Главная Windows, Новое Восстановление удаленных доменных учетных записей в Windows 2003/2008/2008R2
  • Восстановление удаленных доменных учетных записей в Windows 2003/2008/2008R2

    Снимок Темы, посвященные резервному копированию, я всегда начинаю с шутки: «Системные администраторы делятся на две группы, те которые уже делают резервные копии и те которые еще не делают». На самом деле эта шутка «Со слезами на глазах». В бытность работы начинающим системным администратором я потерял по собственной халатности несколько файлов и помню чувство, которое испытал в процессе вызова «на ковер». Никому такое не пожелаешь. Но несколько файлов это все же не так страшно как полная потеря вашей инфраструктуры и остановка фирмы. Сегодня я не буду говорить непосредственно о резервном копировании, вместо этого мы рассмотрим варианты восстановлении самого важного для Windows сетей, (После баз данных) — Active Directory, восстановление её объектов без наличия резервной копии.

    Active Directory используют сотни тысяч компаний по миру, но поверьте, грамотно разбираются в восстановлении AD единицы системных администраторов. То, что я буду рассказывать, уже неоднократно печаталось. Но, я попытался сделать более серьезную работу. Во-первых, постарался донести материал максимально понятно. Во-вторых, объединить в статье информацию о Windows 2003, Windows 2008 и Windows 2008R2 Beta.

    Запаситесь временем, оно вам понадобится. Но та польза, которую вы получите, подробно разобравшись в тексте статьи, с лихвой его окупит.

    Если я удалил из Active Directory нужного пользователя (группу или компьютер)? Что мне делать?

    Такой вопрос я часто слышу на своих курсах. Действительно, что же делать. Давайте подумаем, мы можем создать нового пользователя и назвать его точно также как и удаленного. Поможет ли?

    Могу сразу сказать, нет. Да ваш пользователь может зайти в сеть под новой учетной записью, но попытавшись обратиться к папкам на файловом сервере, к спискам SharePoint, любым приложениям, на которые у него были права, он получит отказ. Также входе на свой компьютер у него создастся новый профиль пользователя.

    И все это по одной простой причине, каждый объект Active Directory содержит дополнительную информацию, не видимую простому пользователю. Этой информацией является SID объекта. Что же это такое. Для начального понимания предлагаю пример из жизни. Налоговая Инспекция Российской Федерации должна отличать каждого налогоплательщика в стране. Но как быть, если в Стране тысячи Ивановых Иванов Ивановичей, как распознать, кто есть кто. Очень просто выдать каждому по уникальному номеру. Проблема решена. Похоже, решается и проблема уникальности в Active Directory.

    Security Identifier (SID) это идентификатор безопасности, который уникально идентифицирует, учетную запись пользователя, группы или компьютера. (Проще говоря, уникальный номер)

    SID присваивается каждой учетной записи в момент её создания. Система работает с SID'ами учетных записей, а не их именами. В контроле доступа пользователей к защищаемым объектам (файлам, ключам реестра и т.п.) участвуют также только SID'ы.

    Может возникнуть вопрос – Я же вижу имена учетных записей при настройке прав к папке на диске с файловой системой NTFS. Где там SID`ы?

    Отвечу очень просто, вы видите это, потому что работать непосредственно с SID было бы очень неудобно. Компьютер облегчает вам задачу и показывает имена, а не SID`ы.

    Пример SID’ a (S-1-5-21-1986275044-495590890-615916108)

    Попробуйте запомнить два десятка таких 🙂

    Вернемся к главной теме.

    Сейчас мы можем сделать вывод: Создание копии учетной записи взамен удаленной это самый плохой вариант, поскольку вся информация, которая была закреплена за старой учетной записью, пропадет и нам придется заново, раздавать права, включать пользователя в группы, настраивать программы, с которыми работал клиент. И еще много разных неприятных моментов, вплоть до восстановления зашифрованных пользователем файлов.

    На этом моменте мы откинем мысли о повторном создании учетной записи и попытаемся разобраться в том, существуют ли более «гуманные» способы вернуть учетную запись.

    Для того, чтобы ответить на этот вопрос, надо разобраться с тем, что происходит после того как вы нажали «Удалить» и объект пользователя или компьютера исчез из оснастки Active Directory User and Computers. Сразу хочу обрадовать, наш объект не исчез из Active Directory и не удалился бесследно. Он спрятался и ждет, ждет, пока вы одумаетесь и вернете его. Сразу вопрос, сколько же он будет ждать?

    Ответ, это зависит от того на базе каких версий Windows Server построена ваша Active Directory.

    Срок ожидания равен (это параметр правильно называется «tombstoneLifetime»):

    60 дням для лесов, построенных при помощи Windows® 2000 и Windows Server 2003

    180 дней для лесов, построенных при помощи Windows Server 2003 SP1, Windows Server 2008/R2

    Что самое интересное, «tombstoneLifetime» (давайте называть вещи своими именами, теперь мы знаем что значит данный термин) это параметр на который вы можете влиять, т.е давать ему значение по своему усмотрению.

    Посмотреть текущее значение «tombstoneLifetime» и поменять его можно следующим способом.

    Вам понадобится оснастка ADSI Edit.

    image

    Рис. 1. Открываем оснастку и выбираем “Connect to...

    image

    Рис. 2. Подключение.

    В показанном на рисунке 2 окне, выбираем «Select or Type a Distinguished Name» и в пустом поле вводим путь «CN=Directory Service,CN=Windows NT, CN=Services, CN=Configuration, DC=<корневой домен>». Где <корневой домен> это имя вашего домена.

    Мой домен назывался — testlab.local и строка пути выглядела следующим образом:

    «CN=Directory Service,CN=Windows NT, CN=Services,CN=Configuration,DC=testlab,DC=local»

    После ввода нажимаем “OK” и если вы все сдали правильно, в оснастке появится новый контекст именования, который нам необходимо развернуть и зайти в свойства введенного пути.

    image

    Рис. 3. Заходим в свойства введенного пути.

    image

    Рис. 4. Изменение атрибута «tombstoneLifetime»

    В открывшемся меню находим атрибут «tombstoneLifetime» , как вы видите на моем контроллере домена под управлением Windows Server 2008 R2 Beta, он равен 180 дням.

    Сделаем второй вывод: Теперь мы не только точно можем узнать, сколько будет храниться в нашей базе данных удаленный объект, но и изменить это время по своему желанию. Ради справедливости следует заметить, что делать это практически нет необходимости. Как только объект устаревает, т.е находится в удаленном состоянии более срока «tombstoneLifetime», он удаляется из базы данных и больше вы не сможете его восстановить. Т.е любые операции по восстановлению только до истечения срока «tombstoneLifetime», позже нельзя. Запомните это.

    В некоторых статьях в интернете и некоторых книгах приводятся способы восстановления объектов Active Directory после истечения срока «tombstoneLifetime», относитесь к этому как к трюкам экстремалов, как к высшему пилотажу. В определенно отведенном месте это имеет место быть, в городских или в вашем случае рабочих условиях неподготовленный человек просто свернет голову, а вы потеряете всю Active Directory.

    Отлично со временем «загробной жизни» наших объектов мы разобрались. Теперь необходимо понять где находятся наши объекты после удаления и до того как они окончательно исчезнут.

    После удаление объекты попадают в контейнер «Deleted Objects». Не пытайтесь увидеть его содержимое через оснастку Active Directory User and Computers. У вас это не получится. От глаз «простых смертных» он надежно спрятан. 🙂

    Для того чтобы все-таки увидеть сам контейнер и те объекты, которые были удалены нам понадобится одна из двух вещей. Либо служебная программа «LDP», схожая с проводником Windows, для работы с Active Directory, либо утилита «Ad Explorer» из комплекта легендарных утилилит Sysinternals. Ни одна, ни вторая не установлена при новой инсталляции Windows Server 2003. В Windows Server 2008 и 2008R2 программа «LDP» входит изначально.

    LDP можно получить установив на свой сервер Windows 2003 Support tools, комплект утилит, свободно скачиваемых с сайта Microsoft.

    Утилита «Ad Explorer» доступна свободного скачивания с Веб-узла Windows Sysinternals.

    Я воспользуюсь «Ad Explorer» так как, на мой взгляд, для данной цели она более дружелюбна.

    image

    Рис. 5. Подключение через утилиту AdExplorer.

    Запустив AdExplorer, вы сразу сталкиваетесь с окном, предлагающим вам ввести имя домена, к которому вы хотите подключиться, а также имя Администратора и его пароль. Вводим, нажимаем «ОК».

    После разворачиваем раздел нашего домена и видим скрытый до этого контейнер «Deleted Objects».

    image

    Рис. 6. Контейнер Deleted Objects

    Разворачиваем контейнер Deleted Objects и не пугаемся количеству объектов хранящихся в нем, в моем примере, я легко нахожу удаленную запись пользователя Bill Gates по иконке и имени. (Рис.7.)

    Теперь перед нами возникает другая проблема, как вернуть учетную запись обратно в оснастку “Active Directory User and Computers” и позволить пользователю полноценно работать, что он, собственно говоря, и делал до удаления. И опять перед вами есть два пути.

    Первый путь является более сложным и предназначен для администраторов хорошо знакомых с алгоритмом удаления/ восстановления объектов Active Directory. Путь пролегает через использование уже знакомой вам утилиты Ldp.exe.

    Суть процесса выглядит следующим образом. При удалении и попадании учетной записи в «Deleted Objects » к имени пользователя добавляется DEL , а также в атрибутах объекта пользователь атрибут «isDeleted» переходит в состояние TRUE, что значит истина, а на языке простых смертных состояние включен. Соответственно что бы учетка вернулась в нормальное состояние, нам необходимо используя Ldp.exe выключить этот атрибут и заменить то, что имеем на нормальное имя. Повторюсь еще раз это более сложный путь, и я его описывать не буду. Для тех, кто выбирает сложные есть Google и встроенная справка.

    image

    Рис.7. Удаленный объект в Deleted Objects

    image

    Рис. 8. Adrestore

    Мы пойдем по второму пути, а именно воспользуемся утилитой командной строки от Sysinternals под названием «AdRestore». Не путайте, пожалуйста, с «AdExplorer» у них похожие названия, но разное назначение. У кого данной утилиты еще нет, скачиваем ее с сайта Microsoft. Распаковываем данную утилиту на диск C:\ и запускаем с командной строки.

    Синтаксис команды достаточно простой, чтобы восстановить пользователя Bill Gates я ввел утилиту с ключом “-r” и явно указал имя пользователя для восстановления. Если вы хотите посмотреть полный список доступных объектов, вводите AdRestore без ключа.

    Итак, объект восстановлен, теперь мы можем его обнаружить в оснастке «Active Directory User and Computers»

    image

    image

    Рис. 9 Пользователь после восстановления.

    Что же мы видим, учетная запись оказывается отключенной и при попытке включить ее на экране, появляется ошибка, говорящая о невозможности обновить пароль.

    Теперь я могу сформулировать третий вывод. При удалении учетной записи и помещения ее в контейнер Deleted Objects теряются все атрибуты записи, кроме SID, ObjectGUID, LastKnownParent и SAMAccountName и при возвращении записи, указанным способом они не восстанавливаются. В том числе и пароль пользователя.

    Что такое SID вы уже знаете, ObjectGUID это еще один идентификатор нашего объекта, LastKnownParent это путь контейнеру в котором находился объект до удаления, а SAMAccountName – имя для входа пользователя. Все остальное, увы, так легко не вернется.

    Поэтому вам придется сменить пароль, включить учетную запись и заново ввести все атрибуты.

    В статье Джил Киркпатрика (Gil Kirkpatrick) под названием «Восстановление объектов-захоронений Active Directory» есть краткое описание того, что мы может путем некой манипуляции заставить атрибуты объектов сохраняться при удалении. И естественно при восстановлении они также будут доступны. Я пойду дальше и распишу этот процесс. Сразу скажу, что атрибуты уже удаленных записей это не вернет.

    План наших действий будет такой:

    1. Откроем оснастку ADSI Edit

    2. Выберем «Подключиться к» или «Connect to»

    3. В появившемся окне выбрать подключение к разделу Схема нашей Active Directory

    4. Найти нужный нам атрибут и зайти в его свойства.

    5. В свойствах атрибута найти параметр «searchflags»

    6. Включить третий бит в значении параметра «searchflags»

    Пугаться плана не стоит, сейчас мы подробно разберемся в данном процессе. Я буду выполнять данную операцию на Windows Server 2008R2 Beta, но на младшей версии Windows Server 2003 процесс будет аналогичным.

    image

    Рис.10 Запускаем ADSI Edit и выбираем «Connect to»

    image

    Рис 11. В появившемся окне выбираем подключение в Схеме Active Directory. (Schema)

    На данном моменте начинается самое интересное, развернув схемы в правой части оснастки, вы получите огромный список атрибутов. И чтобы найти нужный вам как минимум нужно знать, как он называется в схеме. Названия атрибутов, которые указаны в свойствах объекта Active Directory в схеме часто несколько отличаются.

    image

    Рис. 12 Список атрибутов.

    Я приведу пример соотношения имен в свойствах объекта и схеме следующей иллюстрацией, созданной Ильей Сазоновым в его блоге. Если вы хотите посмотреть полную картину соотношений, то советую перейти по следующей ссылке.

    http://msdn.microsoft.com/en-us/library/ms677980 (VS.85).aspx

    image

    Рис.13 Имена атрибутов Active Directory в схеме. (Указаны красным цветом)

    Проверять данную процедуру я буду на атрибуте Company (Компания). В данном случае имя атрибута в схеме такое же. Для того чтобы найти в длинном списке нужный нам атрибут, необходимо поставить курсов мыши на любой из атрибутов и начать набирать с клавиатуры:

    CN= company

    Причем набирать необходимо быстро и необязательно полностью, набрав например «CN= com» вы попадете на список атрибутов начинающихся с «com» и легко отыщите нужный.

    image

    Рис.14 Поиск нужного атрибута.

    После нахождения нужного атрибута открываем его двойным щелчком мыши и на закладке «Attribute Editor» ищем параметр «searchflags». У каждого атрибута он свой и представлен десятичным числом. В моем случае «searchflags» равен 16.

    image

    Рис. 15 Параметр «searchflags» для атрибута «Company»

    Если вы вернетесь на пару страниц вверх к списку того, что нужно сделать для сохранения атрибута при удалении, то увидите, что остался один пункт «Включить третий бит в значении параметра «searchflags»»

    Для того чтобы перевести десятичное число 16 в двоичное я воспользуюсь инженерным калькулятором. В двоичном виде я получил «100000». Что значит включить третий БИТ? Значит, третий бит должен быть равен «1»

    Находим третий бит. Считаем справа на лево.

    «1 0 0 0 0 0»

    Первый справа 0-й бит

    Второй справа 1-й бит

    Третий справа 2-й бит

    Четвертый справа 3-йбит. Тот, который нужно включить.

    Меняем его на «1» и получаем в двоичной системе «101000», что и переводим десятичную систему тем же инженерным калькулятором. Получаем «40». И именно эти «40» и ставим в значении «searchflags». Нажимаем «Ок» и закрываем все лишнее. Теперь для проверки правильности действий, вы можете создать новую учетную запись и ввести атрибут «Company». После чего ее удалить и восстановить с помощью утилиты «Adrestore». При правильном выполнении вышеописанной процедуры при восстановлении учетной записи атрибут «Company» не будет потерян.

    Вывод третий. Да, мы можем прописать параметр «searchflags» и при восстановлении объекта Active Directory эти атрибуты теряться не будут. НО, следует помнить, что есть особенные атрибуты описывающий членство нашего пользователя в группах Active Directory. К сожалению, подобным образом защититься от его удаления нельзя. Существует способ восстановления членства в группах, но в данной статье он рассмотрен не будет, т.к требует знакомства еще с рядом понятий.

    А сейчас я бы хотел перейти к новой возможности, которая стала доступна с выходом Windows Server 2008 R2 под названием «Active Directory Recycle Bin»  или Корзина удаленных объектов. Она предназначена для решения как раз наших проблем.
    Для начала немного теории.  Жизненный цикл цикл объекта  «Active Directory»  в любой версии Windows Server выглядит одинаково. (Рис.16) Разница лишь в сроке хранения захороненного объекта. (tombstoneLifetime). По умолчанию в Windows Server 2008 R2 «Active Directory Recycle Bin»   отключена.

    image

    Рис. 16 Жизненный цикл объекта Active Directory.

    При включении «Active Directory Recycle Bin» схема удаления несколько меняется. Главное преимущество которое мы получаем, это возможность восстановить удаленный объект с сохранением все атрибутов без перезагрузки и резервной копии. («типа link-valued» — как пример «Членство в группах» и «типа non-link-valued» — как пример «Компания»)

    image

    Рис. 17 Жизненный цикл объекта Active Directory при включенной «Active Directory Recycle Bin».

    При включенной корзине после удаления объекты также попадают в контейнер «Deleted Objects», но теперь с сохранением всех атрибутов, объекту присваивается статус «logically deleted» и находятся, он в таком состоянии в течение определенного времени, на схеме время показано как «Deleted object lifetime». Пока не истекло это время, вы можете спокойно восстановить объект из корзины без каких либо последствий.

    По прошествии времени «Deleted object lifetime», у объекта меняется статус на «recycled object» и большинство его атрибутов удаляется. После чего он продолжает храниться в течении «Recycled object lifetime» промежутка. По окончании, которого он удаляется из базы.

    Какие же требования нам необходимо соблюсти, чтобы начать использовать функционал новой корзины. Все достаточно жестко.

    Необходимо:

    a) Убедить, что все контроллеры домена в лесу работают под управлением Windows Server 2008 R2

    b) Поднять уровень нашего леса до Windows Server 2008 R2

    c) Если лес изначально создавался на базе Windows Server 2003 — осуществить обновление схемы

    Примечание: Для обновления схемы: выполнить adprep /forestprep на контроллере домена с ролью «schema master», выполнить adprep /domainprep /gpprep на контроллере домена с ролью «infrastructure operations master». Если есть контроллер домена только для чтения (RODC) запустить на нем adprep /rodcprep.

    Ну что ж, теперь давайте проверим новый функционал. В моей лабораторной среде только один контроллер домена под управлением Windows Server 2008 R2, так что подготовительные пункты а) и с) я опускаю. Первый по причине отсутствия других контроллеров домена, второй поскольку я поднимал лес на Windows Server 2008 R2 изначально.

    Но поднятие уровня леса мне придется осуществить. На текущий момент мой уровень леса стоит По-умолчанию Windows Server 2008. Можете осуществить поднятие классически через оснастку «Active Directory Domain and Trust», а можно воспользоваться Active Directory PowerShell.

    image

    Рис.18 Поднятие уровня леса (Click Start, click Administrative Tools, right-click Active Directory PowerShell)

    При этом необходимо выполнить:

    Set-ADForestMode –Identity testlab.local -ForestMode Windows2008R2Forest

    Постойте! Скажут те из вас кто хорошо знаком с Active Directory. Ведь для поднятия леса нам необходимо сначала поднять уровень домена? Да, в Windows Server 2003 вам нужно было сделать именно так. В Windows Server 2008 R2 автоматически поднимает уровень доменов, упрощая достижение цели на несколько кликов мышью.

    Все предварительные этапы пройдены и теперь мы готовы включить «Active Directory Recycle Bin». Сделаем это опять же из «Active Directory PowerShell» выполнив командлет:

    Enable-ADOptionalFeature –Identity  ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=testlab,DC=local’   –Scope Forest  –Target ‘testlab.local’

    image

    Рис. 19 Включение «Active Directory Recycle Bin»

    Естественно при выполнении команд не забудьте поменять имя домена, заменив testlab.local на имя вашего домена.

    Теперь задача выполнена и «Active Directory Recycle Bin» работает.

    Что хотелось бы отметить:

    А) Приятного графического способа работы с «Active Directory Recycle Bin» на текущий момент нет. Майкрософт рекомендует два способа работы с корзиной. Первый через утилиту Ldp.exe. Второй через командлеты «Get-ADObject-Filter» и «Restore-ADObject» .

    Б) Лично я использовал для восстановления объектов утилиту “AdRestore”. При включенной корзине все атрибуты и пароль пользователя восстановились вместе с учетной записью.

    В) Время, выделяемое на «Deleted object lifetime» и «Recycled object lifetime» можно менять. Если время «Deleted object lifetime» не задано явно, а по умолчанию оно не задано, то равно продолжительности параметра «tombstoneLifetime», т.е 180-и дням. Остается еще один параметр «Recycled object lifetime» — период времени, когда атрибуты уже уничтожены, но объект еще существует, при определении этого времени используется параметр «tombstoneLifetime». Именно в нем это время и прописывается.

    Итоги:

    Прежде всего, хотелось бы отметить, что Active Directory имеет механизм восстановления учетной записи без перезагрузки контроллера домена в режим «Восстановления Службы Каталогов» и остановки его работы. В Windows Server 2008 R2 это механизм был усовершенствован с помощью «Active Directory Recycle Bin», при этом решена проблема сохранения атрибутов удаленных объектов. Конечно, у вас могу остаться вопросы. А что будет, если пользователь имел Exchange-атрибуты? Что станет с теми учетными записями, которые были удалены до включения корзины? Что еще можно восстановить таким способом? Ответы на них каждый желающий может найти на сайте technet.microsoft.com или проведя несколько лабораторных работ, развернув на виртуальном стенде несложную инфраструктуру. И напоследок старые добрые советы: не работайте с правами доменного администратора, используйте делегирование прав, читайте документацию и отключайте учетные записи вместо удаления. Удачи.

    Рудь Илья

    MCSE/MCT

    me@rudilya.ru

    • Рубрика: Windows,Новое
    • Автор: Илья Рудь
    • Дата: Пятница 27 Мар 2009

Комментарии

  1. Если бы таким языком была написана «толстая» книга по админству,я бы читал её не только для новых знаний,но и для поднятия настроения*) Спасибо.

  2. Спасибо, Я старался.

    У меня просьба, не ленитесь комментируйте статьи, обратная связь для повышения качества просто необходима.

  3. хотелось бы аналогичные статьи по всему АД или по его частям.

  4. Скорее всего в ближайшие две три недели, я начну выкладывать статьи по AD с самого начала. Так что следите за обновлениями.

    Поступил вопрос через личные каналы "Где в Windows 2003 найти ADSI Edit? "

    Ответ: Получить его можно установив с дистрибутивного диска сервера из папки \support\tools\supptools.msi

  5. [...] предприятияИспользование в работе «GP Preferences»Восстановление удаленных доменных учетных записей в Wi...Эксперимент: Виртуализация и виртуальные жесткие [...]

  6. Присоединюсь к вышесказанному, отличная статья, написана очено доступно. И хотелось бы продолжения статей по AD.

  7. Статья понравилась. Читается легко и не грузит лишней информацией.

  8. Будут ребята, будут. Сейчас чуть чуть разберусь с делами и все будет.

  9. Если можно точнее, где взять ADSI Edit???

  10. С диска с Windows 2003 установить \support\tools\supptools.msi, а потом нажать Пуск — Выполнить — mmc — Консоль — Добавить или удалить оснастку — Добавить — ADSI Edit 🙂

  11. Когда нажимаю -Добавить там нет ADSI Edit

  12. Ну даже не знаю) Скачайте Adexplorer, она делает тоже самое.

    technet.microsoft.com/en- ...ls/bb963907.aspx

  13. пишет сервер неработоспособен (( что мне делать?

  14. Мой месенджер rud.ilya@gmail.com. Обратитесь по нему. Я попробую помочь.

  15. Отличная статья. Простой и быстрый метод восстановить доступ к DC )

  16. После установки support\tools\supptools.msi в пуск->выполнить наберите Adsiedit.msc

    Илья спасибо. Вернулся с отпуска, пользователь не может залогинится, по статье быстренько востановил пользователя, так сказать опробовал на практике. Все пучком.

  17. Да незачто, для этого и пишем. 🙂

  18. Спасибо, очень помогло при востонавлении юзверей =)

  19. А что Вы скажете о Quest Recovery Manager for Active Directory?)

  20. Скажите пож-то по поводу корзины-это только на R2?

    На 2008 по видимому нет этой опции...

  21. Да и конечно же спасибо за статью-очень понравилось и очень полезно в работе 5+!!!!

  22. Да, вы правы. Только Windows 2008 R2 и только в режиме работы леса AD — Windows 2008 R2.

    C Quest Recovery Manager for Active Directory не работал и ничего сказать не могу, но подозреваю, что он стоит денег. Если нет, то было бы интересно взглянуть.

  23. Windows PowerShell

    Copyright © 2009 Microsoft Corporation. All rights reserved.

    PS C:\Users\Administrator> Enable-ADOptionalFeature -Identity `CN=Recycle Bin Feature,CN=Optional Features,CN=Directory

    Service,CN=Windows NT,CN=Services,CN=Configuration,DC=qaz,DC=ru' -Scope Forest -Target `qaz.ru'

    The term 'Enable-ADOptionalFeature' is not recognized as the name of a cmdlet, function, script file, or operable progr

    am. Check the spelling of the name, or if a path was included, verify that the path is correct and try again.

    At line:1 char:25

    + Enable-ADOptionalFeature <<< Enable-ADOptionalFeature -Identity `CN=Recycle Bin Feature,CN=Optional Features,CN=Directory

    Service,CN=Windows NT,CN=Services,CN=Configuration,DC=testlab,DC=local' -Scope Forest -Target `testlab.local'

    Что с этим делать-подскажите???

    Вы правы лицензия стоит от 12 долларов. Но это того стоит)))

  24. >Что с этим делать-подскажите???

    1. Прочитать на что ругается: «'Enable-ADOptionalFeature' is not recognized as the name of a cmdlet»

    2. Понять, что ваш PowerShell не знает о существовании такого коммандлета.

    3. Запустить Active Directory PowerShell, который уже скорее всего установлен.

    4. Включить корзину 🙂

  25. Active Directory PowerShell а это где?

  26. Start -> Administrative Tools

  27. Ой сори...я не заметил-нашел)))

  28. PS C:\Users\Administrator> Enable-ADOptionalFeature -Identity `CN=Recycle Bin F

    eature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Co

    nfiguration,DC=qaz,DC=ru' -Scope Forest -Target `qaz.ru'

    Enable-ADOptionalFeature : Cannot bind parameter 'Scope'. Cannot convert value

    «Forest» to type «Microsoft.ActiveDirectory.Management.ADOptionalFeatureScope»

    due to invalid enumeration values. Specify one of the following enumeration val

    ues and try again. The possible enumeration values are «Unknown, ForestOrConfig

    urationSet, Domain».

    At line:1 char:168

    + Enable-ADOptionalFeature -Identity `CN=Recycle Bin Feature,CN=Optional Featu

    res,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=qaz,DC=r

    u' -Scope <<<< Forest -Target `qaz.ru'

    + CategoryInfo : InvalidArgument: (:) [Enable-ADOptionalFeature],

    ParameterBindingException

    + FullyQualifiedErrorId : CannotConvertArgumentNoMessage,Microsoft.ActiveD

    irectory.Management.Commands.EnableADOptionalFeature

    Теперь вот это (((

  29. PS C:\Users\Administrator> Set-ADForestMode -Identity qaz.ru -ForestMode Windows

    2008R2Forest

    Confirm

    Are you sure you want to perform this action?

    Performing operation «Set» on Target

    «CN=Partitions,CN=Configuration,DC=qaz,DC=ru».

    [Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help

    (default is «Y»):y

    PS C:\Users\Administrator> Enable-ADOptionalFeature -Identity `CN=Recycle Bin F

    eature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Co

    nfiguration,DC=qaz,DC=ru' -Scope Forest -Target `qaz.ru'

    Enable-ADOptionalFeature : Cannot bind parameter 'Scope'. Cannot convert value

    «Forest» to type «Microsoft.ActiveDirectory.Management.ADOptionalFeatureScope»

    due to invalid enumeration values. Specify one of the following enumeration val

    ues and try again. The possible enumeration values are «Unknown, ForestOrConfig

    urationSet, Domain».

    At line:1 char:168

    + Enable-ADOptionalFeature -Identity `CN=Recycle Bin Feature,CN=Optional Featu

    res,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=qaz,DC=r

    u' -Scope <<<< Forest -Target `qaz.ru'

    + CategoryInfo : InvalidArgument: (:) [Enable-ADOptionalFeature],

    ParameterBindingException

    + FullyQualifiedErrorId : CannotConvertArgumentNoMessage,Microsoft.ActiveD

    irectory.Management.Commands.EnableADOptionalFeature

    Опять выходит пакость ...

  30. 2kilo

    Почему-то ваши сообщения попали в спам.

  31. По первому сообщению, ты сам разобрался. По второму скорее всего нужно чуть чуть подождать, дабы прореприцировались изменения.

  32. Так как проверить включилось или нет?

  33. Я думаю все же стоит прочитать статью)

  34. Я и так на 5 раз перечитал, а ошибкам не проходит((((Не пойму чего не хватает(((

  35. Честно не знаю и времени гуглить нет. Пойдите на мс форум, озадачьте местных постояльцев.

  36. Ок.

    Все ровно спс)

  37. Разберетесь, не сочтите за труд в коментах решение оставить 🙂

  38. Ну наконец то я включил корзину...

    Пытаюсь востановить уч. запись c:\ adrestore.exe -r test

    выдает, что не знает такой команды...хотя я скачал и установил эту софтинку...

    Microsoft Windows [Version 6.1.7100]

    Copyright © 2009 Microsoft Corporation. All rights reserved.

    C:\Users\Administrator>cd c:\

    c:\>adrestore.exe -t test

    'adrestore.exe' is not recognized as an internal or external command,

    operable program or batch file.

    c:\>

  39. Стоп. Устанавливать там ничего не нужно. Ты копируешь adrestore.exe на диск C:\. После чего просто выполняешь ее из cmd.exe Она выведет тебе список удаленных обьектов.

    Как корзину то включил?

  40. Я имеюю ввиду скопировал на диск...

    Вкл. так: Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target ''

  41. adrestore.exe не связана с корзиной и ее работа как и любой утилиты должна стартовать нормально. Может быть дело в UAC хотя врятли.

  42. В том то и дело, что я пробовал работу этой утилиты в 2008 (корзины естественно) все работало, а в R2 почему-то не хочет(((

  43. В любом случае у вас есть «Get-ADObject-Filter» и «Restore-ADObject».

  44. Великолепно написанно,вот если бы в таком виде я её прочел много лет назад, а не был вынужден шерстить интернет выискивая крупицы в массе словоблудия и недоговорок иных авторов 🙂

    Илья,извините что фамильярен,но может пора задуматся о «собрании сочинений» в бумажном виде?!

  45. Ростислав, действительно удачных статей не так много. В данный момент некогда даже спать) Это заметно по затишью на сайте. Книги это неблагодарный труд.

  46. Отличная статья. Очень легко читать. Понятно и доступно. Спасибо Вам

  47. Забыл сказать спасибо за помощь))))

  48. для понимания механизмов можно восстановить вручную. но для работы лучше использовать бесплатную ADRestore.NET от разработчика MS.

  49. А как восстановить учетку, если CN на русском был. Adrestore не показывает такого пользователя в списке 🙁

  50. Она показывает его, просто имя пустое. Но «Adrestore -r Илья» прекрасно отрабатывает. Используйте для просмотра DelObj утилиту AdExplorer.

  51. Спасибо все получилось! Я был на волоске...

  52. Думаю, этот волосок был диаметром с трос от «золотых ворот» 🙂

  53. Ребят, мне показалось или при переводе 16 в десятеричную форму результат неверен ?

    «Для того чтобы перевести десятичное число 16 в двоичное я воспользуюсь инженерным калькулятором. В двоичном виде я получил «100000»»

    По-моему это будет как раз 32 а не 16 ))) а 16 => 10000, в итоге 3тий бит добавим будем 11000, что равно 24, а никак не 40

  54. Редактировать не нашел как пост выше ))) поэтому поправлюсь сам

    *переводе 16 в ДВОИЧНУЮ есс-но форму результат неверен

  55. Вы правы, там косяк.

    p.s чтобы править коменты нужно зарегистрироваться

  56. Илья, здравствуйте. Еще одна ваша статья, проглоченная мною с большим аппетитом. Вы выбираете самые трудные темы и преподносите их легко и просто. Это талант! Теперь я полезла на сайт Microsoft просматривать утилиты.

  57. Автор, 16 = 1 0 0 0 0, а не так, как написано в статье с вытекающими последствиями. А за остальное хочу сказать: «Огромное спасибо!».

  58. Так что там на счет перевода bin-dec. В тексте получается ошибка что ли? Как все таки править надо? И еще я заменил на 40, а обратно поставить 16 он мне уже не дает почему-то...

  59. в мемориз!

  60. Спасибо огромное! Вы мне жизнь спасли!

  61. Храни тебя Бог))))

  62. Ни как не могу найти ответ на вопрос: меняются ли objectGUID у объектов во время обновления схемы или обновления системы?

  63. подскажите, а если была попытка удаления учетки Гость, которая не удалилась, но инфа о ней удалилась — как это восстановить?

  64. Спасибо. Очень пригодилось.

    Не уверен, первый ли я с подобной просьбой. А что если сразу выкладывать ссылки на утилиты, указанные в статье, такие как ADexplorer и т д. Найти их в гугле проблем не составит, но для полной красоты было бы неплохо.

  65. Илья, спасибо за написанную доступным языком статью! С ее помощью восстановила случайно удаленного пользователя.

  66. Спасибо за отлично написанную статью. Доступно и информативно

  67. десятичная 16 это 10 000 в шестнадцатеричной, а не 100 000.

  68. День добрый !!! Кто может помогите поделитесь опытом ? Вопрос : Есть учетные записи где на вкладке путь к профили и домашная папка тама прописаны пути это было раньше ну типа перемещяемый профиль, теперь мы не используем перемещяемый профиль задача така как на всех учетка очистить эту строку (путь к профилю) скрип через комнаду или как ?

  69. Вот пример bulk замены Property для пользователей в заданном OU. Меняю только HomeDrive&HomeDir.

    get-aduser -SearchBase «ou=Usr,Ou=hq,ou=wintestlab,dc=wintestlab,dc=ru» -filter * -Properties GivenName, HomeDirectory, HomedirRequired, Homedrive | % {set-aduser $_ -Replace @{Homedrive=" «;Homedirectory=» "}}

  70. согласно calc.exe: 16 в двоичной будет 10000, т.е. на 0 меньше, чем в статье.

    а 10100 в десятеричной — 20

  71. Всё-таки всё настолько еще коряво! Ну почему нельзя сделать нормальный гуи по аналогии с корзиной в Проводнике? Зашел, нажал Восстановить и всё вернулось. Да ну на!)))

Опубликовать

Я не робот.