Recuperação de Objeto do Active Directory Usando a Lixeira

A Lixeira do Active Directory permite que os usuários recuperem objetos excluídos do Active Directory sem a necessidade de restaurá-los do backup, reiniciar os Active Directory Domain Services ou reiniciar os controladores de domínio (DCs).

Vamos explorar exatamente como funciona a recuperação de objetos com a Recycle Bin e depois discutir suas limitações.

Recuperação de Objeto do Active Directory com a Lixeira do AD

Se a Lixeira do AD estiver habilitada, quando um objeto é excluído, a maioria de seus atributos é preservada por um período para facilitar a restauração do objeto, se necessário. Durante esse período, o objeto está no estado de deleted object . (Esse período de tempo é definido no atributo msDS-DeletedObjectLifetime. Por padrão, seu valor é o valor do atributo tombstoneLifetime. Se o valor do atributo msDS-deletedObjectLifetime for nulo ou o atributo simplesmente não existir, seu valor é interpretado como sendo o valor do atributo tombstoneLifetime. Se também não houver um valor para tombstoneLifetime, ambos os valores retornam ao padrão de 60 dias.)

Uma vez que o tempo do objeto em estado de objeto excluído se esgote, o objeto se torna um recycled object. Um recycled object parece suspeitosamente com uma lápide com o atributo isRecycled adicionado e definido como TRUE. Assim como uma lápide, a maioria de seus atributos são removidos e ele persiste no Active Directory pelo período especificado pelo atributo tombstoneLifetime. Então, ele é limpo pela coleta de lixo do Active Directory.

O ciclo de vida de um objeto excluído com a Lixeira ativada se parece com isto:

Como um Objeto se Altera ao Entrar na Lixeira

Embora a Lixeira preserve mais atributos de objeto do que uma lápide, um objeto restaurado não é idêntico ao objeto original. Vamos ver como. Aqui está uma conta de usuário que estou planejando excluir:

Aqui está o objeto no estado de objeto excluído na Lixeira:

Embora a maioria dos atributos do objeto seja mantida, existem algumas diferenças importantes:

• O objeto foi movido.O objeto foi movido para o contêiner de Objetos Excluídos da partição.
• O objeto foi renomeado.O nome do objeto foi atualizado usando o Common-Name DEL:Object-Guid.
• O objeto possui alguns novos atributos. O atributo isDeleted possui um valor de TRUE e o atributo lastKnownParent está preenchido. Um novo atributo, msDS-LastKnownRDN, está preenchido com o último nome distinto relativo conhecido do objeto (esse atributo permite que a Lixeira redefina corretamente o RDN de um objeto durante sua restauração, mesmo que a renomeação do objeto tenha resultado no truncamento do RDN original).
• Dois atributos foram removidos. Os atributos objectCategory e sAMAccountType são sempre removidos de um objeto quando ele é excluído. Se o objeto for recuperado, o valor de objectCategory é automaticamente definido como o valor mais específico no atributo objectClass, e o valor de sAMAccountType é calculado a partir do valor do atributo userAccountControl (para objetos de usuário) ou groupType (para objetos de grupo).

Leitores atentos também podem notar que os atributos manager e memberOf estão ausentes da minha captura de tela. Eles na verdade estão apenas escondidos. Ambos os atributos são link-valued (ou seja, contêm referências a outros objetos) e a ferramenta que usei (LDP) não retorna links desativados a menos que o controle inteligentemente nomeado Return Deactivated Links esteja configurado. Se eu tivesse ativado esse controle, então os atributos e seus valores estariam visíveis na minha captura de tela, mas eu teria perdido este momento de aprendizado.

Como recuperar um objeto da Lixeira do AD

Antes do Windows Server 2012, restaurar um objeto da Lixeira do AD exigia o uso de uma ferramenta LDAP ou PowerShell para listar todos os objetos excluídos, filtrar uma longa lista para encontrar o objeto desejado e usar outro comando PowerShell para restaurá-lo. Era bom que a Lixeira do AD fosse tão útil, porque definitivamente não era divertido de usar!

Agora, a funcionalidade da Lixeira está disponível no Active Directory Administrative Center:

Como você pode ver, é possível encontrar rapidamente o objeto excluído que lhe interessa utilizando os filtros de pesquisa.

Para restaurar um objeto, basta clicar em Restore na lista de Tarefas no lado direito da janela. Veja como fica o objeto restaurado:

Desvantagens da Lixeira do Active Directory

Embora a Lixeira simplifique drasticamente a recuperação de objetos, observamos algumas limitações: Os objetos são mantidos por apenas um período de tempo relativamente curto e alguns de seus atributos são perdidos. Existem algumas desvantagens adicionais na Lixeira:

• Ativar a Lixeira do Active Directory envolve uma alteração de esquema. Portanto, uma vez que você ative a Lixeira, não poderá desativá-la sem uma recuperação completa da floresta.
• O Active Directory vai ficar um pouco maior. Após ativar a Lixeira do AD, os objetos excluídos manterão muito mais de seus atributos e persistirão por mais tempo do que os tombstones. Como resultado, o Active Directory provavelmente usará um pouco mais de espaço do que usava antes.
• Ativar a Lixeira exclui todos os marcadores de exclusão. A consequência mais impactante de ativar a Lixeira é que todos os objetos marcadores de exclusão na floresta deixarão de existir imediatamente. Muitos administradores aprenderam sobre essa consequência da maneira mais difícil.

No entanto, esses problemas não superam os benefícios de habilitar a Lixeira do AD.

Recuperação de Objeto do Active Directory sem a Lixeira do AD

Para ilustrar o valor de habilitar a Lixeira do AD, vamos revisar o que está envolvido na recuperação de um objeto do AD quando a Lixeira do AD não está habilitada.

Em um domínio sem o AD Recycle Bin ativado, quando um objeto do Active Directory é excluído, ele se torna um tombstone. Este objeto, despojado da maioria de seus atributos, é mantido no contêiner de Objetos Excluídos da partição pelo período especificado na tombstoneLifetime do domínio. Durante este período, o objeto é tecnicamente recuperável, mas seus atributos perdidos podem ser geralmente considerados como irrecuperáveis. Uma vez que o valor de tombstoneLifetime é atingido, o objeto é coletado como lixo até a inexistência. Este ciclo de vida é ilustrado abaixo:

Vamos ver como podemos reanimar esta lápide usando o recurso Modify do utilitário LDP:

1. Clique com o botão direito do mouse na lápide e selecione a opção Modificar.
2. Na seção Edit Entry, insira o valor “isDeleted” no campo Attribute, selecione o botão de opção Delete em Operation, e clique no botão Enter para adicionar a entrada à Lista de Entradas.
3. Na seção Edit Entry, insira o valor “distinguishedName” no campo Attribute, insira o nome distinto do objeto antes de sua exclusão no campo Values, selecione o botão de opção Replace em Operation, e clique no botão Enter para adicionar a entrada à Lista de Entradas.
   Lembra quando mencionei que o atributo lastKnownParent poderia acabar sendo útil? Pois bem, se você não sabe qual era o dn do objeto antes de sua exclusão, pode tentar este truque: Pegue o dn atual e substitua o caractere terminado em NULL (“A”) e tudo à sua direita pelo valor atual do atributo lastKnownParent.
4. Selecione a opção Extended na parte inferior esquerda do painel.
5. Clique no botão Run.

Então podemos encontrar o objeto reanimado novamente e ver como ele se parece:

Como você pode ver, nós tecnicamente recuperamos o objeto do usuário excluído. No entanto, está faltando a maior parte das informações que possuía antes de ser excluído.

Você pode (em teoria) contornar esse problema fazendo snapshots regulares do VSS do Active Directory. Então, se precisar recuperar um objeto excluído, você pode “apenas” encontrar um backup que foi feito antes da exclusão do objeto, montar o snapshot usando NTDSUTIL, conectar ao snapshot montado usando uma utilidade LDAP, localizar o objeto, exportá-lo para… deixa pra lá.

Mas espere, fica pior.

O contêiner de Objetos Excluídos não é algo permanente. A propriedade apropriadamente chamada tombstoneLifetime no objeto CN=Directory Service,CN=Windows NT,CN-Services,CN=Configuration,ForestDistinguishedName define o número de dias antes que um objeto excluído seja removido permanentemente do Active Directory.

O valor de tombstoneLifetime é baseado na versão do Windows Server que foi utilizada na criação da floresta do domínio. Por padrão, é definido para 180 dias (configuração recomendada atualmente pela Microsoft) em florestas criadas usando uma versão do Windows Server mais recente que 2003. Implementações mais antigas têm o padrão de 60 dias. O comportamento da propriedade tombstoneLifetime é na verdade algo que vale a pena prestar atenção e é bem interessante. Se o valor existir, o tempo de vida do tombstone é o valor especificado. A menos que o valor seja menor que 2; nesse caso, o tempo de vida do tombstone volta ao padrão de 60 dias (Windows 2000 Server até Windows Server 2008) ou 2 dias (Windows Server 2008 R2 ou posterior). Se nenhum valor for especificado, o tempo é de 60 dias.

Se você está curioso sobre o valor de tombstoneLifetime no seu ambiente, este script PowerShell irá retorná-lo para você (requer as ferramentas AD DS e AD LDS):

      (Get-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,$((Get-ADRootDSE).configurationNamingContext)" -Properties *).tombstoneLifetime
      

Uma vez que um objeto passou um tombstoneLifetime no contêiner de Objetos Excluídos, ele é logicamente excluído pela coleta de lixo do Active Directory. Nesse ponto, ele se foi e nunca mais voltará.

Como a Netwrix pode ajudar

A Lixeira do AD é uma ferramenta útil para recuperar objetos excluídos recentemente. Para uma solução mais abrangente, considere Netwrix Recovery for Active Directory. Ela permite que você restaure objetos que foram salvos em backup e que excederam o tempo de vida de objeto excluído do seu domínio (mdDS-DeletedObjectLifetime) e, portanto, não são mais recuperáveis usando a Lixeira do AD