Objetivo
A Lixeira do Active Directory (Active Directory Recycle Bin) permite recuperar objetos do Active Directory excluídos acidentalmente. A partir do Windows Server 2008 R2, o Active Directory implementa a lixeira onde não será mais necessário realizar uma restauração autoritativa para restaurar objetos da partição de domínio. Quando habilitada todos os atributos com valor vinculado e não vinculado dos objetos excluídos são preservados. Por exemplo, contas de usuário restauradas recuperam todas as associações de grupo e direitos de acesso que tinham antes da exclusão, dentro e entre domínios.
Observações
- A Lixeira do Active Directory não á habilitada por padrão e o processo de habilitar é irreversível;
- O nível funcional da floresta e do domínio deve ser o Windows Server 2008 R2 ou superior;
- O Active Directory Administrative Center só pode gerenciar partições de domínio, e não pode restaurar objetos excluídos de outras partições, como por exemplo a partição de Configuration de domínio ou floresta do DNS;
- É possível restaurar objetos de contas de Usuários, Grupos, Contas de Computadores, Contatos e OU;
- Não é possível restaurar GPO (Group Policy Objects). A Lixeira do AD restaura apenas o objeto GPC da GPO e não restaura os arquivos da GPT no SYSVOL, então quando a GPO é restaurada volta corrompida/incompleta.. Uma GPO é composta por:
- GPC (Group Policy Container): Objeto no AD (CN=Policies)
- GPT (Group Policy Template): Arquivos no SYSVOL \\domain\SYSVOL\…\Policies\{GUID}
- O Active Directory Administrative Center não pode restaurar subárvores de objetos em uma única ação. Por exemplo, se você excluir uma OU com OUs, usuários, grupos e computadores aninhados, a restauração da OU base não restaura os objetos filhos.
- A operação de restauração em lote do Active Directory Administrative Center faz uma classificação de “melhor esforço” dos objetos excluídos dentro da seleção apenas. Assim, os pais são ordenados antes dos filhos para a lista de restauração. Em casos de teste simples, subárvores de objetos podem ser restauradas em uma única ação. Os casos extremos, como uma seleção que contém árvores parciais (árvores com alguns dos nós pais excluídos ausentes), ou os casos de erro (como ignorar objetos filhos quando a restauração pai falha) podem não funcionar conforme o esperado. Por isso, você deve sempre restaurar subárvores de objetos como uma ação separada depois de restaurar os objetos pais.
Como funciona a lixeira do Active Directory?
A lixeira do Active Directory implementa novos atributo ao Schema, sendo os seguintes para o funcionamento da lixeira:
- isDeleted
- Existe desde o Windows 2000 e existe em todos os objetos e descreve se um objeto foi excluído, mas pode ser restaurado;
- isRecycled
- Novo atributo no Windows Server 2008 R2 e existe em todos os objetos após serem criados e descreve se um objeto foi excluído, mas não pode ser restaurado;
- msDS-deletedObjectLifetime
- Novo atributo no Windows Server 2008 R2, está definido no container “CN=Directory Service,CN=Windows NT, CN=Services, CN=Configuration, DC=COMPANY, DC=COM” e descreve por quanto tempo um objeto excluído poderá ser restaurado;
- tombstoneLifetime
- Existe desde o Windows 2000 e está definido no container “CN=Directory Service,CN=Windows NT, CN=Services, CN=Configuration, DC=COMPANY, DC=COM”, ele descreve por quanto tempo um objeto excluído poderá ser restaurado;
Exemplo de como esses atributos funcionam na pratica:
- Imagine um usuário chamado Ace localizado na OU de Mugiwaras no domínio hcorp.local;
- Um administrador exclui o usuário/objeto Ace;
- Ace é movido para o container “CN=Deleted Objects,DC=hcorp,DC=local”
- O atributo isDeleted do objeto/usuário Ace é definido como TRUE;
Observação: Ace é um objeto logicamente excluído que pode ser recuperado e conterá todos os seus dados. O tempo de recuperação do Ace é controlado pelo Deleted Object Lifetime (DOL) e esse intervalo de tempo pode ser definido no atributo msDS-deletedObjectLifetime. Por padrão, será o mesmo número de dias que o Tombstone Lifetime (TSL). O TSL definido para uma nova floresta desde o Windows Server 2003 SP1 é de 180 dias, e como por padrão DOL é igual ao TSL, o número padrão de dias que um objeto pode ser restaurado é 180 dias. Se o parâmetro tombstoneLifetime não estiver configurado ou definido com o valor nulo, o tempo de vida do marcador de exclusão será o padrão do Windows: 60 dias.
- Após o Deleted Object Lifetime ser excedido (180 dias por padrão), o atributo isRecycled do Ace é definido como TRUE. Seu atributo isDeleted permanece definido como TRUE. O objeto Ace permanece no contêiner CN=Deleted Objects,DC=hcorp,DC=local. Neste ponto, Ace é um objeto reciclado que não pode ser recuperado e não contém mais todos os seus dados de atributos. Seu único propósito agora é informar outros Domain Controllers de que o objeto foi removido e que agora se trata de um objeto “comum”;
- Após o objeto reciclado Ace existir pelo valor do Tombstone Lifetime, ele é fisicamente excluído do banco de dados do AD através do Garbage Collection (um processo de manutenção do AD projetado para liberar espaço dentro do banco de dados do AD (Ntds.dit)). Na próxima desfragmentação online, esse espaço em branco será recuperado do banco de dados;
O atributo `isRecycled` não existirá em um objeto até que o objeto seja efetivamente reciclado. isRecycled na verdade significa “não recuperável“.
Abaixo um diagrama desse processo elaborado pela Microsoft.
Como verificar se a lixeira do Active Directory já está habilitada?
Existem duas formas:
Primeira: Abra o PowerShell e execute o comando:
Get-ADOptionalFeature "Recycle Bin Feature" | Select Name, EnabledScopesCaso a lixeira já esteja habilitada o campo EnabledScopes irá exibir o DN do domínio.
Caso a lixeira não esteja habilitada o campo EnabledScopes não exibirá nenhum DN de domínio.
A segunda forma é abrindo o Active Directory Administrative Center.
Clique com o botão direito no domínio, caso a opção Enable Recycle Bin … esteja cinza é porque já está habilitado.
Além disso também irá existir o container Deleted Objects.
Porém caso a opção Enable Recycle Bin … esteja na cor preto “habilitável” é porque não está habilitado.
Também não irá existir o container Deleted Objects.
Habilitando a lixeira do Active Directory:
Abra o Active Directory Administrative Center, clique com o botão direito sobre o domínio e selecione a opção Enable Recycle Bin…
Será exibido um avido que após habilitada não será possível reverter, clique em OK.
Será exibido um aviso que você deverá atualizar/refresh do console, clique em OK.
Depois clique em F5 ou feche e abra a console do Active Directory Administrative Center.
Após habilitar a lixeira verifique que foi criado o Container Deleted Objects.
Após essas configurações a lixeira do Active Directory será habilidade e novos objetos excluídos já poderão ser restaurados.
Testando a lixeira do Active Directory
Excluindo e restaurando usuário
Abra o console do Active Direacoty Administrative Center e navegue até o container Deleted Object.
Verifique que o usuário está na lixeira.
Para restaurá-lo clique com o botão direito sobre o usuário e selecione uma das opções Restore para restaurar o usuário na OU original que foi excluído ou Restore To… para restaurar o usuário em uma OU diferente da que foi excluído.
Lembre-se que você deve sempre restaurar subárvores de objetos como uma ação separada depois de restaurar os objetos pais. Ou seja, se a OU do usuário foi excluída junto do usuário, primeiro restaure a OU e depois o usuário. Ou utilize a opção Restore To…
Usuário restaurado
Para restaurar grupos, contatos, unidades organizacionais ou conta de computadores siga o mesmo processo informado acima.
Lembrando que somente objetos da partição de domínio podem ser restaurados. Abaixo um exemplo de objetos da partição de Configuration sendo excluídos, porém não é possível restauração através da lixeira do Active Directory.
Após a exclusão esses objetos não vão para a lixeira.
Para recuperar configurações de topologia de sites e subnets excluídas, você precisa realizar uma restauração autoritativa a partir de um backup do System State de um domain controller, usando ferramentas como ntdsutil.
GPO pode ser restaurada?
Com relação a restauração de Group Policy Objects (GPO), a lixeira do AD não é 100% para esse tipo de objeto, pois a lixeira do AD restaura apenas o objeto GPC no AD e não restaura os arquivos GPT no SYSVOL.
Para teste, foi criada a GPO chamada Config-01, essa GPO possui o UID {883775C7-C7D0-44C7-A6D0-A57017E882F0}
Group Policy Container (GPC)
Group Policy Template (GPT)
Excluindo a GPO
GPO deletada
Verifique que a GPO (CPC) é removida da console de gerenciamento.
A pasta de configurações da GPO (GPT) é excluída do SYSVOL.
Ao verificar a lixeira do AD, podemos identificar que os objetos GPC podem ser restaurados.
Vamos restaurar todos os objetos da GPO.
Objetos GPC restaurados.
Verifique que o UID restaurado foi o mesmo do anterior {883775C7-C7D0-44C7-A6D0-A57017E882F0}.
Porém o objeto GPT não é restaurado no SYSVOL.
Ao clicar na GPO restaurada uma série de erros e avisos são exibidos.
Mesmo editando a GPO o erro persiste, pois o AD não aplica o template (skel) default, ou seja, a pasta não é recriada com as configurações zeradas mesmo editando a GPO.
Neste caso o melhor cenário seria recriar a GPO e reaplicar aos objetos.
Assim finalizamos esse post com a lição que só devemos “contar” com a lixeira do Active Directory para objetos de usuários, grupos, contas de computador, contatos e Unidades Organizacionais.