V království cloudu vládl Azure Arc, mocný mág, co chtěl propojit všechny servery, VM, kontejnery i duše adminů. Všechno měl pod kontrolou — až na jedno: Rumburaka, černokněžníka z temné domény, který neuznával předplatné, cloud, ani centrální správu.
Rumburak se rozhodl, že hackne Azure Arc. Vstoupil do jeho portálu, přepsal policy, vytvořil VM bez licence, a připojil Exchange Server bez rozšíření schématu. Azure Arc se zhroutil — házel chyby 403, 500, a dokonce i 666.
OU, DNS a Global Catalog se proti němu spojily. Vytvořily GPO firewall, zablokovaly porty, a poslaly Rumburaka do Recycle Bin of Souls, místo, kde se ukládají nekompatibilní identity, ztracené schránky a přerušené replikace. Powershell tam nefunguje, DNS tam neodpovídá, a každý objekt tam ztrácí své SID.
Tam se Rumburak rozpadl na bajty. Powershell ho neviděl, AD ho ignorovalo, a Azure ho označil jako „orphaned object“. Ale pak přišel admin jménem Jirka, který znal staré kouzlo:
powershell
Restore-ADObject -Identity "Rumburak"
Rumburak se znovu zformoval. Tentokrát ne jako černokněžník, ale jako nezávislý hypervizor, co běží offline, bez cloudu, bez předplatného. A od té doby se říká, že když někdo spustí VM bez licence, duch Rumburaka mu pomáhá.
Ten příkaz Restore-ADObject -Identity je reálně existující a plně funkční PowerShell cmdlet, který se používá k obnově odstraněných objektů v Active Directory, pokud je povolený tzv. AD Recycle Bin.
- Doména musí mít funkční úroveň Forest Functional Level alespoň Windows Server 2008 R2
- Musí být aktivovaný AD Recycle Bin (není zapnutý defaultně)
- Objekt musí být odstraněn soft-delete, ne permanentně
Příklad:
Get-ADObject -Filter ‚isDeleted -eq $true‘ -IncludeDeletedObjects
Restore-ADObject -Identity „GUID-nebo-DN-objektu“
Tím se obnoví objekt (uživatel, skupina, OU…) zpět do AD, včetně jeho atributů, pokud nebyl mezitím přepsán nebo zničen.
⚠️ Pozor:
- Pokud AD Recycle Bin není aktivován, objekt nelze obnovit tímto způsobem
- Obnova nevrací objekt do původní OU automaticky — je nutné ho přesunout ručně
- Některé atributy se nemusí obnovit úplně (např. hesla se neobnoví vůbec)
Pokud existuje blízký snapshot, je to lepší volba 🙂
Blízký snapshot je v praxi rychlejší, spolehlivější a univerzálnější volba než obnova přes Restore-ADObject, a tady je proč:
🧠 Snapshot vs. AD Recycle Bin
| Vlastnost |
AD Recycle Bin |
Snapshot (VM / systémový) |
| Aktivace nutná? |
✅ Ano (není defaultně zapnutý) |
❌ Ne (snapshot můžeš udělat kdykoli) |
| Obnovuje jen AD objekty? |
✅ Ano |
❌ Ne — obnovuje celý systém / VM |
| Rychlost obnovy |
🐢 Pomalejší, ruční výběr objektů |
🚀 Rychlá, kompletní návrat stavu |
| Závislost na AD zdraví |
✅ Vysoká — musí být funkční AD |
❌ Nízká — snapshot běží nezávisle |
| Obnovuje i hesla, SIDy? |
❌ Ne vždy |
✅ Ano — kompletní stav systému |
| Vhodné pro katastrofu? |
❌ Ne — jen pro jednotlivé objekty |
✅ Ano — pro celý systém / doménu |
🔧 Kdy použít co?
- AD Recycle Bin → když omylem smažeš jednoho uživatele nebo OU
- Snapshot → když se ti rozsype AD, Exchange, nebo celý server
- Backup + snapshot → ideální kombinace pro disaster recovery
Nechci dlouhosáhle rozebírat body, které jsou od MS uvedeny jako stěžejní. Jednak nebyl zatím dostatek času na otestování a druhak o to tu nejde. Testy na zabezpečení si až budu mít pár hodin udělám (
Píšou na 
