V království cloudu vládl Azure Arc, mocný mág, co chtěl propojit všechny servery, VM, kontejnery i duše adminů. Všechno měl pod kontrolou — až na jedno: Rumburaka, černokněžníka z temné domény, který neuznával předplatné, cloud, ani centrální správu.
Rumburak se rozhodl, že hackne Azure Arc. Vstoupil do jeho portálu, přepsal policy, vytvořil VM bez licence, a připojil Exchange Server bez rozšíření schématu. Azure Arc se zhroutil — házel chyby 403, 500, a dokonce i 666.
OU, DNS a Global Catalog se proti němu spojily. Vytvořily GPO firewall, zablokovaly porty, a poslaly Rumburaka do Recycle Bin of Souls, místo, kde se ukládají nekompatibilní identity, ztracené schránky a přerušené replikace. Powershell tam nefunguje, DNS tam neodpovídá, a každý objekt tam ztrácí své SID.
Tam se Rumburak rozpadl na bajty. Powershell ho neviděl, AD ho ignorovalo, a Azure ho označil jako „orphaned object“. Ale pak přišel admin jménem Jirka, který znal staré kouzlo:
Restore-ADObject -Identity "Rumburak"
Rumburak se znovu zformoval. Tentokrát ne jako černokněžník, ale jako nezávislý hypervizor, co běží offline, bez cloudu, bez předplatného. A od té doby se říká, že když někdo spustí VM bez licence, duch Rumburaka mu pomáhá.
Ten příkaz Restore-ADObject -Identity je reálně existující a plně funkční PowerShell cmdlet, který se používá k obnově odstraněných objektů v Active Directory, pokud je povolený tzv. AD Recycle Bin.
- Doména musí mít funkční úroveň Forest Functional Level alespoň Windows Server 2008 R2
- Musí být aktivovaný AD Recycle Bin (není zapnutý defaultně)
- Objekt musí být odstraněn soft-delete, ne permanentně
Příklad:
Get-ADObject -Filter ‚isDeleted -eq $true‘ -IncludeDeletedObjects
Restore-ADObject -Identity „GUID-nebo-DN-objektu“
Tím se obnoví objekt (uživatel, skupina, OU…) zpět do AD, včetně jeho atributů, pokud nebyl mezitím přepsán nebo zničen.
⚠️ Pozor:
- Pokud AD Recycle Bin není aktivován, objekt nelze obnovit tímto způsobem
- Obnova nevrací objekt do původní OU automaticky — je nutné ho přesunout ručně
- Některé atributy se nemusí obnovit úplně (např. hesla se neobnoví vůbec)
Pokud existuje blízký snapshot, je to lepší volba 🙂
Blízký snapshot je v praxi rychlejší, spolehlivější a univerzálnější volba než obnova přes Restore-ADObject, a tady je proč:
🧠 Snapshot vs. AD Recycle Bin
| Vlastnost | AD Recycle Bin | Snapshot (VM / systémový) |
|---|---|---|
| Aktivace nutná? | ✅ Ano (není defaultně zapnutý) | ❌ Ne (snapshot můžeš udělat kdykoli) |
| Obnovuje jen AD objekty? | ✅ Ano | ❌ Ne — obnovuje celý systém / VM |
| Rychlost obnovy | 🐢 Pomalejší, ruční výběr objektů | 🚀 Rychlá, kompletní návrat stavu |
| Závislost na AD zdraví | ✅ Vysoká — musí být funkční AD | ❌ Nízká — snapshot běží nezávisle |
| Obnovuje i hesla, SIDy? | ❌ Ne vždy | ✅ Ano — kompletní stav systému |
| Vhodné pro katastrofu? | ❌ Ne — jen pro jednotlivé objekty | ✅ Ano — pro celý systém / doménu |
🔧 Kdy použít co?
- AD Recycle Bin → když omylem smažeš jednoho uživatele nebo OU
- Snapshot → když se ti rozsype AD, Exchange, nebo celý server
- Backup + snapshot → ideální kombinace pro disaster recovery
