【WS2008 R2】Active Directory Recycle Bin を使ってみる その1~ 準備編

※2009.11.18 記載ミスに気づき訂正
※2009.03.03 IsDisable と IsDisableable を読み違えていたので修正(はずかしい...)

前投稿の続きです。Active Directory Recycle Bin の機能概要については、前回の投稿をご覧ください。

【WS2008 R2】Active Directory にも Recycle Bin が用意される時代に

ここでは実際に Active Directory Recycle Bin を使用してみます。

# まだ Active Directory Recycle Bin の略称がどこにも書かれていないので、フルの名称で通します

参考にしているのは以下の資料です。

Active Directory Recycle Bin Step-by-Step Guide
https://technet.microsoft.com/en-us/library/dd392261.aspx

まずは Active Directory Recycle Bin が使えるように準備しましょう。

# Active Directory Recycle Bin は AD LDSでも有効ですが、今回はAD DSのみで行います。 

■スキーマの拡張

2008R2 を素の状態からインストールして dcpromo した場合には必要ありません。

既存の2003/2008ドメインに 2008R2 をDCとして追加した場合には、以下のコマンドでスキーマを拡張してください。adprep コマンドは 2008R2 DVDの \support\adprep フォルダにあります。

  • adprep /forestprep (スキーママスターで実施)
  • adprep /domainprep /gpprep(インフラストラクチャマスター で実施)
  • adprep /rodcprep(RODCが存在している場合に実施)

■フォレスト機能レベルの変更

すべてのドメインコントローラが2008 R2であることを確認し、フォレストの機能レベルを Windows Server 2008 R2 に変更します。

フォレストの機能レベルの上げ方は、従来通り[Active Directory ドメインと信頼関係]から行えますが、新しくPowerShellのコマンドレットもサポートされるようになりました。

PowerShellを使用するには、[管理ツール]ー[Active Directory PowerShell] から、以下のように入力します。

Set-ADForestMode -Identity contoso.com -ForestMode Windows2008R2Forest

このほかに、「Active Directory 管理センター」という新しいツールも提供されています。
img  

■Active Directory Recycle Bin を有効にする

Active Directory Recycle Binを有効にするには、やはりPowerShellのコマンドレットを使用します。使用するコマンドレットは、Enable-ADOptionalFeature です。これは、Active Directory のオプション機能を有効にするためのコマンドレットで、Active Directory Recycle Bin は "Licycle Bin Feature" という名前で識別されています。

ひとまず、現時点の オプション機能の状態を見てみましょう。この場合には、Get-ADOptionalFeature を使用します。

[管理ツール]-[Active Directory PowerShell] を起動して、以下のように入力します。

Get-ADOptionalFeature -Filter 'Name -like "*" '
img

オプション機能として有効なのは、"Lifecycle Bin Feature" のみであり、IsDisabled IsDisableable = False であることから、すでに有効になっていることがわかります 一度有効にしたら無効にできないことがわかります。

※実はWindows Server 2003 モードでインストールして上記コマンドで確認したのですが、表示が同様に「IsDisable = False」でした...。この辺り、まだ障害が残っているみたいですね...。

Windows Server 2003/2008 ドメインからアップグレードした場合など、まだ有効でない場合には以下のように入力します。

Enable-ADOperationFeature 'Recycle Bin Feature' -Scope Forest ForestOrConfigurationSet -Target 'contoso.com'
img 

これで、Active Directory Recycle Bin は有効になりました。

-----------------------

ここからは余談で、かつあくまで私見ですが...おそらく...「Active Directory 管理センター」からも有効にできるようになるのだと思われます。というのも、以下の画面をご覧ください。

この画面の赤枠には「Protect from accidential deletion」とかかれており、チェックボックスになっています。

※以下のチェックボックスはオブジェクトを誤って削除しないようにするための保護機能ですRecycle Binとは関係ありませんので、訂正いたします。

img

ためしに、Windows Server 2003 モードで Active Directory をインストールしてみたのですが、状態は上の画面と同じく、「Protect from accidential deletion」がチェックされた状態でした。もちろん、フォレストモードは 2003 なのでRecycle Bin による復元はできず、従来の tombstone による復元となりました。

----------

次回、実際にオブジェクトを削除してそれが復旧できるかどうか見てみましょう。