Включение и просмотр состояния функциональности корзины

В Эллес реализована частичная поддержка функциональности корзины.

Включение функциональности корзины выполняется только на контроллерах домена Эллес с доступом к базе данных каталога на запись и чтение (RWDC). На контроллерах с доступом к базе данных только на чтение (RODC) выполнять данную операцию не требуется.

Общие сведения

Функциональность корзины (Recycle Bin) в Active Directory позволяет восстанавливать удаленные объекты без потери данных. При удалении объекта он не удаляется физически из базы данных, а отмечается как подлежащий удалению. При этом объект перемещается в контейнер Deleted Objects со всеми атрибутами, связями, информацией о членствах в группах и метаданными, что позволяет администратору в течение определенного времени восстановить его в том состоянии, в котором он находился до удаления.

Объект в корзине хранится в течение определенного срока, который задается настраиваемым атрибутом. По истечении установленного срока хранения объект физически удаляется из базы данных каталога.

Особенности и ограничения

Реализация функциональности корзины имеет следующие особенности и ограничения:

  • по умолчанию корзина отключена;

  • для включения корзины требуется функциональный уровень леса Windows Server 2008 R2 или выше;

  • корзина может быть включена только для всего леса; включение на уровне отдельного домена в рамках леса невозможно;

  • для включения корзины домен должен владеть FSMO-ролью Domain Naming Master;

  • после включения корзины невозможно восстановить ранее удаленные объекты.

Атрибуты объекта

Для управления состоянием объекта в корзине используются следующие атрибуты:

  • isDeleted:

    • существует у каждого объекта каталога;

    • признак того, что объект удален, но может быть восстановлен;

  • isRecycled:

    • существует у каждого помещенного в корзину объекта;

    • признак того, что объект удален и не может быть восстановлен;

  • msDS-deletedObjectLifetime:

    • устанавливается в контейнере CN=Directory Service,CN=Windows NT, CN=Services, CN=Configuration, DC=domain,DC=name;

    • задает период, в течение которого удаленный объект может быть восстановлен;

  • tombstoneLifetime:

    • устанавливается в контейнере CN=Directory Service,CN=Windows NT, CN=Services, CN=Configuration, DC=domain,DC=name;

    • задает период, в течение которого удаленный объект не может быть восстановлен.

Стадии нахождения объекта в корзине

При перемещении объекта в корзину он проходит через следующие стадии (Рис. 1):

  1. Объект находится в активном состоянии.

  2. Администратор удаляет объект.

  3. Объект перемещается в контейнер Deleted Objects.

  4. Для объекта устанавливается признак isDeleted. Практически все атрибуты объекта сохраняются.
    На этом этапе объект удален логически и при необходимости может быть восстановлен администратором из корзины без потери данных.
    В этом состоянии объект находится в течение периода, заданного атрибутом msDS-deletedObjectLifetime. По умолчанию он равен периоду хранения объекта в корзине после утилизации (установки атрибута isRecycled).

  5. Объект утилизируется. Для него устанавливается признак isRecycled. Запись об объекте остается в базе данных, но практически все атрибуты удаляются.
    На этом этапе объект не может быть восстановлен администратором.
    В новом лесу по умолчанию период нахождения объекта в этом состоянии составляет 180 дней.

  6. Объект физически удаляется из корзины.

recyclebin stages
Рис. 1. Схема изменения атрибутов объекта после удаления при включенной функциональности корзины

Предварительные условия

Включать корзину на контроллере домена Эллес (RWDC) необходимо в следующем случае:

  1. Контроллер домена Эллес (RWDC) работает в гетерогенной среде, предусматривающей обмен данными с контроллерами домена Active Directory в процессе репликации.

  2. На контроллерах домена Active Directory включена функциональность корзины.

В противном случае объекты, помещаемые в корзину на контроллерах домена Active Directory, в результате репликации данных на контроллеры домена Эллес будут помечаться как полностью удаленные.

Последовательность действий

Для включения корзины на контроллере домена Эллес (RWDC) с помощью утилиты samba-tool используется подкоманда recyclebin enable.

Последовательность действий для включения корзины:

  • при включении корзины на существующем контроллере домена Эллес (RWDC):

    1. Остановить контроллер домена.

    2. Выполнить подкоманду samba-tool recyclebin enable.

    3. Запустить контроллер и дождаться завершения цикла репликации.

  • при вводе в домен нового контроллера Эллес (RWDC):

    1. Использовать при присоединении к домену с помощью подкоманды samba-tool domain join опцию --domain-critical-only.

    2. Выполнить подкоманду samba-tool recyclebin enable.

    3. Запустить контроллер и дождаться завершения цикла репликации.

Операции

Для управления функциональностью корзины с помощью утилиты samba-tool используется подкоманда recyclebin.

При выполнении операций с помощью группы подкоманд recyclebin рекомендуется указывать набор ключей -H (URI LDAP-сервера) и --use-kerberos=required.

В этом случае для успешного выполнения подкоманды:

  • либо пользователь должен работать на сервере под доменной учетной записью;

  • либо предварительно требуется запросить билет Kerberos с помощью стандартной команды kinit.

Просмотр состояния функциональности корзины

Формат вызова

Общий формат вызова:

samba-tool recyclebin status [options]

Подкоманда возвращает информацию о статусе функциональности корзины:

  • enabled — функциональность корзины включена;

  • disabled — функциональность корзины отключена.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта.

Примеры

Пример выполнения подкоманды:

samba-tool recyclebin status \
   -H ldap://dc1.domain.name \
   --use-kerberos=required
disabled

Включение функциональности корзины

Включение функциональности корзины выполняется только на контроллерах домена   с доступом к базе данных каталога на запись и чтение (RWDC). На контроллерах с доступом к базе данных только на чтение (RODC) выполнять данную операцию не требуется.

Формат вызова

Общий формат вызова:

samba-tool recyclebin enable [options]

Подкоманда включает корзину локально, на одном контроллере домена. При совместной работе с контроллерами домена Active Directory с включенной функциональностью корзины она должна быть выполнена на всех контроллерах домена Эллес (RWDC) в лесу.

Подкоманда выполняется один раз — отключить корзину после этого невозможно.

По умолчанию используется интерактивный режим, предусматривающий запрос подтверждения от пользователя. Для принудительного включения корзины без дополнительных проверок и запроса подтверждения используйте ключ -f|--force.

Параметры

Параметры вызова:

  • -H URL|--URL=URL — URL сервера LDAP; может содержать указание на протокол, имя хоста и номер порта;

  • -f|--force — принудительное включение корзины без дополнительных проверок и подтверждения со стороны пользователя.

Примеры

Пример выполнения подкоманды в неинтерактивном режиме:

samba-tool recyclebin enable --force \
   -H ldap://dc1.domain.name \
   --use-kerberos=required

Проверка статуса функциональности корзины:

samba-tool recyclebin status \
   -H ldap://dc1.domain.name \
   --use-kerberos=required
enabled