先敘述一個小案例:客戶跟我說他不小心誤刪除了一個Exchange賬戶,這個操作同時會刪除AD中的賬戶,用戶又自己新建了一個同名的賬戶去連接斷開的郵箱,然後登陸OWA界面時提示用戶被禁用,經過我測試環境嘗試後,發現現象都是一樣的,快下班的時候重啓了一下Exchange信息存儲服務,第二天用戶可以正常登陸,原因就在於AD服務和Exchange信息存儲服務存在延遲,第二天的時候信息同步了,所以就可以正常登陸了
饒了這麼大一個圈子,也可以無視前面的故事,我只想說如果你的操作系統是Server 2008 R2,大可不必這麼麻煩,只需要開啓ADRecycleBin(AD回收站)功能就可以避免誤刪除用戶帶來麻煩
如果用戶是啓用了AD回收站功能的話,將誤刪除的用戶進行恢復,然後連接斷開的郵箱就可以繼續使用
= = ADRecycleBin先決條件
首先需要Server 2008 R2的操作系統,版本沒有限制
其次林功能級別必須是2008R2的纔可以,不然啓用功能時會失敗,get-adforest查看林功能
如果不是2008R2的話使用如下命令就行林功能升級
= = ADRecycleBin功能啓用
1)啓用功能必須使用帶有AD模塊的Powershell,當然最重要的是要有域管理員權限
2)這條命令查看域中是否啓用了AD回收站功能,紅框內是啓用範圍的意思,後面沒有值說明未啓用
3)輸入下面的命令啓用AD回收站,提示此操作不可逆,啓用後無法禁用
Enable-ADOptionalFeature –Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=a,DC=com' –Scope ForestOrConfigurationSet –Target 'a.com'
紅色標記的地方修改爲自己的域名
4)此時再查看一下域啓用了哪些功能,啓用範圍爲全域,也就是說可以恢復全域的所有對象
= = 用戶賬戶恢復
1)刪除u1賬戶
2)如果查看的不是被刪除的用戶,Deleted後面就不會有值
3)u1是我們剛刪除的賬戶,Deleted後面的值爲True,已經被刪除的意思
4)恢復賬戶是需要命令後面添加 "| Restore-ADObject"
5)賬號恢復後,保留所有用戶屬性以及用戶的存放位置,屬性都還在
= = ADRecycleBin工具使用
如果域中也沒有啓用AD回收站功能的話,這個工具同樣起不到什麼作用
啓用後用戶狀態爲禁用,然後還需要重新設置密碼,最重要的是恢復後所有屬性都會丟失
如果對域啓用了AD回收站功能的話,他的效果跟命令恢復的效果是一樣的,更方便管理!
1)點擊Load Deleted Object會顯示所有被刪除的對象
2)選中用戶點擊Restore Checked Objects恢復對象
3)提示恢復成功
4)我把Test這個OU和OU下用戶全部刪除了,工具中可以看到被刪除對象的信息
選中後點擊Restore Checked Objects恢復對象
5)恢復所有屬性和之前是一樣的
最後再補一句,域必須啓用了ADRecycleBin功能之後,工具纔可以恢復所有屬性
附件上傳的下載後提示文件損壞,已上傳百度雲盤
鏈接:http://pan.baidu.com/s/1mhMOrw8 密碼:wg8d