Cestino Active Directory – Backup & Restore

Recupera utenti, gruppi e unità organizzative cancellate dal tuo Dominio con un click! Attiva il Cestino Active Directory.

Vai al video tutorial

Scopriamo quali sono le funzionalità di recupero degli oggetti Active Directory, utili nel caso di cancellazione utenti, gruppi o unità organizzative. Si tratta di funzionalità già integrate e disponibili all’interno del nostro dominio ma che è necessario attivare e configurare.

Di default nel nostro Dominio esiste la possibilità di recuperare un oggetto cancellato, ci sono però alcuni limiti:
– Recupero possibile solamente per determinato periodo di tempo;
– Recupero parziale, non tutti gli attributi dell’oggetto cancellato sarebbero recuperati.

Il consiglio è quindi quello di abilitare il cestino di Active Directory, opzione disponibile dalla versione Windows Server 2008 R2.

Abilitando il cestino di Active Directory introdurremo un nuovo stato nel ciclo di vita degli oggetti di Dominio. Oltre allo stato “Live” e “Deleted” avremo lo stato “Recycled” che consentirà appunto un recupero più immediato e completo.

Cestino Active Directory

sarà inoltre possibile gestire e ampliare i tempi “msDS-deleteObjectLifetime” e “tombstoneLifetime” di default impostati a 180 giorni. Molto utile sarà allungare il periodo relativo al “tombstoneLifetime”.

Abilitare il cestino di Active Directory è un’azione irreversibile, una volta abilitato non sarà più possibile disattivarlo.
Possiamo farlo da Powershell, per le versioni di Windows Server 2008R2, oppure da Active Directory Administrative Center dalla versione 2012 in su.

Cestino Active Directory

Una volta attivato, comparirà nell’elenco delle cartlle di active Directory un nuovo container: Deleted Objects. All’interno di tale container saranno visibili tutti gli oggetti cancellati. Sarà possibile ripristinarli con il tasto “Restore” oppure “Restore to” se volevvismo ripristinarli in una Organizational Unit o in un Container differente da quello di origine.

Possiamo eseguire queste stesse azioni da Powershell:

Verifica del livello funzionale della foresta:
(Get-ADForest).ForestMode

Verifica livello funzionale del dominio:
(Get-ADDomain).DomainMode

Verifica del livello funzionale di tutti i domini della foresta:
(Get-ADForest).Domains | Get-ADDomain | Select DomainMode, DNSRoot

Comando per abilitazione cestino (Simulato):
Enable-ADOptionalFeature -Identity “Recycle Bin Feature” -Scope ForestOrConfigurationSet -Target michelevese.corp -whatif
* Per renderlo reale, rimuovere -Whatif

Restore singolo account utente:
Get-ADObject -Filter {sAMAccountName -eq “xxxxxx” -and isDeleted -eq $true} -IncludeDeletedObjects | Restore-ADObject
* sostituire xxxxxx con nome utente

Visualizzare proprietà dominio:
Get-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=michelevese,DC=corp” -properties *

Modificare il timing msDS-DeletedObjectLifeTime o Tombston a 360
Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=michelevese,DC=corp” -Partition “CN=Configuration,DC=michelevese,DC=corp” -Replace @{“msDS-DeletedObjectLifeTime”=360}


 

Un altro metodo è attraverso l’utilizzo degli snapshopt di Active Deirectory oppure tramite software di backup per Active Directory. Il ruolo proposto da Microsoft, installabile dai ruoli a disposizione, è Windows Server Backup. Tale ruolo preveder il salvataggio schedulato del database Active Directory NTDS.dit

Considerazioni sul processi di Backup e sulla continuità del business.

Cosa fa realmente la differenza tra un software di Backup e un altro? Perché alcuni software di Backup hanno un costo molto elevato mentre altri sono addirittura gratuiti. 
La differenza fondamentale è una: i tempi e le modalità di restore. E’ qui che si gioca tutto. Ed è proprio da queste caratteristiche che vengono definiti e dichiarati i target dei processi backup & restore, attraverso i seguenti indici:

  • RTO: Recovery Time Objective
    tempo necessario per il pieno recupero dell’operatività di un servizio, sistema o processo organizzativo.
    Se per alcuni servizi l’RTO è zero, allora non è tollerata alcuna interruzione di continuità. In tal caso potete optare per un’infrastruttura in Cluster ed un processo di Disaster Recovery fuori dalla vostra sede.
    Se per i servizi meno critici l’RTO dovesse essere concordato tra le 4 alle 8 ore, allora il backup e l’applicazione del successivo processo di restore soddisferebbe il target concordato.
  • RPO: Recovery Point Objective
    è uno dei parametri che descrivere la tolleranza ai guasti di un sistema informatico. Fornisce la misura della massima quantità di dati che il sistema può perdere a causa di guasto improvviso.
    Nella pratica, se lo scheduling dei backup fosse fissato tutte le notti alle ore 2.00 e dovessimo essere colpiti da una catastrofe ambientale (incendi, inondazioni, terremoti) alle ore 11.00 della mattina seguente, la finestra temporale che va dalle ore 2.00 alle 11.00 non avrebbe alcuna garanzia di recupero. Perderemmo i dati all’interno di questa finestra. L’RPO quindi, in questo caso esemplificativo, sarebbe definito come: “il backup del giorno precedente” avendo un range variabile di perdita da 1 a 24 ore.

    Puntare ad RTO ed RPO molto bassi è quindi un obiettivo di continuità comune, questo però sarà fortemente legato agli investimenti necessari all’implementazione di tali piani di continuità del business. 
    Software di backup che hanno tecniche avanzate di restore, con un livello molto dettagliato di granularità del dato, avranno sicuramente un costo più alto.

    Tornando all’opzione Windows Server Backup,  per il backup di Active Directory, avremmo un backup efficace ma un restore con RTO non tollerabile. 

    Ci sono però una serie di tecniche che se opportunamente amministrate e concatenate contribuiscono a migliorare la garanzia di questi indici.

    Vai al video tutorial
Facebook
LinkedIn
WhatsApp
Email
guest
0 Commenti
Inline Feedbacks
View all comments