Корзина в Active Directory на Server 2016

Новое место работы накладывает новые ограничения на то что знал и делал до этого, вот к примеру сейчас используется и планируется только Windows Server 2016. А раз то, хочу разобрать для себя в первую очередь как обстоит дело с функцией «Корзина» активированной в домене под управлением Windows Server 2016. Пусть я сейчас разберу, как и что делается чтобы в последствии мне не было плохо от того, что с этим я еще не работал и не знаю как использовать.
Рассказывать что есть Recycle Bin в домене можно, но пусть каждый сам ищет информацию, скажу лишь одно — это возможность быть во всеоружии если по каким-либо причинам была(и) удалены объекты домена и их нужно восстановить, а не создать заново, т. к. идентификатор будет другим.

• srv-gw → 192.168.2.1 (шлюз на базе Mikrotik)
• srv-dc → 192.168.2.2 (Домен контроллер на базе Windows Server 2016
• polygon.local → домен.

Авторизуюсь на домен контроллере (srv-dc) под правами «Администратора домена», учетная запись в моем случае это — ekzorchik.

Win + R → control.exe → Просмотр: Категория → Мелкие значки — «Администрирование» → «Диспетчер серверов», ожидаю покуда мастер соберет свою информацию о текущей системе и в левом краю нажав на «Все серверы» не отобразятся все роли поднятые на текущей системе. Затем перехожу «Средства» → «Центр администрирования Active Directory» → разворачиваю polygon.local (локальный) и обращаю внимание на самую правую колонку под общим названием «Задачи». Здесь вижу задачу именуемую как «Включить корзину», нажимаю на нее, подтверждаю свое намерение сделать это и осознаю, что после исполнения задачи обратно отменить ее будет нельзя. А зачем отменять если польза от использования функции «Корзина» (Recycle Bin) огромна.

Мастер исполнения включения задачи уведомит, что доменные службы Active Directory приступили к включению корзины для этого леса. Корзина не будет работать надежно, пока все контроллеры доменов в лесу не реплицируют изменение конфигурации этой корзины.

Проверяю состояние домена:

C:\Windows\system32>dcdiag

C:\Windows\system32>repadmin /syncall

СООБЩЕНИЕ ОБРАТНОГО ВЫЗОВА: Завершена операция SyncAll.
Команда SyncAll завершена без ошибок.

Отлично, корзина включена. Что теперь, если я или кто-то другой случайно удалит объект из Active Directory от будет помещен в организационный контейнер под именем «Deleted Object», его можно видеть при запущенной оснастке «Центр администрирования Active Directory»

Как и в прошлый раз на Windows Server 2012 R2 Standard создаю пользователей, группы,ou и удаляю что-либо, потом перейдя в «Центр администрирования Active Directory» — «Подразделение» — «Deleted Object» обнаруживаю, объект который был удален и через правый клик мышью по нему выбираю способ восстановления.

• Восстановить туда откуда он был удален
• Восстановить в указанное подразделение (вручную)

На заметку: если было удалено подразделение в котором находились учетные записи, группы, компьютеры, то восстановить нужно сперва «Подразделение» (Organization Unit), а уже потом сами объекты или использовать метод «Восстановить в…»

На заметку: Советую у объектов домена устанавливать галочку «Защитить объект от случайного удаления» во вкладке «Объекта» при включенной дополнительной настройки позволяющей в объекте увидеть данную вкладку .

Включить дополнительные настройки:

Win + R → control.exe → «Администрирование»→ «Пользователи и компьютеры Active Directory» → Вид → «Дополнительные компоненты».

На заметку: Удаленные объекты хранятся с включенной функцией «Корзина» до 180 дней, но этого как мне кажется хватит вполне чтобы спохватиться если что-то произошло.

Итак, хорошо, что и в новом домене Windows Server 2016 имеется такая функция как «Корзина», а значит опыт полученный при использовании в Windows Server 2012 R2 накладывается. На этом у меня пока все, с уважением автор блога Олло Александр aka ekzorchik.

Сохранение удаленных файлов Samba в корзине

Полезным функционалом файлового сервера на самбе является возможность сохранить удаленные файлы. Завершая цикл статей про файловый сервер, я расскажу про настройку корзины в samba с помощью модуля vfs_recycle. Приведу несколько полезных замечаний на основе своего опыта работы.

Введение

Наличие корзины на сетевых дисках является огромным преимуществом файлового сервера samba в сравнении с windows file server. Для меня удивительно, но до сих пор подобного функционала нет в windows, и скорее всего не будет. Там реализация сетевой корзины сделана на основе других, более сложных технологий. И не таких удобных.

За корзину, я готов самбе простить прочие неудобства, в сравнении с виндой. В некоторых случаях это является решающим преимуществом, которое склоняет чашу весов на выбор именно самбы в качестве сетевого хранилища файлов с совместным доступом.

Настраивается корзина достаточно просто. Есть некоторые моменты в процессе эксплуатации сервера. О них я расскажу отдельно. Данная статья будет написана на примере CentOS 7, но различий с другими системами нет. Все описанное без редактуры переносится на любой другой linux сервер, где используется samba.

В качестве примера настройки samba используется указанная статья. Далее я буду подразумевать,что сервер настроен по ней. Собственно, в моем примере так и будет.

Включаем сетевую корзину в Samba

Как и с логированием доступа к файлам, сетевая корзина в samba может быть настроена как глобально для всех сетевых дисков, так и для каждого в отдельности. Различия в настройке минимальны. Рассмотрим сначала вариант глобальной корзины, одной для всех. Добавляем в /etc/samba/smb.conf в секцию [global] следующие строки.

Поясню каждый параметр:

recylce:excludedir	Список исключения директорий, файлы из которых не будут попадать в корзину
recycle:exclude	Список исключений для файлов. В данном случае указан в виде масок некоторых расширений.
recycle:versions	Параметр отвечает за версионность удаленных файлов, если их имена совпадают. В таком случае к удаленном файлу в начале имени будет добавляться Copy #N of.
recycle:touch	Параметр отвечает за то, будет ли указана дата изменения файла на время удаления файла, либо останется оригинальное значение файла.
recycle:keeptree	Сохранять или нет дерево каталогов для удаленных файлов.
recycle:repository	Указываем директорию, где будут храниться удаленные файлы. Она может располагаться где угодно. Если параметр не указан, используется значение по-умолчанию — .recycle в корне сетевого диска.

Если вы хотите настроить корзину для каждого сетевого диска отдельно, то укажите эти же параметры в каждой сетевой шаре, указав уникальный путь для каждой корзины. И дополнительно добавьте к каждой шаре параметр:

Если у вас и аудит настроен для каждой шары отдельно, то не забудьте указать и этот модуль:

Для применения изменений необходимо перезапустить самбу.

Теперь можно идти и проверять работу сетевой корзины. Далее расскажу о возможных нюансах.

Дополнительные настройки vfs_recycle

Обращаю внимание на самый важный нюанс в работе сетевой корзины. У нее должны быть корректно выставлены права доступа. Чтобы все удаленные файлы гарантированно в нее попадали, у каждого пользователя должны быть права доступа к этой корзине. И вот тут возникают варианты:

1. Для упрощенной настройки доступа к корзине, вы ее делаете в корне сетевой шары, чтобы все пользователи могли туда помещать свои файлы. В таком случае у всех возникает доступ ко всем удаленным файлам.
2. Вы выносите сетевую корзину за пределы сетевой шары для более удобного использования сетевого пространства, либо по причине безопасности.

Расскажу подробнее о проблемах в каждом случае и расскажу, как пользуюсь корзиной сам. В первом случае возникает такая ситуация. Например, у вас есть сетевой путь /mnt/shara/документы/user1/file.txt. В директории документы много папок, как минимум по одной для каждого пользователя. Допустим, пользователь user1 первым удалил файл file.txt. В таком случае в корзину по адресу /mnt/shara/.trash/документы/user1/file.txt перемещается удаленный файл. Владельцем директории документы в корзине становится user1, так как он первый удалил файл и создал дерево директорий.

Когда другой пользователь удалит что-то в своей директории, у него может не оказаться прав доступа к к папке /mnt/shara/.trash/документы, чтобы положить туда свой удаленный файл. Вы это увидите в логе аудита. Не обязательно будет так, все зависит от конкретных настроек прав доступа. Я просто рассказываю, что так может быть и у меня часто бывает. Со временем может появиться какой-то новый пользователь с ограниченными правами, который тоже по какой-то причине не сможет положить свой удаленный файл в корзину.

Чтобы исправить такую ситуацию, на корзину нужно давать всем права доступа. Но корзина то у нас лежит в корне шары. Если сделать так, то каждый пользователь сможет увидеть удаленные файлы другого пользователя, к которым в обычном режиме у него нет прав доступа. Конечно, можно скрыть корзину следующим образом. Во-первых, у нее имя начинается с точки. В таком случае в свойствах шары можно указать параметр:

Все директории с точкой в начале становятся скрытыми. Но это слабая защита. Пользователь вручную может включить у себя отображение скрытых директорий и увидеть спрятанную корзину. Такой вариант не надежный.

Для того, чтобы не решать эти проблемы с правами доступа в корзине, я ее убираю из шары и храню отдельно. Там я без проблем ставлю всем права доступа, не переживая, что кто-то получит доступ к файлам, ему не принадлежащим. Далее в зависимости от обстоятельств, я либо ничего не делаю, если достаточно доступа к корзине через консоль сервера. Если же этого не достаточно, то делаю отдельную шару, в которой в качестве сетевой папки указываю нашу корзину. И уже на уровне шары настраиваю права доступа к ней. В самом простом случае по ip ограничиваю доступ для системного администратора.

Возможно, существует более красивый и удобный способ разрешения данной проблемы. Я не занимался его поиском или настройкой. Обычно делаю так, как описал. Корзину для пользователей не афиширую, чтобы аккуратнее работали и не надеялись на то, что файл можно быстро и без проблем восстановить. Иначе могут задергать постоянными запросами на восстановление. Эту задачу обычно делегирую на системных администраторов на местах.

Автоматическая очистка корзины

Чуть не забыл об очистке корзины. Тут я ничего не придумываю, а просто использую команду find с ключами, которая удаляет все файлы, старше определенного срока. Обычно чищу все, что старше 30 дней примерно такой командой:

Создаю скрипт с этой командой и добавляю в cron на ежедневное исполнение.

Поместить файлы, удаленные по сети, в мусорную корзину Windows?

С рабочей станции Windows, когда я удаляю файлы по сети (например, общий ресурс файла, серверный диск и т. д.), эти файлы никогда не помещаются в корзину, как на моей рабочей станции Windows, так и на сервере — они мгновенно и постоянно удаляется. Это всегда засасывало ИМХО.

Есть ли программное обеспечение, которое в этом случае помещает файлы в корзину, где-то для удобства восстановления?

Возможно, изменение политики Windows, значение параметра реестра, программная утилита и т. д.?

— Страница Ищете конкретное решение вместо общего «Эй, изучите это или попробуйте это». Я убежден, что кто-то уже решил это и может это объяснить. Спасибо.

8 ответов

Сетевая корзина не существует, есть два пути:

Используйте теневые копии или резервные копии для предотвращения потери данных.

Локально корзина является частью проводника Windows — и в сети вы НЕ имеете дело с проводником на сервере. Проводник локально не собираюсь скопировать файл на рабочую станцию ​​пользователя, чтобы поместить его в рециркулировать бен.

Однако вы можете реализовать теневое копирование, затем пользователи могут восстанавливать и сравнивать версии.

Вместо того, чтобы нажимать кнопку «Удалить», переместите файл в корзину.

Предоставленная ссылка также предлагает NetrBin , как говорит Revolter,
большая проблема заключается в том, что каждый раз, когда вы удаляете, вы сначала переносите файл.

Жаль, что простой и эффективный ответ здесь был опущен. Шаги Отниэля Кресси разрешают проблему, не требуя дополнительного программного обеспечения. У меня нет достаточной репутации, чтобы поддержать его или прокомментировать его сообщение, поэтому мне нужно ответить здесь, но это отличное решение для людей!

Все, что вам нужно сделать, это установить расположение одного из личных папок в корневом каталоге сетевого диска, и Windows автоматически добавит это местоположение в корзину. Я использую папку «Контакты», поскольку для этого я не использую ее, но вы можете использовать «Моя музыка» или «Мои игры».

1. Щелкните правой кнопкой мыши личную папку, которую вы не используете (например, Контакты), и выберите Свойства
2. Найдите вкладку Местоположение .
3. Нажмите Переместить . и установите новое местоположение в корневом каталоге сетевого диска.
4. Я решил не перемещать существующие файлы, в любом случае их не должно быть.

Готово. Проверьте местоположение корзины, и вы увидите там сетевой диск! Я нашел этот отличный совет, поэтому надеюсь, что он поможет другим.

Я столкнулся с утилитой, когда искал эту проблему

люди, в свою очередь, заявляют, что Microsoft не обрабатывает удаления по сетевым ресурсам! выглядит правдиво. еще не можете найти подробнее .

NetrBin , (корзина для сети), для этой цели, он перемещает удаленные файлы из сети диски в корзину для последующих резервных копий. (я не тестировал его), поэтому вы можете попробовать его.

«Для реализации сетевой корзины Samba использует модуль виртуальной файловой системы (VFS).» — Короче говоря, для большинства решений, которые я использовал, вам необходимо настроить сетевой ресурс (а не клиент).

Быстрый поиск нашел эту информацию на RedHat.com:

Более подробное руководство можно найти здесь:

Вы можете создать сетевую папку под названием «Корзина» и просто перенести файлы на нее.

Несколько лет назад я наконец нашел программное обеспечение, заменяющее корзину, начиная с 2 исследуемых функций, которые являются дескрипторами: — файлы, удаленные из сети — перемещенные файлы

Это программное обеспечение было «Undelete» из исполнительного программного обеспечения http://www.executivesoftware.com . К несчастью, их деятельность прекратилась примерно в 2003-2004 годах. Мой выпуск по-прежнему работает под windows xp и не пробовал до семи, но у меня есть сомнения.

Я вчера увидел ваш вопрос, и я нашел Undelete с сайта Diskkeeper. Название и функции кажутся одинаковыми, еще не пробовали eval, но я чувствую, что есть какая-то хорошая надежда, что Diskeeper купил Executive software.

После поиска в Google термины «Исполнительное программное обеспечение» часто используются на веб-сайте diskkeeper, поэтому, возможно, это начало ответа. Как бы то ни было, я приглашаю вас попробовать.

Следуйте этим шагам, когда вы удаляете файлы на сервер, они сохраняются в вашем локальном корзине. Я нашел его удобным. Шаги просты.

Дамп от ссылок Othniel Cressy.

Несколько лет назад я обнаружил, как перенаправленные папки профиля пользователя в Windows получает защиту корзины, даже если папки перенаправляется в сетевую папку. Это была огромная находка для меня, и я использовала эту функцию для добавления содержимого корзины в некоторые из моих сопоставленных сетевые диски. Я поделился этой информацией на другом форуме здесь: http://forums.mydigitallife.info/threads/16974-Tip- Сетевое Утилизировать бен Сегодня я придумал лучший способ достичь той же цели, которая не полагайтесь на перенаправление папок профиля пользователя, и я разделяю это информацию для других пользователей. Вы можете взглянуть на этих форумах для дополнительной информации: http://technet.microsoft.com/ru -us /библиотека /cc787939 (v = ws.10) .aspx http://blogs.technet.com/b/askds/archive/2012/07/16/managing-the-recycle-bin-with-redirected-folders-with-vista- или витрины-7.aspx http://msdn.microsoft.com/en-us/library/bb882665. ASPX http://social.technet.microsoft.com/Forums/windowsserver/en-US/10bfcfb9-14f3-434e-9ffa-0289b8b32e01/folder-redirection-recycle-bin Применяется стандартная оговорка — это может сломать материал. Я только протестирован в Windows 8, и мое тестирование ограничено. Попробуйте это самостоятельно риск. Это то, что я узнал (или думаю, что я научился — я мог бы быть неправильно): Windows Vista и более поздние версии сохраняют настройки конфигурации для Корзину для переадресованных папок профиля пользователя в этом реестре ключ: HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ BitBucket \ KnownFolder Под этим ключом находятся отдельные ключи для каждой переадресованной папки, которая защищенный корзиной. Ключи содержат конфигурацию информации для каждой защищенной папки и названы в соответствии с GUID для «Известных папок». Список имен известных папок для GUID-сопоставлений доступен в одной из приведенных выше ссылок. Реестр также содержит список «известных папок» в этом месте:

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDescriptions

Итак, я рассуждал, что если бы я мог создать свою собственную «известную папку», я может добавить это в список папок, которые были защищены Корзину и защитить любой подключенный сетевой диск, который я хотел. Поэтому я посмотрел в списке существующих «известных папок» и создал ключ, который был аналогично клавише «Документы». Затем я искал значения в пока я не сузил его до минимального числа, необходимого для утилизация работа. Этот .reg-файл защитит сопоставленный X: диск с

50GB корзина. Вы должны изменить файл в соответствии с вашими потребностями: Редактор реестра Windows версии 5.00

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ FolderDes & Gt; criptions <9147e464-33a6-48e2-a3c9-361efd417def>] «RelativePath» = «X: \» «Category» = dword: 00000004 «Name» = «XDrive»

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ BitBucket \ KnownFolder <9147e464-33a6-48e2-a3c9-361efd417def>] «MaxCapacity» = dword: 0000c7eb «NukeOnDelete» = dword: 00000000

примечания: GUID в приведенном выше .reg файле <9147e464-33a6-48e2-a3c9-361efd417def>пришел из этого PowerShell command: «<" + [guid] :: NewGUID (). ToString (). ToUpper () + ">» Каждый «известный папка «/Recycle Bin требуется уникальный GUID. Если вы не хотите использовать PowerShell для генерации GUID, вы можете использовать онлайн-GUID генератор. Я не знаю, что делает значение «Категория», но ключ I скопировано, если оно установлено на 4, и это работает, поэтому я не тестировал другие ценности. Значение «Имя» требуется, но это не имя, которое будет если вы щелкните правой кнопкой мыши на Корзине и выберите свойства. (В по крайней мере, не в моей среде.) В моей среде имя, которое показано имя сетевого диска. Это изменение добавляет Вкладка «Расположение» на странице свойств подключенных сетевых дисков. я предположите, что это можно удалить, изменив значение «Категория», но не удосужился узнать. Я тестировал только подключенные сетевые диски. я Подозреваю, что это будет работать и с UNC-путями, но я не беспокоился тестирование. Надеюсь, вы так же в восторге от этого, как я должен был это понять из. Дайте мне знать, если это сработает для вас. Сейчас я планирую развернуть ключи реестра с настройками групповой политики и обновит этот форум сообщение с любой информацией, которую я обнаруживаю. С наилучшими пожеланиями

— Обновление Russel: теперь я использую настройки групповой политики для развертывания необходимых разделов реестра, и все мои подключенные сетевые диски теперь защищенный корзиной. Обновление 2: я тестировал сейчас с UNC пути, и это прекрасно работает. Я по-прежнему использую подключенные сетевые диски, но если ваша среда требует UNC-путей вместо этого, вы можете их использовать. Заметка однако, если у вас есть подключенный сетевой диск, который указывает на UNC путь, и вы защитите UNC-путь с изменением реестра, если пользователь удаляет файл с подключенного сетевого диска, который указывает на UNC путь, файл будет удален. См. Ниже подробности.