bobby iskandar zulkarnain

Panduan Langkah demi langkah Menggunakan Fitur Active Directory Recycle Bin

Mengenal Active Directory Recycle Bin

 

Melengkapi artikel sebelumnya di sini, penghapusan objek Active Directory secara tidak sengaja dapat terjadi untuk user-user Active Directory Domain Services (AD DS) dan Active Directory Lightweight Directory Services (AD LDS).

Pada domain Windows Server 2008 Active Directory, kita dapat mengembalikan objek secara tidak sengaja terhapus ini dari backup AD DS yang diperoleh dari Windows Server Backup. Kita masih dapat menggunakan perintah ntdsutil authoritative restore untuk menandai objek secara authoritative untuk memastikan bahwa data yang direstore direplikasikan di domain. Kekurangan dari solusi authoritative restore adalah proses ini harus dilakukan pada Directory Services Restore Mode (DSRM). Selama proses DSRM berlangsung, domain controller (DC) yang direstore harus dalam status offline. Akibatnya DC ini tidak dapat melayani client.

Pada Windows Server 2003 Active Directory dan Windows Server 2008 AD DS, kita dapat melakukan recover objek Active Directory yang terhapus melalui tombstone reanimation. Di Windows Server 2003 dan Windows Server 2008, sebuah objek Active Directory yang terhapus tidak secara fisik dihapus dari database. Distinguished Name (DN) dari objek tersebut dihancurkan, hampir seluruh non-link-valued attributes dari objek dibersihkan, seluruh link-valued attributes dari objek secara fisik juga dihapus, dan objek dipindahkan ke kontainer khusus di dalam naming context (NC) dari objek yang disebut Deleted Objects. Objek tersebut kemudian disebut sebagai tombstone, karena menjadi tidak terlihat (invisible) terhadap aktivitas sistem yang normal. Tombstone dapat di reanimated kapan saja dalam kurun waktu tombstone lifetime dan menjadi objek Active Directory yang hidup dan aktif kembali. Default tombstone lifetime adalah 180 hari di Windows Server 2003 dan Windows Server 2008. Kita dapat menggunakan tombstone reanimation untuk melakukan penyelamatan objek-objek yang terhapus tanpa harus membuat offline domain controller atau instance dari AD LDS kita. Akan tetapi link-valued attributes dari objek-objek hasil proses reanimasi (sebagai contoh, keanggotaan group dari user account) yang secara fisik dihapus dan juga non-link-valued attributes dari objek tidak dapat di-recover. Oleh sebab itu, administrator tidak dapat menjadikan tombstone reanimation sebagai solusi yang terbaik dalam menyelamatkan objek-objek yang terhapus secara tidak sengaja.

Active Directory Recycle Bin di Windows Server 2008 R2 dibentuk berdasarkan infrastruktur tombstone reanimation dan juga peningkatan kemampuan pemeliharaan dan penyelamatan objek-objek yang terhapus secara tidak sengaja. Informasi lebih lengkap tentang tombstone reanimation, bisa di lihat pada Reanimating Active Directory Tombstone Objects (http://go.microsoft.com/fwlink/?LinkID=125452).

Windows Server 2008 R2 Active Directory Recycle Bin bermanfaat dalam meminimalkan directory service downtime melalui peningkatan dalam pemeliharaan dan penyelamatan objek Active Directory yang terhapus secara tidak sengaja dengan tanpa melakukan restoring Active Directory data dari backup, me-restart AD DS, atau rebooting domain controller.

Saat kita mengaktifkan Active Directory Recycle Bin, seluruh link-valued dan non-link-valued attributes dari objek-objek yang terhapus tetap disimpan dan dipelihara dan objek-objek diselamatkan kembali dalam kondisi yang lengkap seperti halnya sebelum dihapus. Sebagai contoh, sebuah user account yang diselamatkan akan kembali memiliki keanggotaan groupnya dan juga berbagai access right yang sebelumnya dimiliki sebelum dihapus. Active Directory Recycle Bin dapat difungsikan baik untuk lingkungan AD DS maupun AD LDS.

 

Mengaktifkan Active Directory Recycle Bin

Untuk dapat mengaktifkan Active Directory Recycle Bin kita harus melakukan dua hal:

  • Meningkatkan (raising) forest functional level
  • Mengaktifkan Active Directory Recycle Bin

Kita dapat mengaktifkan Active Directory Recycle Bin hanya jika forest functional level dari lingkungan jaringan kita diset ke Windows Server 2008 R2. 

 

Metode Mengaktifkan Active Directory Recycle Bin

Setelah forest functional level dari lingkungan jaringan kita diset ke Windows Server 2008 R2, kita dapat mengaktifkan Active Directory Recycle Bin dengan menggunakan salah satu dari metode berikut ini:

  • Enable-ADOptionalFeature Active Directory module cmdlet (Ini merupakan metode yang direkomendasikan)
  • Menggunakan perintah Ldp.exe

 

Untuk mengaktifkan Active Directory Recycle Bin dengan menggunakan Enable-ADOptionalFeature cmdlet, yang kita dapat lakukan dengan tahapan sebagai berikut:

1. Pastikan logon sebagai Administrator

2. Klik Start>Administrative Tools>Active Directory Module for Windows PowerShell.

3. Pada command prompt Active Directory module for Windows PowerShell, ketikkan perintah berikut dan kemudian tekan Enter:

Enable-ADOptionalFeature -Identity <ADOptionalFeature> -Scope <ADOptionalFeatureScope> -Target <ADEntity>

Sebagai contoh, untuk mengaktifkan Active Directory Recycle Bin untuk wirecat.com, ketikkan perintah berikut dan tekan Enter:

Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=wirecat,DC=com’ –Scope ForestOrConfigurationSet –Target ‘wirecat.com’

clip_image002

Setelah ditekan Enter, akan muncul kotak konfirmasi sebagai berikut, dan ketikkan “Y”

clip_image004

Untuk metode penggunaan perintah ldp.exe, kita dapat mereferensi ke sini http://technet.microsoft.com/en-us/library/dd379481(WS.10).aspx

 

Mengembalikan objek yang terhapus dari Active Directory Recycle Bin

Setelah Active Directory Recycle Bin diaktifkan, maka kita telah dapat menggunakannya untuk mengembalikan objek-objek Active Directory. Sebagai contoh dari langkah-langkah pengembalian objek ini, terlebih dahulu kita perlu membuat skenario objek tersebut berada pada suatu organizational unit tertentu dan juga merupakan anggota dari suatu group tertentu. Oleh karena itu penulis sengaja membuat langkah-langkah tambahan dari mulai membuat organizational unit, membuat domain user account dan juga membuat group serta menambahkan keanggotaan dari group dengan tahapan-tahapan sebagai berikut ini. Dan hasil dari langkah pengembalian objek user yang dihapus nantinya dari proses ini kita dapat membuktikan user tersebut masih memiliki keanggotaan dari group yang kita buat.

Membuat Organizational Unit, Domain User Account, dan Group

Membuat objek Organizational Unit

Tahapannya sebagai berikut:

1. Buka console Active Directory Users and Computers

2. Klik-kanan pada nama_domain, pilih New>Organizational Unit

clip_image006

3. Pada kotak dialog New Object=Organizational Unit, pada Name: ketikkan nama OU, misalkan Finances dan kemudian klik OK.

clip_image008

 

Membuat objek Domain User Account di dalam OU

1. Kemudian klik-kanan pada OU Finances tadi, kemudian pilih New>User

clip_image010

2. Lalu pada kotak isian New Object – User, isikan nama user yang dikehendaki, misalkan Finance01. Setelah itu klik Next.

clip_image012

3. Kemudian isikan passwordnya, dan pastikan tanda cek untuk pilihan User must change password at next logon dibersihkan. Klik Next.

clip_image014

4. Kemudian klik Finish untuk mengakhiri.

clip_image016

 

Membuat Group di dalam OU Finances

1. Klik-kanan OU Finances, pilih New>Group

clip_image018

2. Kemudian pada kotak isian New Object – Group, isikan nama group dan pilih juga Group scopenya Domain local. Misalkan nama groupnya adalah DL_Finances, dan kemudian klik OK.

clip_image020

Sehingga pada OU Finances telah terdapat dua objek, yaitu Domain User Account Finance01 dan Domain Local Group, DL_Finances.

clip_image022

 

Menjadikan Domain User Account sebagai member dari Group

Pada tahapan ini kita akan menjadikan User Account Finance01 sebagai member dari group DL_Finances.

Pada Active Directory Users and Computers, pada OU Finances, klik-kanan Finance01, lalu pilih Add to a group...

clip_image024

Kemudian pada kotak dialog Select Groups, pada bagian Enter the object names to select, ketikkan DL_Finances, dan klik tombol Check Names, dan kemudian klik OK.

clip_image025

Kemudian akan muncul kotak konfirmasi sebagai berikut, klik OK.

clip_image026

Dengan demikian, user Finances01 telah menjadi member dari DL_Finances dan juga Domain Users (secara default). Bisa kita cek kembali dengan melihat properti dari user account Finance01, pada tab Member Of.

clip_image028

 

Mengembalikan objek yang terhapus

Sebelum kita mengembalikan objek yang terhapus, kita hapus dulu objeknya, dalam hal ini kita menghapus objek user account Finance01.

Tahapan menghapus user account

1. Pada console Active Directory Users and Computers, pada OU Finances, klik-kanan Finance01 dan kemudian pilih Delete.

clip_image030

2. Kemudian pada kotak konfirmasi seperti berikut ini, klik Yes.

clip_image031

Dengan demikian user Finance01 telah terhapus.

 

Mengembalikan objek dengan menggunakan Active Directory Recycle Bin

Kita dapat menggunakan Get-ADObject and Restore-ADObject Active Directory module for Windows PowerShell cmdlets untuk mengembalikan objek yang terhapus.

Untuk mengembalikan satu objek yang terhapus dengan menggunakan cmdlet Get-ADObject dan Restore-ADObject.

Kita akan mengembalikan objek user Finance01 dengan menggunakan Active Directory Recycle Bin, dengan tahapan sebagai berikut:

1. Klik Start>Administrative Tools, kemudian klik-kanan Windows Powershell Modules dan pilih Run As Administrator.

clip_image033

2. Pada command prompt Active Directory module for Windows PowerShell, ketikkan perintah berikut dan kemudian tekan Enter: Get-ADObject -Filter {String} -IncludeDeletedObjects | Restore-ADObject. Sebagai contoh, jika kita ingin melakukan restore suatu objek user dengan nama Finance01, ketikkan perintah berikut ini dan kemudian tekan Enter: Get-ADObject -Filter {displayName -eq "Finance01"} -IncludeDeletedObjects | Restore-ADObject

clip_image035

Hasilnya, kita bisa cek pada Active Directory Users and Computers, pada OU Finances, setelah kita refresh, akan muncul kembali user account Finance01.

clip_image037

Demikian juga ketika kita periksa properti dari user Finance01, kita lihat pada tab Member Of: keanggotaan dari user Finance01 dari group DL_Finances tetap utuh seperti sebelum account ini dihapus.

clip_image039

 

Semoga dapat bermanfaat………………