Recuperar elementos eliminados de Active Directory – Quest Object Restore for Active Directory

Seguramente alguna vez se nos ha dado la situación de tener que recuperar objetos eliminados en Active Directory y la verdad es que es una tarea un tanto tediosa. Primero el objeto eliminado estará marcado como eliminado durante la edad definida en el atributo del directorio activo ‘Tombstone’, y sólo si todavía no se ha eliminado totalmente de la base de datos del directorio activo es cuando lo podemos recuperar, mientras no venza el valor de Tombstone, que por defecto son 180 días. Es cierto que podemos utilizar herramientas alternativas de sysinternals como el uso del comando ADrestore o la aplicación ADrestore.NET con interfaz gráfico, pero es necesario acceder a un controlador de dominio en el modo de restauración de directorio para poder restaurar objetos.

Quest Software tiene una herramienta gratuita llamada Object Restore for Active Directory con la cual podemos, de un forma rápida e intuitiva ser capaces de recuperar esos elementos eliminados de Active Directory. Mediante un sencillo interfaz gráfico podemos ver los objetos eliminados de cualquier dominio del directorio activo y restaurarlos sin necesidad siquiera de reiniciar el controlador de dominio. Esta aplicación funciona tanto en entornos Windows Server 2003 como Windows Server 2008.

Imagen 1: Herramienta Quest Object Restore for Active Directory

Después de un sencillo proceso de instalación podremos usar la aplicación. Una vez abierta, como podemos ver en la imagen anterior, tendremos que conectarnos a algún dominio. En la siguiente imagen podemos observar como podemos seleccionar el dominio al que conectarnos para recuperar sus elementos eliminados, en nuestro caso nuestro Active Directory de prueba sólo contiene un dominio.

Imagen 2: Conexión a Active Directory desde Quest Object Restore

Una vez conectados a nuestro dominio podremos ver los elementos eliminados, usuarios, grupos, equipos, etc. Aparte del nombre nos mostrará el identificador único del objeto así como su ruta en el directorio, el tipo de objeto y la fecha de su eliminación. Como podemos ver en las imágenes a continuación recuperar un objeto es tan sencillo como buscarlo en la consola y seleccionar restaurar.

  
Imagen 3: Objetos eliminados disponibles a través de Quest Object Restore for Active Directory

Una vez restaurado el objeto mediante Object Restore podemos acceder a la consola de Usuarios y equipos de Active Directory y comprobar que se ha restaurado correctamente el objeto, en nuestro ejemplo el grupo Delegados de AD. En el caso de restaurar usuarios veremos que el usuario aparecerá deshabilitado y tendremos que habilitarlo.

   Ç
Imagen 4: Verificación de restauración de usuarios en Active Directory

Como se puede comprobar en la imagen anterior, al intentar habilitar un usuario nos mostrará un error debido a que no se puede actualizar la contraseña, tendremos que resetear la contraseña del usuario para poder habilitarlo. Esto sucede porque realmente la herramienta gratuita Object Restore de Quest Software no es capaz de restaurar las propiedades del objeto, solamente es capaz de restaurar el objeto y su GUID a su ubicación original, pero no todos los demás atributos.

Para una recuperación mucho más avanzada de Active Directory Quest Software tiene, además de Object Restore, una aplicación llamada Recovery Manager for Active Directory la cual nos aporta una solución mucho más profesional en cuanto a la recuperación y protección ante desastres de Active Directory. Próximamente empezaremos una nueva serie de entradas sobre esta herramienta, donde veremos la instalación, configuración, administración y funcionamiento de una manera muy detallada. Hasta entonces no olvidéis pasaros por la página de Quest Software para ver sus productos y novedades más recientes. Además para seguir viendo noticias como ésta no olvidéis suscribiros al Canal RSS de Windows Técnico.