Amigos,

A exclusão acidental de objetos do Active Directory é uma ocorrência comum para o usuários do AD DS (Serviços de Domínio Active Directory) e do AD LDS (Active Directory Lightweight Directory Services).

Nos domínios do Active Directory do Windows Server 2008, você pode recuperar objetos excluídos acidentalmente a partir de backups do AD DS que foram feitos pelo Backup do Windows Server. É possível usar o comando de restauração autoritativa ntdsutil para marcar objetos como autoritativos, a fim de garantir que os dados restaurados sejam replicados em todo o domínio. A desvantagem da solução de restauração autoritativa é o fato de que ela precisa ser executada no DSRM (Modo de Restauração de Serviços de Diretório). Durante o DSRM, o controlador de domínio que está sendo restaurado deve permanecer offline. Desse modo, o controlador não pode atender às solicitações do cliente.

Além disso, no Active Directory do Windows Server 2003 e AD DS do Windows Server 2008, você pode recuperar objetos excluídos do Active Directory por meio da reativação da marca de exclusão. No Windows Server 2003 e Windows Server 2008, um objeto excluído do Active Directory não é fisicamente removido do banco de dados imediatamente. Em vez disso, o nome diferenciado do objeto (conhecido também como DN) é danificado, a maioria dos atributos de valor não vinculado do objeto é apagada, todos os atributos de valor vinculado do objeto são fisicamente removidos e o objeto é movido para um recipiente especial no contexto de nomenclatura do objeto (conhecido também como NC) denominado Objetos Excluídos. O objeto, agora chamado de marca de exclusão, torna-se invisível às operações comuns de diretório. As marcas de exclusão podem ser reativadas a qualquer momento durante o seu tempo de vida, tornando-se objetos ativos do Active Directory novamente. O tempo de vida padrão da marca de exclusão é de 180 dias no Windows Server 2003 e Windows Server 2008 R2. Você pode usar a reativação da marca de exclusão para recuperar objetos excluídos sem que o controlador de domínio ou sua instância do AD LDS precise estar offline. Entretanto, os atributos de valor vinculado dos objetos reativados (por exemplo, associações de contas de usuários do grupo) que são fisicamente removidos e os atributos de valor não vinculado que são apagados não são recuperados. Portanto, os administradores não podem contar com a reativação da marca de exclusão como a solução final para a exclusão acidental de objetos.

A Lixeira do Active Directory no Windows Server 2008 R2 tem como base a infraestrutura de reativação da marca de exclusão existente e melhora sua capacidade de preservar e recuperar os objetos acidentalmente excluídos do Active Directory. Para obter mais informações sobre a reativação da marca de exclusão, consulte Reativando os objetos de marca de exclusão do Active Directory (http://go.microsoft.com/fwlink/?LinkID=125452).

A Lixeira do Active Directory no Windows Server 2008 R2 minimiza o tempo de inatividade do serviço de diretório. Você pode usá-la para preservar e restaurar completamente objetos acidentalmente excluídos do Active Directory, sem precisar restaurar dados do Active Directory usando backups, reiniciar o AD DS ou reinicializar os controladores de domínio.

Mas para configurar a "lixeira" do AD é feito via linha de comando (PowerShell) no 2008 R2. Não existe nativamente uma interface que facilite esse trabalho.
No link abaxo, um programa chamado ADRecycleBin.exe (Active Directory Recycle Bin) permite que administradores restaurem facilmente seus objetos apagados do Active Directory usando interface gráfica. E o melhor de tudo é que a ferramenta é totalmente gratuita.

Para download da ferramente, clique no link abaixo:
http://www.overall.ca/index.php?option=com_content&view=article&id=40:adrecyclebin&catid=15:adrecyclebinexe&Itemid=64

Mais informações sobre a lixeira do Active Directory e outras novidades no Serviço de diretório do Windows Server 2008 R2:

http://technet.microsoft.com/pt-br/library/dd391916(WS.10).aspx

Forte Abraço!