ما هي ال Active Directory Recycle Bin ؟
هي ميزة جديده أضافتها ميكروسوفت ل Windows Server 2008 R2 وهي تمكننا من استرجاع ال Objects المحذوفة من ال Active Directory بكل سهولة
ماذا قبل Windows Server 2008 R2 ؟
قبل Windows Server 2008 R2 كان يمكننا استرجاع ال Objects المحذوفة بطريقتين :
الطرقة الاولى من خلال عمل Authoritative Restore من نسخة System State Backup ويعيب هذه الطريقة أننا لابد أن نعمل Restart للسرفر ثم ندخل الى AD Restore Mode أي أن ال DC يكون معطل أثناء عملية ال Restore
وللمزيد من المعلومات عن هذه الطريقة يمكنك مراجعة هذا الرابط
الطريقة الثانية تسمى Tombstone Reanimation وهي مبنية على فكرة أن أي Object يتم حذفة من ال Active Directory لا يحذف نهائيا من قاعدة البيانات ولكن ما يحدث هو كالتالي :
-يشار إلى هذا ال Object إنه عنصر محذوف من خلال وضع القيمة True داخل Attribute يسمى isDeleted
- تحذف معظم ال Attributes الأخرى من هذا العنصر
- ثم ينقل هذا ال Object الى Container يسمى Deleted Objects
- في هذه الحالة هذا ال Object يكون Tombstone يعني مدفون لأنه بيكون غير مرئي
- ويظل هكذا مدة 60 يوم إذا كان الويندوز 2000 أو 2003 أما إذا كان windows 2003 sp1 أو أعلى فإن فترة ال Tombstone تكون 180 يوم
قبل انتهاء هذه الفترة يمكننا استرجاع ال Object من خلال العملية التي تسمى Tombstone Reanimation عن طريق تغير isDeleted Attribute ونقل ال Object من Container Deleted Objects لذا تمتاز هذه الطريقة عن الطريقة السابقة بالسرعه كما أنها لا تستلزم الدخول في AD Restore Mode ولكن يعيبها أنه بعد استرجاع ال Objects تكون الكثير من الخصائص قد حذفت منه ولابد من اضافتها يدوياً كخانة العنوان و كالــ Group membership أما مع الــ AD Recycle Bin فلا نحتاج لفعل هذا
الــ AD Recycle Bin ليست مفعلة بشكل افتراضي وقبل تفعيلها لابد من تحقيق الآتي :
adprep /domainprep /gpprep
أما إذا كان ال DC مثبت عليه Windows 2008 R2 من خلال Clean Installation فلا داعي لتنفيذ هذه الأوامر
- رفع ال Domain Forest Functional Level إلى Windows Server 2008 R2
بعد التأكد من الأمور السابقة يمكننا الآن تفعيل ال Active Directory Recycle Bin من خلال الأمر التالي :
هي ميزة جديده أضافتها ميكروسوفت ل Windows Server 2008 R2 وهي تمكننا من استرجاع ال Objects المحذوفة من ال Active Directory بكل سهولة
ماذا قبل Windows Server 2008 R2 ؟
قبل Windows Server 2008 R2 كان يمكننا استرجاع ال Objects المحذوفة بطريقتين :
الطرقة الاولى من خلال عمل Authoritative Restore من نسخة System State Backup ويعيب هذه الطريقة أننا لابد أن نعمل Restart للسرفر ثم ندخل الى AD Restore Mode أي أن ال DC يكون معطل أثناء عملية ال Restore
وللمزيد من المعلومات عن هذه الطريقة يمكنك مراجعة هذا الرابط
الطريقة الثانية تسمى Tombstone Reanimation وهي مبنية على فكرة أن أي Object يتم حذفة من ال Active Directory لا يحذف نهائيا من قاعدة البيانات ولكن ما يحدث هو كالتالي :
-يشار إلى هذا ال Object إنه عنصر محذوف من خلال وضع القيمة True داخل Attribute يسمى isDeleted
- تحذف معظم ال Attributes الأخرى من هذا العنصر
- ثم ينقل هذا ال Object الى Container يسمى Deleted Objects
- في هذه الحالة هذا ال Object يكون Tombstone يعني مدفون لأنه بيكون غير مرئي
- ويظل هكذا مدة 60 يوم إذا كان الويندوز 2000 أو 2003 أما إذا كان windows 2003 sp1 أو أعلى فإن فترة ال Tombstone تكون 180 يوم
قبل انتهاء هذه الفترة يمكننا استرجاع ال Object من خلال العملية التي تسمى Tombstone Reanimation عن طريق تغير isDeleted Attribute ونقل ال Object من Container Deleted Objects لذا تمتاز هذه الطريقة عن الطريقة السابقة بالسرعه كما أنها لا تستلزم الدخول في AD Restore Mode ولكن يعيبها أنه بعد استرجاع ال Objects تكون الكثير من الخصائص قد حذفت منه ولابد من اضافتها يدوياً كخانة العنوان و كالــ Group membership أما مع الــ AD Recycle Bin فلا نحتاج لفعل هذا
الــ AD Recycle Bin ليست مفعلة بشكل افتراضي وقبل تفعيلها لابد من تحقيق الآتي :
- التأكد من أن كل ال DC تعمل على Windows 2008 R2
- إذا كان نسخة ال Windows 2008 R2 الموجوده على ال DC محدثة من نسخة أقل ( يعني كان موجود نسخة أقل من Windows 2008 R2 على ال DC ثم قمنا بتحديثها إلى windows 2008 R2 ) فيجب تنفيذ الأوامر التالية على السرفر الموجود عليه ال schema master Role :
adprep /forestprep adprep /domainprep /gpprep
أما إذا كان ال DC مثبت عليه Windows 2008 R2 من خلال Clean Installation فلا داعي لتنفيذ هذه الأوامر
- رفع ال Domain Forest Functional Level إلى Windows Server 2008 R2
بعد التأكد من الأمور السابقة يمكننا الآن تفعيل ال Active Directory Recycle Bin من خلال الأمر التالي :
Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=yourdomain,DC=com’ –Scope ForestOrConfigurationSet –Target ‘yourdomain.com’
مع استبدال yourdomain بإسم الدومين لديك 
نلاحظ أنه بعد تنفيذ الأمر يعطينا تحذير أن تفعيل ال AD Recycle Bin لا يمكن الرجوع عنه أي أنه لا يمكننا تعطيلها فيما بعد وللتأكيد ندخل Y
الآن وبعد تفعيل ال Recycle Bin كيف سنستخدمها لاسترجاع object محذوف
للأسف ميكروسوفت لا تدعم GUI لفعل ذلك فقط من خلال Command Line فمثلاً لنفرض أننا حذفنا User Account اسمه Test User حتى نقوم باسترجاعه نقوم بإدخال الأمر التالي داخل ال Power Shell :
Get-ADObject -Filter {displayName -eq "Test User"} -IncludeDeletedObjects | Restore-ADObject
لكن يوجد أكثر من أداة مجانية تمكننا من التعامل مع ال AD Recycle Bin و استرجاع ال Objects المحذوفة من خلال GUI
وسنتعرف على بعض من هذه الأدوات في الجزء الثاني من هذه الدرس
رابط الجزء الثاني
(h)
ReplyDeleteTanks
ReplyDelete