预防AD对象意外删除--启用ADRecycleBin

先叙述一个小案例:客户跟我说他不当心误删除了一个Exchange帐户，这个操做同时会删除AD中的帐户，用户又本身新建了一个同名的帐户去链接断开的邮箱，而后登录OWA界面时提示用户被禁用，通过我测试环境尝试后，发现现象都是同样的，快下班的时候重启了一下Exchange信息存储服务，次日用户能够正常登录，缘由就在于AD服务和Exchange信息存储服务存在延迟，次日的时候信息同步了，因此就能够正常登录了

饶了这么大一个圈子，也能够无视前面的故事，我只想说若是你的操做系统是Server 2008 R2，大可没必要这么麻烦，只须要开启ADRecycleBin（AD回收站）功能就能够避免误删除用户带来麻烦

若是用户是启用了AD回收站功能的话，将误删除的用户进行恢复，而后链接断开的邮箱就能够继续使用

= = ADRecycleBin先决条件

首先须要Server 2008 R2的操做系统，版本没有限制

其次林功能级别必须是2008R2的才能够，否则启用功能时会失败，get-adforest查看林功能

若是不是2008R2的话使用以下命令就行林功能升级

= = ADRecycleBin功能启用

1）启用功能必须使用带有AD模块的Powershell，固然最重要的是要有域管理员权限

2）这条命令查看域中是否启用了AD回收站功能，红框内是启用范围的意思，后面没有值说明未启用

3）输入下面的命令启用AD回收站，提示此操做不可逆，启用后没法禁用

Enable-ADOptionalFeature –Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=a,DC=com' –Scope ForestOrConfigurationSet –Target 'a.com'

红色标记的地方修改成本身的域名

4）此时再查看一下域启用了哪些功能，启用范围为全域，也就是说能够恢复全域的全部对象

= = 用户帐户恢复

1）删除u1帐户

2）若是查看的不是被删除的用户，Deleted后面就不会有值

3）u1是咱们刚删除的帐户，Deleted后面的值为True，已经被删除的意思

4）恢复帐户是须要命令后面添加 "| Restore-ADObject"

5)帐号恢复后，保留全部用户属性以及用户的存放位置，属性都还在

= = ADRecycleBin工具使用

若是域中也没有启用AD回收站功能的话，这个工具一样起不到什么做用

启用后用户状态为禁用，而后还须要从新设置密码，最重要的是恢复后全部属性都会丢失

若是对域启用了AD回收站功能的话，他的效果跟命令恢复的效果是同样的，更方便管理！

1）点击Load Deleted Object会显示全部被删除的对象

2）选中用户点击Restore Checked Objects恢复对象

3）提示恢复成功

4）我把Test这个OU和OU下用户所有删除了，工具中能够看到被删除对象的信息

选中后点击Restore Checked Objects恢复对象

5）恢复全部属性和以前是同样的

最后再补一句，域必须启用了ADRecycleBin功能以后，工具才能够恢复全部属性

附件上传的下载后提示文件损坏，已上传百度云盘

连接：http://pan.baidu.com/s/1mhMOrw8 密码：wg8d