Active Directory (AD) kurumsal ağlarda kullanıcı, bilgisayar, grup ve diğer nesnelerin merkezi olarak yönetilmesini sağlayan kritik bir yapıdır. Ancak yoğun yönetim süreçlerinde yanlışlıkla nesne silinmesi her zaman olasıdır.
Eski Windows Server sürümlerinde bu durum ciddi bir problem oluşturuyordu çünkü tek çözüm yöntemi yedekten geri yükleme idi.
Bu yöntemin en büyük dezavantajları:
- Etki Alanı Denetleyicisi (Domain Controller – DC)’nin DSRM (Directory Services Restore Mode) modunda çalıştırılması gerekir.
- Bu süreçte DC hizmet veremez, yani sistem bir süre devre dışı kalır.
- Yedekten geri yükleme adımları karmaşık ve hataya açıktır.
Windows Server 2008 R2 ile birlikte gelen Prevent Accidental Delete özelliği ve özellikle Active Directory Recycle Bin (Geri Dönüşüm Kutusu) bu problemi büyük ölçüde ortadan kaldırdı.
Active Directory Recycle Bin Nedir?
Active Directory Recycle Bin yanlışlıkla silinen nesneleri kesinti olmadan ve eksiksiz öznitelikleriyle geri yüklemenizi sağlar.
Bu özellik Tombstone adı verilen bir mekanizma üzerine inşa edilmiştir. Normalde bir nesne silindiğinde kalıcı olarak yok olmak yerine “Deleted Objects” adlı özel bir konteynere taşınır.
Recycle Bin aktif olduğunda, nesneler şu şekilde yönetilir:
Mantıksal Olarak Silinmiş Nesne (Logically Deleted Object)
- Nesnenin tüm bilgileri korunur.
- DN (Distinguished Name) değiştirilerek Deleted Objects konteynerine taşınır.
- Deleted Lifetime süresince bu durumda kalır.
Geri Dönüştürülmüş Nesne (Recycled Object)
- Deleted Lifetime süresi dolunca bu duruma geçer.
- Çoğu özniteliği silinir, görünmez hale gelir.
- Recycled Lifetime süresi dolduğunda çöp toplama (Garbage Collection) işlemi ile kalıcı olarak silinir.
Önemli Not: Recycle Bin etkinleştirildiğinde mevcut Tombstone nesneleri hemen Recycled durumuna geçer ve kurtarılamaz.
Varsayılan Süreler ve Ayarlar
- Deleted Lifetime: Varsayılan olarak “Null” (tanımsız).
- Recycled Lifetime: Tombstone Lifetime ile aynı, yani 180 gün.
Bu süreler değiştirilebilir:
- msDS-DeletedObjectLifetime → Deleted Lifetime ayarı
- tombstoneLifetime → Recycled Lifetime ayarı
Recycle Bin Özelliğini Etkinleştirme Adımları
Recycle Bin’i etkinleştirmek için tüm Domain Controller’ların Windows Server 2008 R2 veya üzeri olması gerekir. Etkinleştirme geri alınamaz.
Forest Şemasını Güncelleyin
İlgili sunucularda aşağıdaki komutları çalıştırın:
adprep /forestprep
adprep /domainprep /gpprep
adprep /rodcprep
Forest Functional Level Yükseltin
PowerShell ile:
Set-ADForestMode -Identity DNSForestName -ForestMode Windows2008R2Forest
DNSForestName, Forest’ın DNS adıdır.
Recycle Bin’i Etkinleştirin
PowerShell ile:
Enable-ADOptionalFeature -Identity 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target DNSForestName
Etkinleştirdikten sonra DC’ler arasında replikasyon tamamlanmalıdır.
Silinmiş Nesneleri LDP.exe ile Geri Yükleme
Recycle Bin etkinleştirildikten sonra LDP.exe aracı ile nesneleri kurtarabilirsiniz.
- LDP.exe’yi çalıştırın.
- Connection → Connect ile sunucu FQDN adresini girin.
- Connection → Bind ile yetkilendirme yapın.
- Options → Controls menüsünden Return Deleted Objects seçeneğini aktif edin.
- View → Tree ile Deleted Objects konteynerinin DN adresini girin.
- Silinen nesneyi bulun ve çift tıklayın.
- Sağ tıklayıp Modify seçin.
- isDeleted özniteliğini silin.
- distinguishedName değerini yeni yerine göre değiştirin.
- Run butonu ile kaydedin.
- Active Directory Users and Computers üzerinden doğrulayın.
PowerShell ile Geri Yükleme
Get-ADObject -Filter {isDeleted -eq $true} -IncludeDeletedObjects
Restore-ADObject -Identity <ObjectGUID>
Recycle Bin Olmadan Kurtarma
Eğer Recycle Bin etkin değilse:
- Nesne yedekten geri yüklenir.
- SID korunur ancak bazı öznitelikler (örneğin grup üyelikleri) kaybolabilir.
- Bu nedenle geri yükleme sonrası manuel kontrol yapılmalıdır.
Active Directory Recycle Bin yanlışlıkla silinen nesneleri eksiksiz ve sistem kesintisi olmadan kurtarma imkânı sunar. Ancak etkinleştirme kararı alınmadan önce:
- Tüm DC’lerin sürümü kontrol edilmeli
- Planlı bakım zamanı belirlenmeli
- Geri dönüşün mümkün olmadığı unutulmamalıdır.
Doğru yapılandırıldığında bu özellik sistem yöneticilerinin hayatını kolaylaştıran ve kurtarma süresini dakikalara indiren güçlü bir araçtır.
