Recuperar elemento eliminado de Active Directory 2000/2003

Los elementos borrados de Active Directory 2000/2003, por defecto, no son eliminados automáticamente. Al eliminarse, su atributo Is Deleted es marcado como True, el elemento se almacena en el contenedor oculto Deleted Objects y se mantiene ahí por 90 días.

Transcurridos 90 días los elementos son eliminados definitabamente por el proceso Garbage Collector de AD.

Opción 1.

En caso de pretender recuperar un elemento eliminado con anterioridad a los 90 dias, la opción más simple y expeditiva de recovery es utilizar la herramienta ADRestore. (utilizando esta aplicación son recuperados solo los atributos importantes, que permiten la funcionalidad de los elementos, como SID/GUID)

Descarga:

ADRestore GUI

ADRestore (Linea de Comando)

Procedimiento de Ejemplo, Adrestore (Línea de comando)

1- Realizar una copia de resguardo manual del System State de un controlador de dominio. (Necesaria en caso de Rollback)

2- En caso de necesitarlo, aplicar el siguiente Hotfix:

• http://support.microsoft.com/default.aspx?scid=kb;EN-US;943576

3- Descargar la herramienta ADRESTORE.

4- Ejecutar la herramienta desde línea de comando. El comando adrestore lista los elementos eliminados de AD.

5- Para restaurar un objeto, ejecutar el comando:

• adrestore -r NOMBREDEOBJETO

Opción 2.

Realizar una recuperación autoritativa mediante Directory Services Restore Mode (DSRM) utilizando la última copia de resguardo de System State y el comando NtdSutil, procedimiento de mayor complejidad y que requiere de más tiempo, pero que permite la recuperación completa de los elementos y todos sus atributos.

Procedimiento de Ejemplo

1- Realizar copia de resguardo de System State de un controlador de dominio (útil en caso de rollback)

2- Reiniciar el servidor en modo "DS Restore Mode" (Reiniciar en Safe Mode (F8) y seleccionar Directory Services Restore Mode)

3- Ingresar la clave de Restore Mode especificada al promover el dominio.

4- Utilizar el Wizard de NTBackup para recuperar el System State desde el archivo de backup. (bkf)

5- No reiniciar el servidor! Se debe realizar una recuperación autoritativa (authoritative restore).

Al marcar la recuperación como autoritativa, la replicación se realizará en forma correcta ya que la información recuperada tendrá la prioridad necesaría. (Numero mas alto de secuencia de actualización dentro del sistema de replicación).

6- Ejecutar NTDSUTIL, authoritative restore.

• Ejemplo: authoritative restore: restore subtree "cn=test,ou=Users,dc=test,dc=com"
  
  ____________________________________________________________
  
  NOTA: Si trabaja con bajo Active Directory sobre Windows Server 2008 R2, dispone de una funcionalidad conocida como Active Directory Recicly Bin que permite en forma simple e intuitiva realizar el proceso de recuperación de elementos eliminados.
  ____________________________________________________________

Enlaces de Referencia

• http://technet.microsoft.com/en-us/library/bb727048.aspx
• http://technet.microsoft.com/en-us/library/cc778219(WS.10).aspx
• http://support.microsft.com/kb/241594