penghapusan objek Active Directory secara tidak sengaja dapat terjadi
untuk user-user Active Directory Domain Services (AD DS) dan Active
Directory Lightweight Directory Services (AD LDS).
Pada
domain Windows Server 2008 Active Directory, kita dapat mengembalikan
objek secara tidak sengaja terhapus ini dari backup AD DS yang diperoleh
dari Windows Server Backup. Kita masih dapat menggunakan perintah ntdsutil authoritative restore untuk menandai objek secara authoritative
untuk memastikan bahwa data yang direstore direplikasikan di domain.
Kekurangan dari solusi authoritative restore adalah proses ini harus
dilakukan pada Directory Services Restore Mode (DSRM). Selama
proses DSRM berlangsung, domain controller (DC) yang direstore harus
dalam status offline. Akibatnya DC ini tidak dapat melayani client.
Pada
Windows Server 2003 Active Directory dan Windows Server 2008 AD DS,
kita dapat melakukan recover objek Active Directory yang terhapus
melalui tombstone reanimation. Di Windows Server 2003 dan Windows
Server 2008, sebuah objek Active Directory yang terhapus tidak secara
fisik dihapus dari database. Distinguished Name (DN) dari objek tersebut dihancurkan, hampir seluruh non-link-valued attributes dari objek dibersihkan, seluruh link-valued attributes dari objek secara fisik juga dihapus, dan objek dipindahkan ke kontainer khusus di dalam naming context (NC) dari objek yang disebut Deleted Objects. Objek tersebut kemudian disebut sebagai tombstone, karena menjadi tidak terlihat (invisible) terhadap aktivitas sistem yang normal. Tombstone dapat di reanimated kapan saja dalam kurun waktu tombstone lifetime dan
menjadi objek Active Directory yang hidup dan aktif kembali. Default
tombstone lifetime adalah 180 hari di Windows Server 2003 dan Windows
Server 2008. Kita dapat menggunakan tombstone reanimation untuk melakukan penyelamatan objek-objek yang terhapus tanpa harus membuat offline domain controller atau instance dari AD LDS kita. Akan tetapi link-valued attributes
dari objek-objek hasil proses reanimasi (sebagai contoh, keanggotaan
group dari user account) yang secara fisik dihapus dan juga non-link-valued attributes dari objek tidak dapat di-recover. Oleh sebab itu, administrator tidak dapat menjadikan tombstone reanimation sebagai solusi yang terbaik dalam menyelamatkan objek-objek yang terhapus secara tidak sengaja.
Active Directory Recycle Bin di Windows Server 2008 R2 dibentuk berdasarkan infrastruktur tombstone reanimation
dan juga peningkatan kemampuan pemeliharaan dan penyelamatan
objek-objek yang terhapus secara tidak sengaja. Informasi lebih lengkap
tentang tombstone reanimation, bisa di lihat pada Reanimating Active Directory Tombstone Objects
Windows Server 2008 R2 Active Directory Recycle Bin bermanfaat dalam meminimalkan directory service downtime
melalui peningkatan dalam pemeliharaan dan penyelamatan objek Active
Directory yang terhapus secara tidak sengaja dengan tanpa melakukan restoring Active Directory data dari backup, me-restart AD DS, atau rebooting domain controller.
Saat kita mengaktifkan Active Directory Recycle Bin, seluruh link-valued dan non-link-valued attributes
dari objek-objek yang terhapus tetap disimpan dan dipelihara dan
objek-objek diselamatkan kembali dalam kondisi yang lengkap seperti
halnya sebelum dihapus. Sebagai contoh, sebuah user account yang
diselamatkan akan kembali memiliki keanggotaan groupnya dan juga
berbagai access right yang sebelumnya dimiliki sebelum dihapus.
Active Directory Recycle Bin dapat difungsikan baik untuk lingkungan AD
DS maupun AD LDS.
Mengaktifkan Active Directory Recycle Bin
Untuk dapat mengaktifkan Active Directory Recycle Bin kita harus melakukan dua hal:
- Meningkatkan (raising) forest functional level
- Mengaktifkan Active Directory Recycle Bin
Kita dapat mengaktifkan Active Directory Recycle Bin hanya jika forest functional level dari lingkungan jaringan kita diset ke Windows Server 2008 R2.
Metode Mengaktifkan Active Directory Recycle Bin
Setelah
forest functional level dari lingkungan jaringan kita diset ke Windows
Server 2008 R2, kita dapat mengaktifkan Active Directory Recycle Bin
dengan menggunakan salah satu dari metode berikut ini:
- Enable-ADOptionalFeature Active Directory module cmdlet (Ini merupakan metode yang direkomendasikan)
- Menggunakan perintah Ldp.exe
Untuk mengaktifkan Active Directory Recycle Bin dengan menggunakan Enable-ADOptionalFeature cmdlet, yang kita dapat lakukan dengan tahapan sebagai berikut:
1. Pastikan logon sebagai Administrator
2. Klik Start>Administrative Tools>Active Directory Module for Windows PowerShell.
3. Pada command prompt Active Directory module for Windows PowerShell, ketikkan perintah berikut dan kemudian tekan Enter:
Enable-ADOptionalFeature -Identity <ADOptionalFeature> -Scope <ADOptionalFeatureScope> -Target <ADEntity>
Sebagai contoh, untuk mengaktifkan Active Directory Recycle Bin untuk wirecat.com, ketikkan perintah berikut dan tekan Enter:
Enable-ADOptionalFeature
–Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory
Service,CN=Windows NT,CN=Services,CN=Configuration, DC=wirecat,DC=com’
–Scope ForestOrConfigurationSet –Target ‘wirecat.com’
Setelah ditekan Enter, akan muncul kotak konfirmasi sebagai berikut, dan ketikkan “Y”
Untuk metode penggunaan perintah ldp.exe,
Mengembalikan objek yang terhapus dari Active Directory Recycle Bin
Setelah
Active Directory Recycle Bin diaktifkan, maka kita telah dapat
menggunakannya untuk mengembalikan objek-objek Active Directory. Sebagai
contoh dari langkah-langkah pengembalian objek ini, terlebih dahulu
kita perlu membuat skenario objek tersebut berada pada suatu
organizational unit tertentu dan juga merupakan anggota dari suatu group
tertentu. Oleh karena itu penulis sengaja membuat langkah-langkah
tambahan dari mulai membuat organizational unit, membuat domain user
account dan juga membuat group serta menambahkan keanggotaan dari group
dengan tahapan-tahapan sebagai berikut ini. Dan hasil dari langkah
pengembalian objek user yang dihapus nantinya dari proses ini kita dapat
membuktikan user tersebut masih memiliki keanggotaan dari group yang
kita buat.
Membuat Organizational Unit, Domain User Account, dan Group
Membuat objek Organizational Unit
Tahapannya sebagai berikut:
1. Buka console Active Directory Users and Computers
2. Klik-kanan pada nama_domain, pilih New>Organizational Unit
3. Pada kotak dialog New Object=Organizational Unit, pada Name: ketikkan nama OU, misalkan Finances dan kemudian klik OK.
Membuat objek Domain User Account di dalam OU
1. Kemudian klik-kanan pada OU Finances tadi, kemudian pilih New>User
2. Lalu pada kotak isian New Object – User, isikan nama user yang dikehendaki, misalkan Finance01. Setelah itu klik Next.
3. Kemudian isikan passwordnya, dan pastikan tanda cek untuk pilihan User must change password at next logon dibersihkan. Klik Next.
4. Kemudian klik Finish untuk mengakhiri.
Membuat Group di dalam OU Finances
1. Klik-kanan OU Finances, pilih New>Group
2. Kemudian pada kotak isian New Object – Group, isikan nama group dan pilih juga Group scopenya Domain local. Misalkan nama groupnya adalah DL_Finances, dan kemudian klik OK.
Sehingga pada OU Finances telah terdapat dua objek, yaitu Domain User Account Finance01 dan Domain Local Group, DL_Finances.
Menjadikan Domain User Account sebagai member dari Group
Pada tahapan ini kita akan menjadikan User Account Finance01 sebagai member dari group DL_Finances.
Pada Active Directory Users and Computers, pada OU Finances, klik-kanan Finance01, lalu pilih Add to a group...
Kemudian pada kotak dialog Select Groups, pada bagian Enter the object names to select, ketikkan DL_Finances, dan klik tombol Check Names, dan kemudian klik OK.
Kemudian akan muncul kotak konfirmasi sebagai berikut, klik OK.
Dengan demikian, user Finances01 telah menjadi member dari DL_Finances dan juga Domain Users (secara default). Bisa kita cek kembali dengan melihat properti dari user account Finance01, pada tab Member Of.
Mengembalikan objek yang terhapus
Sebelum kita mengembalikan objek yang terhapus, kita hapus dulu objeknya, dalam hal ini kita menghapus objek user account Finance01.
Tahapan menghapus user account
1. Pada console Active Directory Users and Computers, pada OU Finances, klik-kanan Finance01 dan kemudian pilih Delete.
2. Kemudian pada kotak konfirmasi seperti berikut ini, klik Yes.
Dengan demikian user Finance01 telah terhapus.
Mengembalikan objek dengan menggunakan Active Directory Recycle Bin
Kita dapat menggunakan Get-ADObject and Restore-ADObject Active Directory module for Windows PowerShell cmdlets untuk mengembalikan objek yang terhapus.
Untuk mengembalikan satu objek yang terhapus dengan menggunakan cmdlet Get-ADObject dan Restore-ADObject.
Kita akan mengembalikan objek user Finance01 dengan menggunakan Active Directory Recycle Bin, dengan tahapan sebagai berikut:
1. Klik Start>Administrative Tools, kemudian klik-kanan Windows Powershell Modules dan pilih Run As Administrator.
2. Pada command prompt Active Directory module for Windows PowerShell, ketikkan perintah berikut dan kemudian tekan Enter: Get-ADObject -Filter {String} -IncludeDeletedObjects | Restore-ADObject.
Sebagai contoh, jika kita ingin melakukan restore suatu objek user
dengan nama Finance01, ketikkan perintah berikut ini dan kemudian tekan Enter: Get-ADObject -Filter {displayName -eq "Finance01"} -IncludeDeletedObjects | Restore-ADObject
Hasilnya, kita bisa cek pada Active Directory Users and Computers, pada OU Finances, setelah kita refresh, akan muncul kembali user account Finance01.
Demikian juga ketika kita periksa properti dari user Finance01, kita lihat pada tab Member Of: keanggotaan dari user Finance01 dari group DL_Finances tetap utuh seperti sebelum account ini dihapus.
Tidak ada komentar:
Posting Komentar