Включаем корзину

Для включения корзины уровень леса должен быть Windows Server 2008 R2.

Запускаем PowerShell от имени администратора с правами Enterprise Admin

PS C:\> Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=domain,DC=local' -Scope ForestOrConfigurationSet -Target 'domain.local' # Командлет влючает корзину ActiveDirectory. Не забываем что этот процесс необратим и выключить эту фичу уже не получится

Облегчаем себе жизнь с помощью графического расширения для PowerShell

Для простоты работы с фичей корзины AD устанавливаем Power GUI и плагин Active Directory Recycle Bin PowerPack

Ручной вариант восстановления из корзины Active Directory

Запускаем с повышением администратора консоль PowerShell. Start -> Administrative Tools -> Active Directory Module for Windows PowerShell

• Просмотреть удаленные объекты можно с помощью команды

PS C:\> Get-ADObject -SearchBase "CN=Deleted Objects,DC=domain,DC=local" -ldapFilter "(objectClass=*)" -includeDeletedObjects | FT ObjectGUID,Name -A

ObjectGUID                           Name
----------                           ----
f340cb81-daab-49cc-9964-df9a248e3563 Deleted Objects
d2b37ed7-f77d-4d8b-b22d-d76c63457356 temp forDelete...
[output omited]

Если удаленные объекты имеются, но командлет Get-ADObject не отображает их, можно попробовать указать другой контроллер домена с помощью параметра -server

Get-ADObject -server dc1.domain.local -SearchBase "CN=Deleted Objects,DC=domain,DC=local" -ldapFilter "(objectClass=*)" -includeDeletedObjects | FT ObjectGUID,Name -A

• Восстанавливается удаленный объект через GUID с помощью команды

Restore-ADObject -Identity [GUID]

Restore-ADObject -Identity d2b37ed7-f77d-4d8b-b22d-d76c63457356

Либо восстановим удаленный объект однострочным командлетом, зная к примеру displayName:

Get-ADObject -Filter {displayName -eq "Sergey Ivanov"} -IncludeDeletedObjects | Restore-ADObject

Передать или форсированно захватить любую из пяти FSMO доменных ролей Active Directory можно с помощью утилиты ntdsutil

Подключаемся к серверу, с которого необходимо передать роли и запускаем командную строку

C:\> ntdsutil

ntdsutil: roles

fsmo maintenance: help

?                             - Show this help information
Connections                   - Connect to a specific domain controller
Help                          - Show this help information
Quit                          - Return to the prior menu
Seize domain naming master    - Overwrite domain role on connected server
Seize infrastructure master   - Overwrite infrastructure role on connected server
Seize PDC                     - Overwrite PDC role on connected server
Seize RID master              - Overwrite RID role on connected server
Seize schema master           - Overwrite schema role on connected server
Select operation target       - Select sites, servers, domains, roles and naming contexts
Transfer domain naming master - Make connected server the domain naming master
Transfer infrastructure master - Make connected server the infrastructure master
Transfer PDC                  - Make connected server the PDC
Transfer RID master           - Make connected server the RID master
Transfer schema master        - Make connected server the schema master

fsmo maintenance: connections

server connections: connect to server dc3.domain.local
Binding to dc3.domain.local ...
Connected to dc3.domain.local using credentials of locally logged on user.

server connections: quit

fsmo maintenance: Transfer RID master

После проделанных действий на экране должно появиться диалоговое окно с вопросом о подтверждении текущей операции: "Are you sure you want the domain role of RID master transferred to the server dc3.domain.local ? ". Нажимаем "Yes". Роль передана.

Тестирование работы контроллеров домена Active Directory

PS C:\> dcdiag /s:<destination domain controller name> # Диагностика контроллера домена
PS C:\> dcdiag /q # Отобразит только ошибки, возникшие при проверке контроллера домена
PS C:\> dcdiag /test:dns # Протестирует роль DNS
PS C:\> netdom query /domain:<domain name> fsmo # Команда отобразит держателей ролей FSMO
PS C:\> repadmin /showrepl * # Звездочка поочередно отобразит отчет по репликации всех контроллеров домена
PS C:\> gpresult /scope COMPUTER /Z > C:\temp\GPO.txt # Получить отчет по групповым политикам
PS C:\> w32tm /tz # Узнаем текущую временную зону
PS C:\> (Get-ADDomainController -Identity dc1).Site # Узнаем сайт, в котором находится контроллер домена. Также это можно сделать с помощью команды nltest /dsgetsite
PS C:\> Get-EventLog -ComputerName dc1,dc2 -LogName system -EntryType 'error' -After (Get-Date).AddDays(-7) | Sort-Object -Property TimeGenerated -Descending | Format-Table -AutoSize -Property timegenerated,eventid,source,machinename,message # Командлет выведет отчет по ошибкам с перечисленных контроллеров домена за последние 7 дней. Командлет (Get-Date).AddDays(-7) указывает количество предыдущих дней, которые нужно отнять от текущего момента
PS C:\> Test-ComputerSecureChannel # Выполняется на рядовом члене домена. Проверит защищенное соединение между локальным компьютером и доменом