Restore Eliminated Objects in Active Directory

Published on June 2016 | Categories: Documents | Downloads: 33 | Comments: 0 | Views: 165
of 17
Download PDF   Embed   Report

Comments

Content

Restaurando Objetos borrados de nuestro Active Directory, utilizando la herramienta AD DS/LDS Browsing Utility (LDP.EXE – Tombstone Reanimation) {HowTo}
Hoy vamos a ver otra forma de recuperar objetos borrados de nuestro Active Directory. Como hemos visto a lo largo del blog, sabemos que Active Directory es una base de datos jerárquica que almacena información acerca de los recursos de la red, tales como computadoras, servidores, usuarios, grupos, permisos y demás. El objetivo principal de Active Directory para proporcionar autenticación y autorización centralizados. Tareas administrativas comunes cuando se trabaja con Active Directory podrían ser la creación, gestión, mover, editar y, a veces – la eliminación – de diversos objetos, tales como cuentas de usuario, cuentas de equipo, grupos, contactos y otros objetos. La base de datos de Active Directory se almacena en los controladores de dominio (o DC), en un archivo llamado NTDS.DIT. Obviamente como vimos anteriormente en la nota de Recycle Bin, la nueva funcionalidad de Active Directory en Windows Server 2008 R2, con la nueva versión de 2008 podríamos estar cubiertos ante un error eventual y también deberíamos tener un backup de nuestro Active Directory al día, por cualquier inconveniente. Tengamos en cuenta que la restauración de los elementos eliminados de una copia de seguridad del estado del sistema anterior no es tan simple como parece; hay que iniciar nuestro sistema en "Modo de restauración de DS". Obviamente para Windows Server 2008 R2, se recomienda el uso de Active Directory Recycle Bin. Pero, hay que hacer un restore de todo nuestro AD si borramos por error un objeto y no tenemos el feature de Recycle Bin habilitado, o aun tengo Windows Server 2003 implementado ??? Bueno, no. Tenemos otra opción. En realidad, cuando eliminamos un objeto de Active Directory, no estamos borrándolo de inmediato, sino que marcamos dicho objeto para eliminarlo en un futuro. Active Directory utiliza un modelo de replicación que se caracteriza por ser "multi-master loose consistency with convergence", entonces se pueden hacer cambios en cualquier DC en el bosque, y los cambios se replicaran gradualmente por toda nuestra arquitectura de domain controllers. Entonces repetimos, cuando se elimina un objeto del directorio, no elimina físicamente los objetos de la base de datos. En su lugar, Active Directory marca el objeto como eliminado por valor de atributo isDeleted del objeto a TRUE, despojando a la mayoría de los atributos del objeto, cambiar el nombre del objeto, y después de mover el objeto a un contenedor especial en el contexto de nombres del objeto (CN) llamado CN = DeletedObjects. El objeto, que ahora se llama una tombstone, es invisible para las operaciones de directorio normal. Obviamente, los objetos no se quedan en este contenedor indefinidamente. La duración de este estado es por defecto es de 60 días para los bosques construidos inicialmente utilizando Windows 2000 y Windows Server 2003, y 180 días para los bosques que fueron construidos inicialmente con Windows Server 2003 SP1. También podemos cambiar este tiempo de vida en el limbo, cambiando el atributo tombstoneLifetime de CN=Directory Service,CN=Windows NT, CN=Services,CN=Configuration, DC= object . Cada 12 horas, cada controlador de dominio se inicia el proceso de recolección de basura (garbage collection process). Esto se puede cambiar modificando el valor del atributo garbageCollPeriod de la CN=Directory Service,CN=Windows NT, CN=Services,CN=Configuration,DC= object . Está recolección de basura analiza todos los Tombstone del DC y se eliminan físicamente los que son más antiguos que la fecha de dicho Tombstone. El contenedor DeletedObjects se encuentra oculta y no se puede ver mediante la consola Active Directory Users and Computers o por ADSIEDIT.MSC, pero podemos usar el LDP.EXE.

Lo que vamos a hacer es básicamente borrar un usuario y recuperarlo. En nuestro caso voy a eliminar la cuenta Roberto Di Lello, que tiene el distinguishedName: CN=Roberto Di Lello,OU=IT Department,DC=radians,DC=com,DC=ar.

Borramos este usuario.

Ejecutamos el comando LDP.exe (AD DS/LDS Browsing Utility) como administrador. esta utilidad se encuentra en 2003 en el support tools.

Nos conectamos a nuestro servidor controlador de dominio:

Hacemos clic en el menú Connection, haga clic en Bind, y el tipo de la cuenta de administrador y contraseña.

Haga clic en el menú Options, haga clic en Controls, y en el combo Load Predefined, seleccionamos Return Deleted Objects. Esta opción muestra el contenedor de objetos eliminados que se oculta de manera predeterminada.

Hacemos un clic en el menú View y seleccionamos Tree, luego seleccionamos el distinguished name de nuestro dominio. Sobre la izquierda, seleccionamos DC=radians,DC=com,DC=ar.

Expandimos el contenedor Deleted Objects, y buscamos el objeto que corresponde a Roberto Di Lello. Hacemos un clic con el botón derecho sobre la cuenta y seleccionamos Modify.

Aquí podemos ver que el valor isDeleted esta en true.

En el cuadro de atributos, ingresamos isDeleted. En el cuadro Operation, hacemos clic en el radio button Delete , y luego en el botón Enter.

En el cuadro Attribute, distinguishedName, en el cuadro valores, escribimos CN=Roberto Di Lello, OU=IT Department,DC=radians,DC=com,DC=ar, que es la ubicación en donde se encontraba nuestro usuario al momento de eliminarlo. En el cuadro Operation, hacemos clic en Replace, y a continuación hacemos clic en Enter. Seleccionamos Extended para que quede seleccionado, y luego hacemos un clic en Run.

Como resultado de este procedimiento no es perfecto al 100% como si lo es recycle bin. Podemos ver que la restauración de los objetos eliminados con el procedimiento de reanimación de Tombstone nos recupera la cuenta pero tenemos que tener en cuenta que vamos a tener que reestablecer la contraseña y activar la cuenta.

En Windows Server 2008, tenemos que primero reemplazar la contraseña para después si, poder habilitar la cuenta.

Otra cosa que este procedimiento no hace es traer el resto de los atributos, como podemos ver en el siguiente screenshoot:

De esta forma podrá acceder a los recursos compartidos que tenia anteriormente el usuario, solo que debemos completar los datos faltantes, incluyendo su membresía (los grupos a los que pertenecía antes de ser eliminado, si es que pertenecía a alguno).

Si deseamos tener una restauración exitosa incluidos todos los atributos del usuario, deberíamos considerar al hacer una restauración autoritativa desde una backup previo utilizando el modo Active Directory Restore Mode. Para mas información sobre este método les dejo el link de una nota que escribí hace un tiempo sobre Restauración Autoritativa en la sección de links de esta nota.

Sponsor Documents

Or use your account on DocShare.tips

Hide

Forgot your password?

Or register your new account on DocShare.tips

Hide

Lost your password? Please enter your email address. You will receive a link to create a new password.

Back to log-in

Close