Active Directory Rollerinin Görüntülenmesi ve Rol Transferleri

Önceki makalemizde Active Directory rollerinin neler olduğundan bunların hangi görevleri yerine getirdiğinden bahsetmiştik. Bu makalemizde ise hangi bilgisayarın hangi rolü üzerinde barındırdığını nasıl tespit edebileceğimizi ve rollerin nasıl taşınabileceğini anlatacağız.
Rollerin Tespiti
Active Directory hangi rolün hangi domain controllerda olduğunu 2 şekilde tespit edebiliriz.
1- Yöntem : Bu yöntem kullanılabilecek en kolay yöntemdir ve bütün rolleri toplu bir şekilde görebiliriz. Bunun için komut satırında "NETDOM QUERY FSMO" komutu çalıştırılır.  Komutun çalışması bittiğinde ekrana hangi rolün hangi domain controllerda olduğunu gösteren bir liste yazdırır.

2.Yöntem : Bu yöntemde rollere ayrı ayrı olarak bakılır.
****  RID, PDC ve Infrastructure rolleri için Start=>Administrative Tools => Active Directory Users and Computers çalıştırılır. Domain adının üzerinde sağ tuşa basılır ve "Operation Masters" seçilir.

Açılan pencere üç sekmeden oluşmaktadır. Her sekme bir role aittir. O rolün hangi bilgisayarda çalıştığını gösterir. Transfer edilmek istenen rol eğer işlem yapılan bilgisayar üzerinde "Change" butonuna basarak isterseniz bu rolün çalıştığı bilgisayarı değiştirebilirsiniz. Tabii bu işlemi yapabilmeniz için o rolün "Change" butonunun altındaki  kısımda yer alan domain controller üzerinde olmaması gerekir. Aksi halde hata verir.

Bununla birlikte eğer rol, belirtilen tarafından getirilen domain controller üzerine değil de başka bir domain controller üzerine transfer edilmek isteniyorsa domain adı üzerinde sağ tuşa basılır ve "Change Domain Controller" seçilir

Açılan pencerede hangi domain controller isteniyorsa o seçilir ve "OK" butonuna basılır. Sonra tekrardan Operation Masters penceresi açılarak istenen transfer işlemi gerçekleştirilir.

**** Domain Naming Master rolü için Start=>Administrative Tools => Active Directory Domains and Trusts çalıştırılır.  Soldaki ilstede  Active Directory Domains and Trusts(DCADI.DOMAINADI) üzerinde sağ tuşa basılır ve "Operation Master" seçilir.

Açılan pencerede aynı RID, PDC ve Infrastructure rollerinde olduğu gibi rollerin hangi domain controller üzerinde çalıştığını görebilir veya aynı şekilde transfer işlemini gerçekleştirebilirsiniz.

**** Schema Master  rolü için öncelikle bir kereye mahsus  Start=>Run seçilir ve "REGSVR32 SCHMMGMT.DLL" çalıştırılır. İşlemin başarılır olduğuna dair mesaj alındıktan sonra Start=>Run=>MMC.EXE çalıştırılır. File=>Add/Remove Snap-in seçilir.

Açılan pencerede soldaki listedek "Active Directory Schema" seçilir ve "Add >" basılarak sağdaki listeye alınır ve sonrasında "OK" butonuna basılır.

Soldaki ilstede  Active Directory Schema(DCADI.DOMAINADI) üzerinde sağ tuşa basılır ve "Operation Master" seçilir.

Açılan pencerede yine aynı RID, PDC ve Infrastructure rollerinde olduğu gibi rollerin hangi domain controller üzerinde çalıştığını görebilir veya aynı şekilde transfer işlemini gerçekleştirebilirsiniz.
Rollerin Komut Satırından Transfer Edilmesi
Active Directory üzerinde rollerin transfer edilmesi yöntemlerinden biri de komut satırının kullanılmasıdır. Komut satırının kullanılması özellikle rolün sahip olduğu bilgisayar çalışmadığı zaman hayat kurtarır. Çünkü bir rolün normal yollarla transfer edilebilmesi için önce o role şu an sahip bilgisayar ile iletişime geçilmesi gereklidir.  Öncelikle komut satırında "NTDSUTIL.EXE" çalıştırılır. Komut satırı
ntdsutil :
şeklinde bizden komut bekliyor olacaktır. Ardından "Roles" yazılarak işleme devam edilir veya kullanılabilecek diğer komutları görmek için "?" yazıp "ENTER" tuşuna basabilirsiniz. "Roles" komutu çalıştıktan sonra komut satırı
fsmo maintenance : 
şeklini alır ve yine bizden komut bekler. "Connections" komutu yazılır ve "ENTER" tuşuna basılır. Komut satırı bu kez
server connections : 
şeklini alır ve bizden yine koumut bekler. Bu kez "Connect to server  [DC_ADI][:port]" şeklinde komut girilir. Burada [DC_ADI] kısmına rolü hangi Domain Controller bilgisayara aktarmak istiyorsak onun adını port kısmına ise RPC servisi hangi port üzerinden çalışıyorsa o port numarasını yazmalısınız. Varsayılan port numarasının kullanılmasını istiyorsanız hiçbişey yazmayabilirsiniz. Komut çalıştıktan ve bağlantı işleminin başarılı bir şekilde gerçekleştiği mesajını altıktan sonra "Quit" komutunu vererek
fsmo maintenance : 
satırına geri dönmelisiniz. Eğer oturum açılan kullanıcı hesabının bu işlemi yapmaya yetkisi yoksa "Set creds [DOMAIN] [KULLANICI_ADI] [SIFRE] şeklinde komutu çalıştırıp sonra tekrar "Connect to server  [DC_ADI][:port]" komutunu çalıştırabilirsiniz.
Komut satırının "fsmo maintenance : " şeklinde olmasından sonra hangi rol transfer edilmek isteniyorsa o rol için özel komutu çalıştırılır. Bu komutlar
Transfer infrastructure master  ==> Infrastructure Master rolünü "Connect to Server ..." komutundan belirtilen DC'ye transfer eder.
Transfer naming master ==> Domain Naming Master rolünü "Connect to Server ..." komutundan belirtilen DC'ye transfer eder. 
Transfer PDC ==>  PDC Emulator Master rolünü "Connect to Server ..." komutundan belirtilen DC'ye transfer eder. 
Transfer RID master ==> RID Pool Manager rolünü "Connect to Server ..." komutundan belirtilen DC'ye transfer eder. 
Transfer schema master ==> Schema Master rolünü "Connect to Server ..." komutundan belirtilen DC'ye transfer eder.
Eğer rolü şu an üzerinde barındıran DC çalışmıyorsa (herhangi bir şekilde hizmet vermiyorsa) bu yöntem transfer gerçekleşmeyebilir. Bu tür durumlarda transfer işleminin zorlayarak yapılması için en son kullandığımız "Transfer ..." komutu yerine "Seize ..." komutu kullanılır. Yani komutların kullanılış biçimi
Seize infrastructure master  ==> Infrastructure Master rolünü "Connect to Server ..." komutundan belirtilen DC'ye zorla transfer eder.
Seize naming master ==> Domain Naming Master rolünü "Connect to Server ..." komutundan belirtilen DC'ye zorla transfer eder. 
Seize PDC ==>  PDC Emulator Master rolünü "Connect to Server ..." komutundan belirtilen DC'ye zorla transfer eder. 
Seize RID master ==> RID Pool Manager rolünü "Connect to Server ..." komutundan belirtilen DC'ye zorla transfer eder. 
Seize schema master ==> Schema Master rolünü "Connect to Server ..." komutundan belirtilen DC'ye zorla transfer eder.
Şimdi PDC ve RID Master rollerimi YG2008 adlı DC'ye transfer ediyorum ve tekrar "NETDOM QUERY FSMO"  komutuyla rollerin şu anki yerini görüntülüyorum.

Active Directory Rolleri

Bu makalemizde Active Directory servislerinin hangi rollerden oluştuğunu bu rollerin ne işe yaradığını ve bu rolleri nasıl paylaştırabileceğimizi anlatacağız.
Active Directory içerisindeki rol kavramı sunucu özellik ve yeteneklerinin mantıklı bölümlere ayrılmış halidir. Yani, kendi içerisinde sağlanan bir hiyerarşi veya iş bölümü şeklinde tanımlayabiliriz. Bunlara Operation Master Roles de denilir. Active Directory 5 adet rolden oluşur. Bunlar
1- Domain Naming Master
2- Schema Master 
3- RID Pool Manager 
4- PDC Emulator Master 
5- Infrastructure Master rolleridir. Bu rollerin hepsi bir bilgisayarda olabileceği gibi ayrı ayrı sunuculara paylaştırılarak bütün yükün tek makine üzerinde yoğunlaşması engellenebilir. Active Directory üzerindeki bu 5 adet rolden ikisi forest seviyesi üçü domain seviyesi rollerdir. Şimdi kısaca bu rollerin ne iş yaptığından bahsedelim.
Forest Seviyesi Roller
1- Domain Naming Master :   Bu rol forest içersine domain eklenmesi veya domainin kaldırılması işini yüklenir. Bu role sahip bilgisayar sayısı her forest için sadece br tane olabilir. Windows Server 2000 işletim sistemine sahip sunucular bu role sahip olabilmesi için Global Catalog olarak tanımlanmaları gerekir.
***Global Catalog :  Active Directory veritabanı üzerinde işlem yapabilen yapıdır. Active Directory için veritabanı motoru ile iletişim sağlar.
2-Schema Master : Active Directory veritabanı üzerinde doğrudan erişimi olan roldür. Veritabanı motoru olarak çalışır. Active Directory veritabanına schema adı verilir. Schema Master rolünün schema üzerinde doğrudan erişim yetkisi vardır. Kullanıcı , grup oluşturma, Silme, gibi aklınıza gelebilecek her türlü işlem bu rol sayesinde yapılır. Eğer Active Directory üzerinde herhangi birşey oluşturamıyor, ayarlarınızı göremiyorsanız bu rolün çalışmamasına bağlı olabilir.
Domain Seviyesi Roller
3- RID Pool Manager :  Domain içerisinde SID numaraları oluşturmaktan sorumludur. SID numarası domain içindeki her kullanıcı, grup, bilgisyar vb gibi nesnelere atanmış benzersiz bir numaradır.  Bu rol çalışmazsa nesnelere SID numarası atanamayacağından herhangi bir nesne oluşturulamaz.
4- PDC Emulator Master :  Bu rol kullanıcıların şifre değişikliklerini yapmaktan ve bu değişiklikleri bütün domain controller bilgisayarda güncellemekten sorumludur. Eğer şifre değiştiremiyorsanız veya farklı hem eski hem de yeni şifrenizle giriş yapabiliyorsanız bu rol çalışmıyor demektir. PDC rolü ayrıca
a- Kullanıcı şifrelerinin domain seviyesinde tutarlı olmasını sağlamaktan. (Aynı anda tek bir şifreye sahip olması gibi) sorumludur. Bu rol domain controller bilgisayarlar için şifre değişiklikleri ve girilen şifrenin doğru olup olmaması konusunda bilgi sağlar. Bu role erişim sağlanabildiği sürece kullanıcılar şifrelerini anında ve domain seviyesinde tutarlı olacak şekilde değiştirebilirler.
b- Group Policy veya DFS gibi servislerin çalışabilmesi yetki kontrolü işlemlerinde kullanılır.
c- Windows Server 2000 ve daha eski versiyonlarda yazılan programlar için bir iletişim noktası olarak kullanılır.
d- Diğer domain controller bilgisayarlar için bir Time Server görevi yapar ve domain controller bilgisayarlar arasında zaman eşitlemesinden sorumludur.
PDC rolüne sahip bir domain controller Kerberos V5 ve NTLM yetkilendirme protokollerini destekler. Ayrıca tavsiye edilen bu rolün ayrı bir bilgisayarda olmasıdır. Çünkü en çok iş yüküne sahip rol PDC rolüdür.
5- Infrastructure Master :  Bu rol domaindeki nesnelerin güncellenmesinden ve güncel kalmasından sorumludur. Bu rol bir nesne üzerindeki bilgiyi global catalogdan aldığı bilgiyle karşılaştırır. Global Catalog domaindeki bütün nesnelerden düzenli olarak güncellemeleri aldığı için her zaman güncel kalır. Bu rol güncel olmayan bir bilgiyle karşılaştırsa global catalogdan bu bilginin güncellenmesini ister ve aynı güncellemeyi diğer domain controllere gönderir.
Bu rolün yüklü olduğu bilgisayar global katalog olarak tanımlanmamış olmalıdır. Eğer global catalog olarak tanımlanmışsa bu rol çalışmayacak dolayısıyla Infrastructure Master değişen verileri bulamayacak ve diğer domain controllere değişiklikleri aktaramayacaktır.
Bunun yanında eğer bütün domain controller bilgisayarlar global catalog olarak tanımlanmışsa, bütün domain controller bilgisayarlar her zaman güncel veriye sahip olacağından bu rolün hangi bilgisayarda olduğu önemli değildir.
Infrastructure rolü aynı zamanda grup ve üyeler için isim değişikliklerini de kontrol eder. Bir kullanıcının veya grubun ismini değiştirdiğinizde veya başka bir yere taşıdığınızda bu kullanıcı veya grubun üyesi olduğu gruplarda geçici olarak sanki o gruba üye değillermiş gibi görünebilir. Grubun üyesi olduğu domaindeki Infrastructure Master rolü kullanıcının yeni adı ve yerini güncellemekten sorumludur. Bu durum, kullanıcı adının isim veya bulunduğu yer (organizational unit vb.) değiştirildiğinde daha önceden üyesi olduğu gruplardaki üyeliklerini kaybetmelerini engeller. Kullanıcı veya grupların adının değiştirilmesiyle bunların güncellenmesi arasında geçen süre güvenlik açığı değildir. Söz konusu grup üyeliğindeki tutarsızlığı sadece yönetici yetkilerine sahip kullanıcılar farkedebilir.
   Bir sonraki makalede bu rollerin nerde olduğunun nasıl tespit edileceğini ve domain controller bilgisayarlar arasında bu rollerin dağıtımın nasıl yapılacağını anlatacağız

Uzak Domain Kontrolü

Bu makalemizde varolan bir Active Directory ortamına uzaktan erişimin nasıl sağlanacağını, kullanıcı,grup vb. nasıl oluşturulacağını veya silineceğini anlatacağız. Burada anlatılanları yapabilmek için işlemin yapılacağı bilgisayarda Active Directory Domain Services rolünün yüklenmiş olması gereklidir. Bir domain hesabı olması zorunlu değildir fakat bu rolün yüklenmesi şarttır. Eğer bu rol bilgisayarınızda yüklü değilse yüklemek için "Server Manager" çalıştırılır. Önce sol taraftaki listeden "Roles" sonra sağda "Add Roles" seçilir.

Açılan pencerede bize kurulumlarla ilgili genel bilgiler veriliyor. Bu pencereyi "Next" butonuna basarak geçiyoruz.

Bu kısımda hangi rol veya rolleri yüklemek istediğimiz soruluyor. "Active Directory Domain Services" i seçip "Next" butonuna basıyoruz.

Bu kısımda Domain Servislerinin yüklenmesi ile ilgili birtakım bilgiler verilyor. "Next" butonuna basarak bu adımı geçiyoruz.

"Install" butonuna basarak kurulumu başlatıyoruz.

Son olarak "Close" butonuna basarak kurulumu bitiriyoruz.

Buraya kadar yaptıklarımız sadece Active Directory rolünü yüklemek içindi. Kırmızı ile işaretlediğim alanda da yazdığı gibi "dcpromo.exe" komutu çalıştırılarak bilgisayarınızı tam fonksiyonlu bir domain controller haline getirebilirsiniz. Şimdilik amacımız bu olmadığı için bu konuyu farklı bir makaleye saklıyoruz. Kurulum işlemi bittikten sonra
Start=>Administrative Tools => ADSI Edit çalıştırılır.
Açılan pencerede sol taraftaki listede "ADSI Edit" üzerinde sağ tuşa basılır ve "Connect to..." seçilir.

Açılan pencerede "Advanced" butonu tıklanır.

Bu kısımda ise bağlanacağımız domaine ait kullanıcı adı ve parola ve bağlanılacak domainin LDAP sorguları için kullandığı port numarası yazılır. Bu port varsayılan olarak 389 numaralı porttur. Yapacağımız işlemler için LDAP kullanılacağından  alt kısımda LDAP'ı seçiyoruz ve "OK" butonuna basıyoruz.

Şimdi bağlanacağımız domainin adresini yazıyoruz ve port olarak 389 numaralı porttan bağlanacağımızı tekrar belirtiyoruz ve "OK" butonuna basıyoruz. Belirtilen domain adı DNS sunucumuzda kayıtlı değilse DNS belirtilen domain adını çözemez. Bunun için IP adresi kullanmak gerekir.

Resimde de görüldüğü gibi yazilimgrubu.com.tr domainene ait bütün bilgiler geldi.

Şimdi bir tane kullanıcı oluşturalım. Bunun için "CN=Users" alanında sağ tuşa basıp New=>Object seçilir

Açılan pencerde görebileceğiniz oluşturmak isteyebileceğiniz herşeyi yapabiliyoruz. Burada kullanıcı oluşturacağımız için "user" ı seçiyoruz ve "Next" butonuna basıyoruz.

Bu adımda kullanıcının görünen adını yazıyoruz. Bu isim listelerde hangi şekilde görüntülenmesi isteniyorsa o şekilde girilmelidir.

Bu adımda bir kullanıcı adı belirliyoruz. Bu isim kullanıcının oturum açarken kullanacağı isim olacak.

Temel olarak kullanıcımız oluştu. İsterseniz "Finish" butonuna basarak pencereyi kapatabilirsiniz veya "More Attributes" butonuna basarak diğer özelliklerini de ayarlayabilirsiniz.

Oluşturulan kullanıcıya bir şifre belirleyebiliriz. Bunun için "Select a property to view" bölümünde "userPassword" seçilir ve alt kısma şifre yazılır.

"OK" butonuna basarak bu pencereyi kapatıyorum ve sonrasında "Finish" butonuna basarak kullanıcı oluşturma işlemini tamamlıyorum.

Soldaki listede oluşturduğunuz kullanıcıyı görebilirsiniz. Bunun üzerinde sağ tuşa bastığınızda kullanıcı için belirlenen özellikleri veya tanımlamaları görebilir veya değiştirebilirsiniz. "Reset Password" seçeneği ile de kullanıcıya bir şifre belirleyebilir veya var olan şifresini değiştirebilirsiniz.

Domaindeki kullanıcılara bakıyorum oluşturduğumuz kullanıcı gerçekten oluşmuş mu diye. Evet oluşmuş fakat kullanıcı "Disable" durumda yani şu an kullanılamaz. Bu şekilde oluşturulan kullanıcılar varsayılan olarak "Disable" olarak ayarlanmıştır. Bunu aktifleştirmeniz gerekir. Bunu yapmak içinde ADSI Edit penceresinde kullanıcı üzerinde sağ tuşa basıp "Properties" seçiyoruz.

Açılan pencerede kullanıcıya ait bütün tanımlamaları görebilirsiniz. "Attributes" kısmında "userAccountControl" özelliği kullanıcının güncel durumunu görüntülemek veya değiştirmek için kullanılır.

 Bu özelliği seçip "Edit" butonuna basıyoruz ve açılan pencerede "546" olan değeri "512" ile değiştiriyoruz. 512 Normal kullanıcıları temsil eder. Farklı değerler atanabilir. Atanabilecek değerlerin listesi için http://support.microsoft.com/kb/305144 adresini ziyaret edebilirsiniz.

Şimdi tekrar domain e baktığımızda kullanıcının aktifleştiğini görebiliriz.

Actve Directory Recycle Bin (Geri Dönüşüm Kutusu)

Bu makalemizde Active Directory ortamlarında Recycle Bin (Geri Dönüşüm Kutusu) kurulumundan bahsedeceğiz.
Windows'un silinen dosya ve klasörleri daha sonra ihtiyacımız olduğunda tekrar kullanabilmemizi sağlayan Geri Dönüşüm Kutusunu benzeri Active Directory ortamlarında Windows Server 2008 R2 ile karşımıza çıkmıştır. Bu özellik varsayılan olarak kapalı durumdadır. Eğer bu özelliği kullanmak istersek aktifleştirmemiz gerekmektedir.  Active Directory içerisinde bu özellik aktifleştirildikten sonra silinen kullanıcılar(user), grouplar(groups)  ve yapısal birimler (organizational unit) 180 gün boyunca burada saklanır ve bu süre içinde istenildiği zaman tekrar eski ayarları ile (tüm yetkileri ve tanımlamaları ile) herhangi bir şekilde yedekten geri dönme (backup-restore) veya active directory servislerini durdurmaya gerek kalmadan geri getirilebilmektedir.
Windows Server 2008 ve önceki sürüm işletim sistemlerinde silinen bir kullanıcının, grubun veya herhangi nesnenin geri getirilmesi için yedekten geri dönülmesi gerekliydi. Bu durum beraberinde önemli sakıncaları getirmekteydi. Bu sakıncalardan en önemlisi bütün ayarların ve tanımlamaların yedeğin alındığı tarihe dönmesi yedek alındıktan sonra yapılan değişikliklerin yeniden yapılmasının zorunluluğuydu. Diğer önemli sakınca ise Windows 2003 ve önceki işletim sistemlerinde yedekten geri dönülmesi işleminin yapılması için bilgisayarın Restore Mode veya Offline Mode olarak açılması gerektiğiydi. Bu modda bütün sunucu işlemleri durmuştur ve tekrar normal bir şekilde açılana kadar sunucu görevi görmez. Fakat Windows Server 2008 ile birlikte Active Directory hizmetleri birer servis olarak getirilmiş bilgisayarı yeniden başlatmaya gerek kalmadan kolaylıkla ve hızlıca durdurulup başlatılabilmektedir.
Recycle Bin özelliği sadece
Windows Server 2008 R2 Standart Edition
Windows Server 2008 R2 Enterprise Edition
Windows Server 2008 R2 Datacenter Edition
sürümlerin tarafından desteklenmektedir. Windows Server 2008 R2 Web Server işletim sistemi tarafından desteklenmemektedir
Unutulmaması gereken nokta Recycle Bin özelliğinin aktifleştirilmesi işlemi geri döndürülemez bir işlemdir. Yani bir kere aktif hale getirdiğinizde pasif hale getiremiyorsunuz. Zaten bu özelliğin pasif hale getirilmesinin isteneceğini zannetmiyorum.
Recycle Bin özelliğini kullanabilmek için Forest Functional Level Windows Server 2008 R2 olmalıdır. Bunun sağlamak içinse mevcut domain yapısında tüm domain controller, additional domain controller sunucularda Windows 2008 R2 yüklenmiş olmalıdır
 Sözü fazla uzatmadan aktifleştirme işine dönelim isterseniz. Biraz önce bahsettiğimiz gibi Forest Functional Level Windows Server 2008 R2 olmalıdır. Önce bunu yükseltelim.
Forest Functional Level Yükseltilmesi :  Önce şunu bilmenizde fayda seviye yükseltmesi işlemi geri alınamaz. Yani seviyeyi yükseltebilirsiniz ancak düşüremezsiniz. Bu özelliği 3 şekilde yükseltebilirsiniz. Hangi yolu kullanacağınız size kalmış hepsi aynı işi yapıyor. Dikkat etmeniz gereken şey sadece sizin bilgisayarınızda değil domaindeki bütün domain controller bilgisayarlarda Windows Server 2008 R2 kurulu olmalıdır. İstemci bilgisayarlar herhangi bir işletim sistemi kullanabilirler.
a- Start=>Administrative Tools=> Active Directory Domains and Trusts  penceresinde soldaki listede en üst öğe yani Active Directory Domains and Trusts (DomainAdı) yazan kısımda sağ tuşa basılır ve "Raise Forest Functional Level" seçilir.

Açılan pencerede yeni seviye olarak Windows Server 2008 R2 seçilir. ve "Raise" butonuna basılır. Ancak burada dikkat edilmesi gereken nokta seviyelerin kademe kademe yükseltilmesi daha uygundur. Örneğin mevcut seviyeniz Windows Server 2003 ise önce Windows Server 2008'e daha sonra Windows Server 2008 R2'ye yükseltmeniz daha sağlıklıdır. Eğer sisteminizdeki domain controller rolündeki bilgisayarlardan herhangi biri Windows Server 2008 R2'den daha aşağı bir sürüm kullanıyorsa sistem bu işleme izin vermeyecektir.
b- Start=>Administrative Tools=> Active Directory Module for Windows PowerShell  çalıştırılır.
Set-ADForestMode [-Identity] <ADForest> [-ForestMode] <ADForestMode> formatına uygun olarak komut yazılır ve ENTER'a basılır.
Örnek:  Set-ADForestMode -Identity sistem.local -ForestMode Windows2008R2Forest

c- Start=>Run=>LDP.EXE çalıştırılır. Açılan pencerede "Connection" menüsünden "Connect" seçilir ve işlem yapılan bilgisayarın IP adresi yazılır ve OK butonuna basılır.

Sonra yine "Connection" menüsünden "Bind" seçilir.

Açılan pencerede 4 tane seçenek var. Bunlardan ilki yapılacak işlemlerin oturum açmış kullanıcının yetkileri kullanılarak yapılacağını ikinci seçenek ise bir başka bir kullanıcının yetkilerinin kullanıcılacağını belirtir. üçüncü seçenek domain ortamında olmayan bilgisayarlar için yerel bilgisayar hesabını kullanır. dördüncü seçenek ise yetkilendirme seçeneklerini değiştirmek için kullanılır. Bu işlemi yapabilmek için "Schema Admins" grubuna üye bir kullanıcı hesabı veya Administrator hesabı olması gereklidir. Ben zaten administrator hesabıyla oturum açtığım için ilk seçeneği seçiyorum ve  OK butonuna basıyorum. Daha sonra "View" menüsünden "Tree" seçilir.
"BaseDN" kısmında  "CN=Configuration, DC=DomainAdı, DC=DomainAdıuzantısı" yazan kısım seçilir.

Soldaki listeden "CN=Partitions,CN=Configuration,DC=DomainAdı,DC=DomainAdıuzantısı" yazan kısım üzerinde sağ tuşa basılır ve "Modify" seçilir

Açılan pencerede
"Edit Entry Attribute" kısmına "msDS-Behavior-Version",
"Value" kısmına "4" yazıyoruz. "Operation" kısmında "Replace" i seçiyoruz ve "Enter" butonuna basıyoruz. Daha sonrada en alttaki "Run" butonuna basıyoruz ve seviye yükseltme işlemi tamamlanmış oluyor.

Artık Recycle Bin özelliğimizi aktifleştirebiliriz. Bunu 2 yöntemle yapabiliriz burada iki yöntemde anlatılacak ama ilk yöntem Microsoft tarafından da önerilen yöntemdir. Diğer yöntem biraz daha riskli bir yöntemdir.
1- Start=>Administrative Tools=> Active Directory Module for Windows PowerShell  çalıştırılır
Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target 'DOMAINADI' -Server PCADI  formatında komut yazıyoruz.
Örnek :Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target 'sistem.local' -Server YG

Burada  DOMAINADI kısmına kendi domain adınızı PCADI kısmına da domain controller sunucu bilgisayarının adını yazmalısınız.

2-Start=>Run=>LDP.EXE çalıştırılır. Connect ve Bind işlemleri yapılır. View=>Tree seçilir. BaseDN kısmında  "CN=Configuration, DC=DomainAdı, DC=DomainAdıuzantısı" yazan kısım seçilir. Soldaki listeden "CN=Partitions,CN=Configuration,DC=DomainAdı,DC=DomainAdıuzantısı" yazan kısım üzerinde sağ tuşa basılır ve "Modify" seçilir

* * Açılan pencerede "DN" yazan kısmın boş olduğundan emin olun
** Edit Entry Attribute kısmında "enableOptionalFeature" yazın
** Value kısmına "CN=Partitions,CN=Configuration,DC=DOMAINADI,DC=DOMAINADIUZANTISI:766ddcd8-acd0-445e-f3b9-a7f9b6744f2a" yazın.
** Opeartion kısmında "Add" seçin
** Önce "Enter" butonuna sonra "Run" butonuna basın. Ben daha önce aktifleştirdiğim için eklenmek istenen değerin zaten varolduğunu yani Recycle Bin özelliğinin zaten aktif olduğunu yazdı.
** "766ddcd8-acd0-445e-f3b9-a7f9b6744f2a" Recycle Bin için GUID(Globally Unique IDentifier) numarasıdır.

Recycle Bin özelliğini aktifleştirdik. Peki bunu nasıl kullanacağız veya gerçekten dediğimiz gibi çalışıyor mu? Bunu test etmek için bir kullanıcı oluşturalım ve bu kullanıcıyı "Administrators" grubuna üye yapalım.

Sonra bu kullanıcıyı silelim.

Start=>Run=>LDP.EXE  yi çalıştıralım.
"Options" menüsünden "Controls" seçelim. "Load Predefined" bölümünde "Return deleted objects" seçilir ve "OK" butonuna basılır.

Connect, Bind ve Tree işlemlerinin ardından soldaki listede "CN=Deleted Objects,..." bölümünde Recycle Bin özelliğinin aktifleşmesinden sonra silinen nesneleri göreceksiniz. Mavi ile işaretlenmiş olanlar silinen nesneyi geri getirirken filtrelemede kullanacağımız isim.

Şimdi Start=>Administrative Tools => Active Directory Module for Windows PowerShell uygulamasını çalıştıralım ve aşağıdaki komutu çalıştıralım.
Get-ADObject -Filter {samAccountName -eq "recycle" } -IncludeDeletedObjects | Restore-ADObject
Burada "recycle" yazan yere hangi kullanıcıyı geri getirmek istiyorsanız onu yazmalısınız.

Şimdi tekrardan Active Directory User and Computers penceresine geçelim ve sildiğimiz kullanının geri geldiğini göreceğiz hem de silmeden önceki haliyle.

 Karışık gibi görünebilir ama son derece basit bir kullanımı vardır.