活動目錄回收站之終極應用---Windows2008 R2 新功能系列之十一

    咱們在《 活動目錄快照和DMT的終極使用---Windows2008 R2 新功能系列之九》中已經提到，若是你刪除一個活動目錄對象，如用戶或OU，在多DC的環境中，須要進行該對象的受權還原，而各位都知道，進行受權還原，必須進入到目錄服務還原模式，而此時活動目錄處於離線狀態，有過AD管理經驗的朋友都知道，若是你的AD環境比較大，還原的時間也很長，何況這個恢復過程每每須要下班後完成，顯然做爲系統管理員不但願這樣。

    若是你使用的2008R2的活動目錄環境，咱們就可使用其最新的「活動目錄回收站」功能，來輕鬆完成刪除對象的還原工做。

   「活動目錄回收站」和windows普通的回收站相似，便可以還原被刪除的各類活動目錄對象，如用戶、組、OU等。但該功能的使用是有必定條件的。且由我慢慢道來~~

 

前提：Active Directory回收站的使用注意事項

1. 默認AD回收站功能處於禁用狀態，咱們必須手動啓用。啓用方法：Powershell、LDP.exe。

2.服務器的版本必須所有是Windows Server 2008 R2以上，且林功能級別必須是Windows Server 2008 R2。

3.啓用AD回收站的操做不可逆。

4.AD中被刪除對象的沒有超出有效期，即默認是180內便可。若是超出該時間，則該對象會被物理刪除，相似於清空回收站。

5.林內只啓動一次，每一個域便可應用之。

6.建議使用ADRecycleBin工具來圖形化恢復刪除的對象。

7.當啓用AD回收站後，不要再使用受權還原。

8.在啓動回收站以前刪除的對象，不能經過AD回收站來恢復。

 

實驗環境：域名 net.com，N1是森林根域，N3是子域sub.net.com。

 

分析： 因爲是森林環境，並且全部的DC均爲windows 2008 R2，符合啓動AD回收站的基本條件，依據前面的8個注意事項，咱們必須提高每一個域的功能級別是windows 2008 R2，而後再提高林的功能級別是windows 2008 R2。而後利用命令啓動AD回收站功能。

1、查看回收站啓用情況

2、啓用回收站

3、測試AD回收站恢復功能

4、利用ADRecycleBin1.2來圖形恢復刪除對象

 

1、查看回收站啓用情況：

1. 運行「用於Windows Powershell 的AD模塊」。
2. 查看AD回收站啓用情況：

EnableScopes值爲空，說明回收站並未啓用。

RequireForestMode:說明啓用回收站的條件，即必須2008R2林功能級別。

 

2、啓用回收站：

1. 在林根上，本例中在n1上，運行domain.msc（AD域和信任關係）來提高域和林的功能級別到R2，此處略。
2. 啓用回收站功能（注意，啓用後不可再禁用）

同時經過命令查看，回收站已啓用。

 

3、測試AD回收站恢復功能：

1. 刪除對象，這裏刪除一個OU，及該OU下的對像，如：
Ou=hr,dc=net,dc=com
Cn=haha,ou=hr,dc=net,dc=com
2. 查看AD回收站中對象：

能夠看到有兩個對象標記爲「被刪除」。

PS：若是在啓用回收站以前刪除對象，則不會被回收站記錄。

3. 還原已刪除對象： 

注意：若是先還原haha用戶，因爲該用戶位於被刪除的窗口HR裏，因此還原失敗。所以此時必須先還原容器HR，再還原裏面的用戶便可還原成功。

以下圖所示，說明還原成功。

 

4、利用ADRecycleBin1.2來圖形恢復刪除對象：

下載地址： http://www.overall.ca/index.php?option=com_docman&task=cat_view&gid=4&Itemid=11

如上圖，運行後，單擊"Load Deleted Objects」，將會搜索到被刪除的對象，而後選擇欲恢復的對象後，單擊"Restore Checked Objects」便可恢復。

PS：若是同域內有多臺DC，你能夠在任意DC上執行上述恢復，而無論你是在哪臺DC上刪除該對象。