活动目录回收站之终极应用---Windows2008 R2 新功能系列之十一

    咱们在《 活动目录快照和DMT的终极使用---Windows2008 R2 新功能系列之九》中已经提到，若是你删除一个活动目录对象，如用户或OU，在多DC的环境中，须要进行该对象的受权还原，而各位都知道，进行受权还原，必须进入到目录服务还原模式，而此时活动目录处于离线状态，有过AD管理经验的朋友都知道，若是你的AD环境比较大，还原的时间也很长，何况这个恢复过程每每须要下班后完成，显然做为系统管理员不但愿这样。

    若是你使用的2008R2的活动目录环境，咱们就可使用其最新的“活动目录回收站”功能，来轻松完成删除对象的还原工做。

   “活动目录回收站”和windows普通的回收站相似，便可以还原被删除的各类活动目录对象，如用户、组、OU等。但该功能的使用是有必定条件的。且由我慢慢道来~~

 

前提：Active Directory回收站的使用注意事项

1. 默认AD回收站功能处于禁用状态，咱们必须手动启用。启用方法：Powershell、LDP.exe。

2.服务器的版本必须所有是Windows Server 2008 R2以上，且林功能级别必须是Windows Server 2008 R2。

3.启用AD回收站的操做不可逆。

4.AD中被删除对象的没有超出有效期，即默认是180内便可。若是超出该时间，则该对象会被物理删除，相似于清空回收站。

5.林内只启动一次，每一个域便可应用之。

6.建议使用ADRecycleBin工具来图形化恢复删除的对象。

7.当启用AD回收站后，不要再使用受权还原。

8.在启动回收站以前删除的对象，不能经过AD回收站来恢复。

 

实验环境：域名 net.com，N1是森林根域，N3是子域sub.net.com。

 

分析： 因为是森林环境，并且全部的DC均为windows 2008 R2，符合启动AD回收站的基本条件，依据前面的8个注意事项，咱们必须提高每一个域的功能级别是windows 2008 R2，而后再提高林的功能级别是windows 2008 R2。而后利用命令启动AD回收站功能。

1、查看回收站启用情况

2、启用回收站

3、测试AD回收站恢复功能

4、利用ADRecycleBin1.2来图形恢复删除对象

 

1、查看回收站启用情况：

1. 运行“用于Windows Powershell 的AD模块”。
2. 查看AD回收站启用情况：

EnableScopes值为空，说明回收站并未启用。

RequireForestMode:说明启用回收站的条件，即必须2008R2林功能级别。

 

2、启用回收站：

1. 在林根上，本例中在n1上，运行domain.msc（AD域和信任关系）来提高域和林的功能级别到R2，此处略。
2. 启用回收站功能（注意，启用后不可再禁用）

同时经过命令查看，回收站已启用。

 

3、测试AD回收站恢复功能：

1. 删除对象，这里删除一个OU，及该OU下的对像，如：
Ou=hr,dc=net,dc=com
Cn=haha,ou=hr,dc=net,dc=com
2. 查看AD回收站中对象：

能够看到有两个对象标记为“被删除”。

PS：若是在启用回收站以前删除对象，则不会被回收站记录。

3. 还原已删除对象： 

注意：若是先还原haha用户，因为该用户位于被删除的窗口HR里，因此还原失败。所以此时必须先还原容器HR，再还原里面的用户便可还原成功。

以下图所示，说明还原成功。

 

4、利用ADRecycleBin1.2来图形恢复删除对象：

下载地址： http://www.overall.ca/index.php?option=com_docman&task=cat_view&gid=4&Itemid=11

如上图，运行后，单击"Load Deleted Objects”，将会搜索到被删除的对象，而后选择欲恢复的对象后，单击"Restore Checked Objects”便可恢复。

PS：若是同域内有多台DC，你能够在任意DC上执行上述恢复，而无论你是在哪台DC上删除该对象。