demek oldugunu söylememe gerek yoktur sanırım. Windows 2008 R2 ise bu konuda tam bir hayat kurtarıcı özellikle karşımıza çıkıyor. Bir çok sistem yöneticisinin active directory’de, Windows’ta olduğu gibi bir “Recyle bin” olmasını istediğini çok iyi biliyorum. İşte Windows işletim sistemindeki ile bire bir aynı mantıkta çalışan bir Active Directory Recyle Bin, Windows 2008 R2 ile sunulmuştur. Henüz beta durumda olan windows server 2008 R2’de bu özelliğin nasıl aktif edildiğine bir göz atalım ve ardından da örnek bir uygulama yapalım.
OS: Windows Server 2008 R2 Beta
Domain Name: home.ozgur.com
Örnek OU: People
Örnek User: Ozgur Canibeyaz
Active Directory Recyle Bin için Sistem Gereksinimleri :
- Schema master rolüne sahip Domain Controller’da adprep /forest komutu ile schema’yı update edin.
- Infrastracture rolüne sahio Domain Controller’da adprep /domainprep /gpprep komutu ile domain’I hazırlayın.
- Read only Domain Controller var ise ayrıca adprep /rodcprep komutunu da çalıştırmanız gerekir.
- Active Directory Forest’ındaki tüm Domain Controllerların Windows Server 2008 R2 oldugundan emin olun
- Forest Functional Level’ı Windows Server 2008 R2’ye yükseltin
Not: Eger forestınız windows server 2008 R2 olarak kurulduysa, schema zaten hazır geleceği için adprep çalıştırmanıza gerek yoktur.
Active Directory’de Recycle Bin’in Aktif Edilmesi
Bu işlemi iki yöntem ile yapabiliriz.
1. Ldp.exe
2. Enable-ADOptionalFeature Active Directory module cmdlet (önerilen yöntem)
Uyarı: Recycle Bin’i aktif etme işlemi geri dönüşü olmayan bir işlemdir. Bir kez enable ettikten sonra disable etmek mümkün olmamaktadır (en azından bu sürümde).
Bu aşamada Windows Server 2008 R2 ile birlikte gelen Active Directory Powershell’den bahsetmemiz gerekir. Bir grup cmdleti birleştiren bu modül ile Active Directory ile ilgili bir çok servisi kontrol edebiliyoruz.
Daha detaylı bilgi için ; http://go.microsoft.com/fwlink/?LinkID=140056
1. Ldp.Exe ile Active Directory Recyle Bin’i Aktif Etmek
1.1. Start /Run ldp.exe’yi çalıştırın
1.2. Connection /connect /bind ile ilgili DC’ye bağlanın
1.3. View/Tree/BaseDN, altında onfiguration directory partition’ı seçip OK ile onaylayın.
1.4. Konsol’da configuration directory partitiona çift tıklayıp CN=partitions containera gidin.
1.5. CN=Partitions container’s DN’ine sağ tıklayıp Modify seçin.
1.6. Modify bölümünde DN kutusunun boş oldugundan emin olun.
1.7. Edit Entry Attribute bölümüne enableOptionalFeature yazın.
1.8. Values bölümüne ise ; CN=Partitions,CN=Configuration,DC=domainim,DC=com:766ddcd8-acd0-445e-f3b9-a7f9b6744f2a. (domainim bölümünü kendi domain isminize gore değiştirmeniz gerekir)
1.9. “766ddcd8-acd0-445e-f3b9-a7f9b6744f2a” bu rakam ve harfler Active Directory Recycle Bin GUID’ini temsil eder. Teyit etmek isterseniz ldp.exe aracılığı ile bakmanız gereken yer; CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=domainim,DC=com
2. Enable-ADOptionalFeature Active Directory Modulü ile Active Directory Recycle Bin’i Aktif Edilmesi
2.1. Start / Administrative Tools / Active Directory Powershelli başlatın.
2.2. Active Directory Recyle bini aşağıdaki komut ile aktif edin.
Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=home,DC=ozgur,DC=com’ –Scope Forest –Target ‘home.ozgur.com’
Resim-1
Bu şekilde Active Directory Recycle Bin’i aktif etmiş oldunuz.
Şimdi daha önce active directoryde oluşturduğumuz “ozgur” display name’ine sahip kullanıcı hesabını silip sonra da Active Directory Powershell kullanarak objeyi restore edelim.
Resim-2
Silinen ozgur isimli kullanıcı hesabını restore etmek için ;
1. Start / Administrative tools /Active Directory Powershelli başlatın.
2. Aşağıdaki komutu girerek restore işlemini başlatın:
Get-ADObject -Filter {displayName -eq “ozgur”} -IncludeDeletedObjects | Restore-ADObject
Resim-3
Not: Silinen objeleri hiyerarşik olarak üstten alta dogru restore etmek gerektiğini unutmayın. Örneğin bir OU tamamen silindiyse ilk olarak OU’nun restore edilmesi gerekir ki içindeki diğer objeler var olan bir containera restore edilebilsin.
Active Directory Users and Computers snapini açıp Ozgur isimli kullanıcı hesabının geri gelip gelmediğini kontrol edelim.
Resim-4
Görüldüğü üzere Active Directory’den sildiğimiz bir kullanıcı hesabını powershell kullanarak hızlı bir şekilde restore edebildik. Bu konu ile ilgili sık sorulan sorulardan bir tanesi restore işlemi bittikten sonra objenin tüm attribute’larının da geri gelip gelmediğidir. Test ortamında yaptığımız denemede kullanıcı hesabı silinmeden önceki şekliyle geri gelmiştir.
Sonuç
Active directory her yeni sürümünde sistem yöneticilerinin işlerini kolaylaştıracak özellikleri de beraberinde getiriyor. Windows 2008 ile Windows 2003’te olmayan bir çok yeni özellik geldi. Windows Server 2008 R2’de ise yenilikler devam ediyor. Bunlardan bir tanesi de active directory recycle bin.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
