|
版權聲明:原創作品,允許轉載,轉載時請務必以超鏈接形式標明文章 原始出處 、作者信息和本聲明。否則將追究法律責任。http://xingyi.blog.51cto.com/20896/155363
|
還原單域環境中已刪除的用戶帳戶在域的管理中,可能會出現誤刪用戶、組、OU等對象的情況,通過一些方法我們可以恢復這些對象。
如 果是多域環境時,因爲域控之間會定時複製AD數據,所以可以通過在非全局編錄角色所在域控中還原系統狀態備份,並通過ntdsutil命令進行授權還原的 方法進行恢復;但是如果是單域環境時,如果通過還原系統狀態備份進行對象的恢復,則會出現當還原系統狀態備份後,在所恢復的備份系統狀態製作點之後所做的 一些操作會丟失(如添加了用戶、組等對象),因此不適合使用還原系統狀態備份的方法進行恢復。
在2000和2003時代,當我們從AD中刪除某個對象時,其實AD並非將此對象直接刪除,而是將此對象標記爲墓碑對象。並且,墓碑對象會在活動目錄中再保存180天時間(2000和2003是60天,2003打了SP1之後是180天),這個時間即墓碑生存時間,所以在此墓碑生存時間期限內可以通過微軟提供的AdRestore工具進行直接還原。
注: 墓碑生存時間(tombstoneLifetime)是指:從在AD中刪除某對象開始,到該對象真正被刪除的時間間隔,默認值爲180天,這樣做是爲了保 證:這種刪除操作被複制到域中其它的DC。恢復DC的“系統狀態數據”備份是有時間限制的,不能從比墓碑默認的180天生存時間更舊的系統狀態數據的備份 中,恢復活動目錄。活動目錄對象如果被刪除,並不直接消失,而是放入一個不可見的CN,名字叫deleted object,裏面存放180天(默認), 在這180天內,可以進行恢復,在域控制器上,每24小時執行一次名叫“垃圾收集”的進程,將超過180天的被刪除記錄真正的刪除。那隻能通過備份加以恢 復了。在這裏討論的是在180天之內的情況。
下面我以域用戶“t1”的恢復演示域對象的刪除恢復。
 1、刪除“t1”用戶
 ,我們可以從下圖中看出此域用戶已經被刪除; 2、從命令提示符進入AdRestore工具所在的目錄,通過運行命令“adrestore t1”可以查看要恢復的域用戶“t1”的情況,如果能檢索到此用戶的相關信息,則表示可以進行恢復操作,否則無法通過此工具恢復;
 通過命令可以看到此用戶現在在“Deleted Objects”的CN中,表示沒有達到180天(默認),可以進行恢復;
3、運行命令“adrestore -r t1”進行此域用戶的恢復,使用此工具進行恢復,會自動根據檢索到的信息恢復到原容器中,而不必手動提供信息;
 從上圖可以看到已經成功執行了恢復操作;
4、現在我們就可以在“AD用戶和計算機”中對“t1”用戶進行維護;
 5、查看恢復的“t1”用戶“帳戶”屬性頁可以看到“用戶登錄名”
中爲空,這裏要重新進行設置,而且“帳戶選項”欄中的“帳戶已禁用”項被啓用;
 6、如果現在我們就對上面的兩項進行設置後應用,會彈出一個錯誤提示框,提示無法更新密碼,這是因爲在此之前需要先對恢復的域用戶進行密碼的更改之後才能進行其它的操作;
 7、在進行密碼修改後,就可以正常對此域用戶進行各種操作了;
 現在,我們可以看到被刪除的域用戶“t1”已經恢復正常並可以使用了。
 組、OU也可以通過此方法進行恢復,而且通過“AdRestore -r <對象名>”進行恢復後,就可以正常使用。
注意事項:
1、當域控是全局編錄服務器時,不要在此服務器上進行目錄還原操作;
2、還原系統狀態備份之前所進行的任何更改都會回滾到備份完成時的值。對於用戶帳戶、計算機帳戶和安全組,這種回滾可能意味着要丟失對密碼、主目錄、配置文件路徑、位置、聯繫人信息、組成員身份以及這些對象和屬性上定義的任何安全描述符所做的最新更改,因此操作之前先作好系統狀態備份以利於在出錯時進行恢復;
李政
2009-05-05
本文出自 “心意” 博客,請務必保留此出處http://xingyi.blog.51cto.com/20896/155363 本文出自 51CTO.COM技術博客 |
附件下載:
![]()
AdRestore 1.1 版
AdRestore 1.1 版