IT & IoT Security | Cloud | It's all about the life itself

Nothing in life is as important as you think it is, while you are thinking about it.

Enine Boyuna Active Directory Recycle Bin

 

Windows Server 2008 R2 Actice Directory’sinin bize sunduğu yeniliklerden bir tanesi de Active Directory Recycle Bin özelliğidir. AD Recycle Bin yanlışlıkla silinen objelerin kolay bir şekilde geri getirilmesini sağlar.

AD Recycle Bin özelliğini kullanabilmek için mutlaka domain functional level ve forest functional level’inin Server 2008 R2 olması gerekir.Şimdi konfigurasyona başlayalım.

 

 

Test icin Hyper-V platformunu kullandım.

Lab ortamımızda bulunan yapım;

Domain : nwtraders.msft

DC sunucu ismi : nw-dc.nwtraders.msft

DC ip adresi : 17.0.0.1/24

Active Directory Module for Windows PowerShell’i açıyoruz. Ya da PowerShell’de Import-Module ActiveDirectorykomutunu calıştırıp AD modülünü çağırabiliriz.

clip_image002

clip_image004Bundan sonra yapmamız gereken Recycle Bin özelliğini devreye almaktır. Biliyorsunuz ki başlangıçta devrede değildir. Recycle Bin özelliğini aktif ederken Ldap DistinguishedName’inden faydalanacağımız için asağıdaki resimde Recycle Bin özelliğinin tam olarak yeri gösterilmiştir. (Not: Recycle Bin özelliğini enable ettikten sonra geri dönüşü yoktur!)

Ve Recycle Bin özelliğini aktif ediyoruz.

clip_image006

PowerShell’den bu işlemi yapabileceğimiz gibi Ldp.exe aracı ile de yapmamız mümkün. LDP.EXE aracını çalıştırıp connection menüsünden connect dedikten sonra açılan pencerede server kısmına dc mizin adını yazıyoruz. Bind ile de yetkili bir kullanıcı ile giriş yapıyoruz. View menüsünden tree seçeneğinden aşağıda görüldüğü gibi BaseDN açılır kutusundan cn=configuration,dc=domain_adi,dc=domain_uzantisiseçeneğini seçiyoruz. Görüldüğü gibi partitions özelliklerinden modify seçeneğini seçiyoruz.

clip_image008

Açılan pencerede DN kısmının boş olduğundan emin olduktan sonra Edit Entry Attribute kısmını ve Values kısmını aşağıda görüldüğü gibi dolduruyoruz. Values kısmına gireceğiniz değer notepad de açık bir şekilde yazılmıştır ve en sonda gördüğünüz değerler AD Recycle Bin GUID numarasıdır. Ve bu numarayı CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=domain_adi,DC=domain_uzantisikısmında görebilirsiniz emin olmak isterseniz.

clip_image010

Evet Recycle Bin özelliğini iki yöntemle aktif ettik. Şimdi silinen objelerin geri yüklenmesi işleminden birkaç örnek yapalım. Öncelikle ldp.exe aracında silinen objeleri nasıl göreceğimize bir bakalım.

clip_image012

Options menüsünden controls seçilir ve açılan pencere yukarıdaki gibidir. Return deleted objects seçeneği seçilip aktif edildiginde ldp aracında silinen objeleri görebilir hale geliyoruz.

clip_image014

Silinen objeler artık deleted objects içerisine düştüğünde görebileceğiz.

Nwtraders.msft domainimin yapısı aşağıdaki gibidir.

clip_image015

Duser1 kullanıcısını sileceğim ve sonra geri yükleyeceğim. Silindiğinde deleted objects içerisinde görebilirsiniz.

clip_image017

Aşağıda da objenin silindiğini görebiliriz.

clip_image019

Objeleri geri getirmek istedigimizde yine bazı attributelerine göre filtrelememiz gerekir. Mesela displayname,department,givenname gibi. Bu nedenle aslında silinen objenin özelliklerini bilmek gerekir. Nereden mi görebiliriz? Deleted objects altında silinen objeye çift tıkladığınızda sağ tarafta obje ile ilgili bütün özellikler açılacaktır.

clip_image020

Şimdi kullanıcımı örneğin displayname attribute bilgisine göre geri yükleyeceğim.

clip_image021

Objeyi geri yükledikten sonra deleted objects konteynırından silindiğini ve AD de bulunduğu ou ya geri geldiğini görebilirsiniz.

Aynı şekilde birden fazla kullanıcı silindiyse mesela aynı ou dan ve aynı departman bilgisine sahip kullanıcılar ise;

clip_image022

Komutu ile hepsinin geri geldiğini görebilirsiniz.

Eger bir ou silindiyse;

clip_image023

yukarıdaki komut ile silinen ou yu geri getirebiliriz. Her zaman en dıştan geri getirmeliyiz silinen objeleri. Bundan sonra ou içerisindeki diğer objeleri kurtarmak kalıyor. Ben Paris ou sunu silmiştim ou içerindeki kullanıcıları geri getirmek için departman attribute bilgisinden faydalanacağım. Bu komutu da yukarıda yine kullanmıştık.

Görüldüğü gibi recycle bin özelliğini enable etmek oldukça faydalı bir girişim olacaktır sizler icin. Çünkü AD backup tan authorıtatıve restore işlemi ile bir objeyi geri yüklerken AD domain servisleri stop olmakta ve tabiki DSRM modda DC nizi açmanız gerekmektedir. Bu da aslında şirket için bir downtime dır.

Silinen tüm objeler için nasıl geri yükleneceğini görmüş olduk. Aslında hepsi ldp.exe aracından da yapılabilmektedir. Yine ldp aracından objeler hakkında bilgi almakta restore işleminden önce bir gereksinim olacaktır.

Peki silinen objeler ne kadar süre tutuluyor ve ne zaman tamamen siliniyor? Bu süreyi değiştirebilir miyiz?

clip_image024

clip_image026

Yukarıdaki resimlerde görüldüğü gibi Recycle Bin disable iken üstteki birinci resimdeki gibi bir döngü söz konusu ve Recycle Bin aktif edildiğinde ikinci resimdeki döngü söz konusu.

AD Recycle Bin aktif edilmeden önce silinen objeler tombstone lifetime a göre belirlenen sürede deleted objects altında saklanır ve süre expire olduğunda tamamen veritabanından silinir. Expire olmadan önce objeyi kurtarmak mümkündür. Tombstone lifetime yapısı Windows Server 2003 sp1/sp2 ve Windows Server 2008 AD sinde bulunmaktadır.

Recycle Bin enable edildikten sonra ise yine silinen objeler deleted objects altına gelir ve deleted objects lifetime süresince burada saklanır ve obje bütün özellikleri ile birlikte kurtarılabilir. Deleted objects lifetime expire olduğunda recycled objects lifetime başlar. Bu süre Windows Server 2008 R2 AD sinde yeni gelen bir süredir. Bu sırada objeler recycled objects konteynırında bulunur. Bu süre boyunca da obje yine kurtarılabilir. Ancak şuna dikkat etmeliyiz ki recycle objects lifetime süresinde objeler bazı attribute lerini (Orneğin grup üyelik bilgilerini ) kaybedebilirler. Recycled objects lifetime expire olduğunda obje veritabanından tamamen silinir.

Deleted objects lifetime, msDS-deletedObjectLifetime attribute değerine göre belirlenir. Bu değer başlangıçta null olarak gelir. Recycled Object lifetime değeri ne ise deleted objects lifetime da odur.

Aynı şekilde Recycled object lifetime ise tombstone lifetime dan default değeri alır ve tombstone lifetime değeri defaultta 180 gündür ve Recycled object lifetime da 180 gün olarak gelir. Bu değerleri ldp.exe aracı ile ya da yine powershell ile değistirmek mümkündür. Bu değerler en az 3 gün olmalıdır.

Tombstone lifetime değerini default haliyle görüntüleyelim;

clip_image028

Tombstone lifetime değerini değiştirmek icin 2 yöntem bulunmaktadır;

clip_image029Directory Service özellilerine girip açılan pencerede (yanda) edit entry attribute ve value değeri görüldüğü gibi doldurulur. Value değeri kaç gün yapmak istediğinize göre değişir ve en az 3 gündür.

Aşağıdaki pencerede görüldüğü gibi değeri 30 olarak değiştirdik.

clip_image031

Powershell ile yapmak istersek;

clip_image033

clip_image035

Aynı şekilde deleted object lifetime da değiştirilebilir.

clip_image037

Deleted object lifetime bittikten sonra recycle object lifetime başlar ve tombstone lifetime kadardır. Bir objenin recycled object lifetime geçtiğini ldp.exe aracından deleted objects konteynırındaki objelerin attribute larında Isrecycleddeğerinin TRUE olmasından anlayabiliriz.

Kaynak : Microsoft Sistem ve Platform Eğitimlerim , Technet

Peki silinen objeler ne kadar süre tutuluyor ve ne zaman tamamen siliniyor? Bu süreyi değiştirebilir miyiz?

2 comments found

  1. LDAP dili ve shell ile bu konuya eğilen olmamıştı eline sağlık hocam. Bence silinen objenin ömür sürelerine ve nerede nasıl tutulduğunu açıklaman çok faydalı olmuş.

Comments are closed.