預防AD對象意外刪除--啓用ADRecycleBin

先敘述一個小案例:客戶跟我說他不當心誤刪除了一個Exchange帳戶，這個操做同時會刪除AD中的帳戶，用戶又本身新建了一個同名的帳戶去鏈接斷開的郵箱，而後登錄OWA界面時提示用戶被禁用，通過我測試環境嘗試後，發現現象都是同樣的，快下班的時候重啓了一下Exchange信息存儲服務，次日用戶能夠正常登錄，緣由就在於AD服務和Exchange信息存儲服務存在延遲，次日的時候信息同步了，因此就能夠正常登錄了

饒了這麼大一個圈子，也能夠無視前面的故事，我只想說若是你的操做系統是Server 2008 R2，大可沒必要這麼麻煩，只須要開啓ADRecycleBin（AD回收站）功能就能夠避免誤刪除用戶帶來麻煩

若是用戶是啓用了AD回收站功能的話，將誤刪除的用戶進行恢復，而後鏈接斷開的郵箱就能夠繼續使用

= = ADRecycleBin先決條件

首先須要Server 2008 R2的操做系統，版本沒有限制

其次林功能級別必須是2008R2的才能夠，否則啓用功能時會失敗，get-adforest查看林功能

若是不是2008R2的話使用以下命令就行林功能升級

= = ADRecycleBin功能啓用

1）啓用功能必須使用帶有AD模塊的Powershell，固然最重要的是要有域管理員權限

2）這條命令查看域中是否啓用了AD回收站功能，紅框內是啓用範圍的意思，後面沒有值說明未啓用

3）輸入下面的命令啓用AD回收站，提示此操做不可逆，啓用後沒法禁用

Enable-ADOptionalFeature –Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=a,DC=com' –Scope ForestOrConfigurationSet –Target 'a.com'

紅色標記的地方修改成本身的域名

4）此時再查看一下域啓用了哪些功能，啓用範圍爲全域，也就是說能夠恢復全域的全部對象

= = 用戶帳戶恢復

1）刪除u1帳戶

2）若是查看的不是被刪除的用戶，Deleted後面就不會有值

3）u1是咱們剛刪除的帳戶，Deleted後面的值爲True，已經被刪除的意思

4）恢復帳戶是須要命令後面添加 "| Restore-ADObject"

5)帳號恢復後，保留全部用戶屬性以及用戶的存放位置，屬性都還在

= = ADRecycleBin工具使用

若是域中也沒有啓用AD回收站功能的話，這個工具一樣起不到什麼做用

啓用後用戶狀態爲禁用，而後還須要從新設置密碼，最重要的是恢復後全部屬性都會丟失

若是對域啓用了AD回收站功能的話，他的效果跟命令恢復的效果是同樣的，更方便管理！

1）點擊Load Deleted Object會顯示全部被刪除的對象

2）選中用戶點擊Restore Checked Objects恢復對象

3）提示恢復成功

4）我把Test這個OU和OU下用戶所有刪除了，工具中能夠看到被刪除對象的信息

選中後點擊Restore Checked Objects恢復對象

5）恢復全部屬性和以前是同樣的

最後再補一句，域必須啓用了ADRecycleBin功能以後，工具才能夠恢復全部屬性

附件上傳的下載後提示文件損壞，已上傳百度雲盤

連接：http://pan.baidu.com/s/1mhMOrw8 密碼：wg8d