Silinen Active Directory Objelerinin kurtarılması

Merhabalar,

Hemen her sistem yöneticisinin uğraşmak zorunda olduğu bir konudur silinen Active Directory öğelerinin geri getirilmesi. Bunu yapmanın birkaç yolu bulunuyor. Ya Active Directory yedeğinden, ya da komut satırından geri getirme yöntemleri bulunmakta. Bunun dışında bir de Active Directory geri dönüşüm kutusundan geri yükleme yöntemi de vardır.

Ben bu makalede, Active Directoy Recycle Bin özelliğini enable ederek, silinen bir öğenin nasıl kurtarılabileceğini açıklayacağım.

Active Directory Recycle Bin, Active Directory’den silinmiş öğeleri geri yüklememize izin verir. Active Directory Geri Dönüşüm Kutusu, etki alanı işlev (DFL) düzeyinin Windows Server 2008 R2 veya sonraki bir sürümüne ayarlanmasını gerektirir. Tıpkı sisteminizdeki geri dönüşüm kutusu gibi düşünebilirsiniz ve belirlenen süre kadar, geriye yönelik olarak silinen öğelerinizi tek bir tıkla geri yükleme imkanı sağlar.

AD Recycle Bin özelliği aktif edilmemişse, silinen öğeleri ya son yedekten ya da komut satırı araçlarıyla geri yükleyebilirsiniz.

Etkinleştirme işlemini gerçekleştirdikten sonra Recycle Bin özelliğini devre dışı bırakamazsınız. Zaten Recycle Bin özelliğini devre dışı bırakmak için büyük bir neden yoktur. Silinmiş her öğeyi de geri kurtarmak/geri getirmek zorunda değilsiniz. Ayrıca, yedekten geri yükleme işine bile hiç girmeden, silinen öğeyi kurtarmayı hangi sistem yöneticisi istemez ki? 🙂

O zaman konfigürasyon işlemine başlayalım.

Active Directory Geri Dönüşüm Kutusu’nu etkinleştirmek için aşağıdaki adımları uygulayın:

1. Active Directory Domain Controller sunucuya bağlanarak, Server Manager altından Active Directory Administrative Center’ı açın.

2. Etkinleştirmek istediğiniz etki alanını seçerek, Tasks bölümünden, aşağıdaki resimde gösterildiği gibi Enable Recycle Bin’i tıklayın.

Aşağıdaki gibi bir uyarı alacaksınız. Geri dönüşüm kutusu enable edildikten sonra disable edemeyeceğinizi belirtir. Ok ile işleme devam ediyoruz ve hepsi bu kadar.

Artık bu özelliği aktif ettikten sonra sildiğimiz tüm öğeleri geri getirebileceğiz. Burada dikkat etmeniz gereken konu ise, bu özelliği aktif etmeden önce sildiğiniz öğeleri bu şekilde geri getiremeyeceğinizdir. Sadece enable ettikten sonra Active Directory üzerinden silinen öğelerin restore işlemlerini yapabiliyoruz. Daha öncesinde sildiklerinizi de ya yedekten ya da komut satırı araçlarıyla restore edebilirsiniz.

AD Recycle Bin etkinleştirildikten sonra silinen nesneyi Deleted Object bölümünden geri yükleyebiliriz. Elbette bunun bir süresi var. Varsayılan ayarlarda öğe silindiğinde, 180 gün boyunca saklanmaktadır. Aşağıdaki Powershell komutlarıyla sizin sisteminizde tanımlı gün değerini görebilirsiniz. DC ile başlayan yerlere kendi domain bilgilerinizi belirtin.

Import-Module ActiveDirectory

Get-ADObject -Identity “CN=Directory Service, CN=Windows NT, CN=Services, CN=Configuration, DC=isleyen, DC=net” -properties tombstonelifetime

Silinen nesneyi geri getirmek için Deleted Object bölümünden ilgili nesne seçilir ve Restore “Geri Yükle” seçeneği seçilir.

Şimdi birkaç restore işlemi yapalım.

Test amaçlı olarak Teknik Servis OU’su altına TestUser adında bir kullanıcı oluşturuyorum.

Ayrıca bu kullanıcıyı bs.uzman ve Ismek Security  güvenlik gruplarına da dahil ediyorum.

Bir de Test OU’su oluşturuyorum.

Sonra hem bu TestUser’ı hem de TestOU’yu siliyorum.

Bu objeleri kurtarmak istediğimizde Active Directory Administrative Center’ı açıyoruz, Domain’i işaretliyoruz ve Deleted Objects konteynırını seçiyoruz.

Silinen kullanıcımız ve TestOU, Deleted Objects altında görülmektedir. Kurtarmak istediğimiz objeye sağ tıklatayarak Restore seçeneği ile geri getiriyoruz. Başka bir konteynır ya da OU altına almak istersek Restore to ile devam edilmelidir.

Active Directory Users and Computers yönetim panelini açtığımızda bu kullanıcının ve OU’nun geri yüklendiğini görüyoruz.

Yalnız burada dikkat çekmek istediğim bir konu var. Active Directory Recycle Bin aktif ettiğinizde, hem objeyi kurtarmak istediğinizde domain Controller sunucuyu restore mode’da açmanıza gerek kalmaz, hem de obje geri yüklendiğinde aynı security gruplar ve izinlerle geri getirilmiş olur. Böylece ek yönetimsel işlemler yapmanıza gerek kalmaz. (yeniden gruplara ekleme vs.)

180 günlük tombstoneLifetime süresini değiştirmek/güncellemek için 2 yol vardır:

Yöntem 1: Powershell ile tombstoneLifetime süresini değiştirmek:

Örneğin 180 gün ya da daha farklı olacak şekilde belirlemek için en sondaki gün değerini verebilirsiniz.

  • Import-Module ActiveDirectory
  • $ADForestconfigurationNamingContext = (Get-ADRootDSE).configurationNamingContext
  • Set-ADObject -Identity “CN=Directory Service, CN=Windows NT, CN=Services, $ADForestconfigurationNamingContext” -Partition $ADForestconfigurationNamingContext -Replace @{tombstonelifetime=’180′}

Yöntem 2: ADSI.edit ile tombstoneLifetime süresini değiştirmek:

1- ADSIEdit.msc konsolu açılır,
2- Action menüsünden “Connect to” seçilir.
3- Gelen menü üzerinden “Select a well know Naming Context:” seçeneği “Configuration” olarak güncellenir ve OK butonuna basılır.

4- CN=Services, CN=Windows NT, CN=Directory Service üzerinden sağ tıklayıp, özelliklere giriniz.

5- Açılan pencere üzerinden “tombstoneLifetime” attribute değeri 180 olarak görünmektedir. İlgili değer buradan güncellenip, OK komutuyla yapılan işlem onaylanarak çıkış sağlanır.

Eğer burada “tombstoneLifetime” değeri görünmüyorsa, bu değer default olarak 60 gündür. Az önce komut satırından yaptığımız gibi aşağıdaki komutları girerek, bu değerin listede görünür olmasını da sağlayabilirsiniz.

  • Import-Module ActiveDirectory
  • $ADForestconfigurationNamingContext = (Get-ADRootDSE).configurationNamingContext
  • Set-ADObject -Identity “CN=Directory Service, CN=Windows NT, CN=Services, $ADForestconfigurationNamingContext” -Partition $ADForestconfigurationNamingContext -Replace @{tombstonelifetime=’180′}

Uygulanan komuttaki değer 365 yapılırsa, 1 yıl boyunca silinen bir objeyi geri getirme imkanınız olur. Bu şekilde istediğiniz gün değerinin girişini yapabilirsiniz.

Silinen Active Directory öğelerinin kurtarılmasını çok basit şekilde anlatmaya çalıştım.

Yararlı olması dileğiyle.

Yusuf İşleyen

7 Replies to “Silinen Active Directory Objelerinin kurtarılması”

  1. süper bir döküman olmuş hocam emeğinize sağlık. Bu bilgilerin denenip test edilerek ve tam güvenli olarak çalıştığını bilmek ayrı bir güven veriyor. Tekrar teşekkürler.

Comments are closed.