活動目錄回收站之終極應用---Windows2008 R2 新功能系列之十一

    咱們在《 活動目錄快照和DMT的終極使用---Windows2008 R2 新功能系列之九》中已經提到,若是你刪除一個活動目錄對象,如用戶或OU,在多DC的環境中,須要進行該對象的受權還原,而各位都知道,進行受權還原,必須進入到目錄服務還原模式,而此時活動目錄處於離線狀態,有過AD管理經驗的朋友都知道,若是你的AD環境比較大,還原的時間也很長,何況這個恢復過程每每須要下班後完成,顯然做爲系統管理員不但願這樣。
    若是你使用的2008R2的活動目錄環境,咱們就可使用其最新的「活動目錄回收站」功能,來輕鬆完成刪除對象的還原工做。
   「活動目錄回收站」和windows普通的回收站相似,便可以還原被刪除的各類活動目錄對象,如用戶、組、OU等。但該功能的使用是有必定條件的。且由我慢慢道來~~
 
前提:Active Directory回收站的使用注意事項
1. 默認AD回收站功能處於禁用狀態,咱們必須手動啓用。啓用方法:Powershell、LDP.exe。
2.服務器的版本必須所有是Windows Server 2008 R2以上,且林功能級別必須是Windows Server 2008 R2。
3.啓用AD回收站的操做不可逆。
4.AD中被刪除對象的沒有超出有效期,即默認是180內便可。若是超出該時間,則該對象會被物理刪除,相似於清空回收站。
5.林內只啓動一次,每一個域便可應用之。
6.建議使用ADRecycleBin工具來圖形化恢復刪除的對象。
7.當啓用AD回收站後,不要再使用受權還原。
8.在啓動回收站以前刪除的對象,不能經過AD回收站來恢復。
 
實驗環境:域名 net.com,N1是森林根域,N3是子域sub.net.com。
clip_p_w_picpath001
 
分析: 因爲是森林環境,並且全部的DC均爲windows 2008 R2,符合啓動AD回收站的基本條件,依據前面的8個注意事項,咱們必須提高每一個域的功能級別是windows 2008 R2,而後再提高林的功能級別是windows 2008 R2。而後利用命令啓動AD回收站功能。
1、查看回收站啓用情況
2、啓用回收站
3、測試AD回收站恢復功能
4、利用ADRecycleBin1.2來圖形恢復刪除對象
 
1、查看回收站啓用情況:
1. 運行「用於Windows Powershell 的AD模塊」。
2. 查看AD回收站啓用情況:
clip_p_w_picpath002
EnableScopes值爲空,說明回收站並未啓用。
RequireForestMode:說明啓用回收站的條件,即必須2008R2林功能級別。
 
2、啓用回收站:
1. 在林根上,本例中在n1上,運行domain.msc(AD域和信任關係)來提高域和林的功能級別到R2,此處略。
2. 啓用回收站功能(注意,啓用後不可再禁用)
clip_p_w_picpath003
同時經過命令查看,回收站已啓用。
 
3、測試AD回收站恢復功能:
1. 刪除對象,這裏刪除一個OU,及該OU下的對像,如:
Ou=hr,dc=net,dc=com
Cn=haha,ou=hr,dc=net,dc=com
2. 查看AD回收站中對象:
clip_p_w_picpath004
能夠看到有兩個對象標記爲「被刪除」。
PS:若是在啓用回收站以前刪除對象,則不會被回收站記錄。
3. 還原已刪除對象: 
clip_p_w_picpath005
注意:若是先還原haha用戶,因爲該用戶位於被刪除的窗口HR裏,因此還原失敗。所以此時必須先還原容器HR,再還原裏面的用戶便可還原成功。
以下圖所示,說明還原成功。
clip_p_w_picpath006
 
4、利用ADRecycleBin1.2來圖形恢復刪除對象:
clip_p_w_picpath007
如上圖,運行後,單擊"Load Deleted Objects」,將會搜索到被刪除的對象,而後選擇欲恢復的對象後,單擊"Restore Checked Objects」便可恢復。
PS:若是同域內有多臺DC,你能夠在任意DC上執行上述恢復,而無論你是在哪臺DC上刪除該對象。
相關文章
相關標籤/搜索