在刪除 Active Directory 對象時,這些對象會被存放在“已刪除對象”容器中。默認情況下,不顯示 CN=Deleted Objects 容器。
Domain Admins 中的成員身份或同等身份是完成此過程所需的最低要求。
LDP管理工具
一、準備實驗環境
本實驗將首先刪除一個用戶帳戶,然後再使用LDP工具進行恢復。該帳戶的DN(distinguishedName)爲:CN=PatColeman,OU=employees,OU=User Accounts,DC=contoso,DC=com
二、啓用LDP
-
在DC服務器上打開“命令提示符”,輸入:LDP
- 綁定一個帳戶。
若要連接並綁定到承載 AD DS 環境的林根域的服務器,請單擊“連接”下的“連接”,然後單擊“綁定”。
- 加載控件
在“選項”菜單中,單擊“控制”。
在“控制”對話框中,展開“預定義加載”下拉菜單,單擊“返回已刪除對象(Return deleted objects)”,然後單擊“確定”。
- 查看AD樹。
依次單擊“查看”、“樹”。
<mydomain> 和 <com> 表示 AD DS 環境對應的林根域名
在 BaseDN 中從下拉列表中選擇或者鍵入 DC=<mydomain>,DC=<com>,其中 <mydomain> 和 <com> 表示 AD DS 環境對應的林根域名
三、恢復
- 修改屬性
在控制檯樹中,雙擊根的可分辨名稱(也稱爲 DN),並找到 CN=Deleted Objects, DC=<mydomain>,DC=<com> 容器。
在Deleted Objects這個OU中,找到並右鍵單擊需要還原的已刪除 Active Directory 對象,然後單擊“修改”。。
- 輸入第一個屬性值。該值表示將該帳戶的“已刪除”的屬性刪除掉。
- 輸入第二個屬性值。該值表示該帳戶恢復之後存放在哪一個OU裏面。
- 運行
備註:
在刪除或使用鏈接值屬性恢復 Active Directory 對象時,AD DS 必須處理對象的鏈接值表,才能對鏈接屬性的值維護參考完整性。因爲刪除或恢復 Active Directory 對象將導致對象鏈接值表的修改,所以,如果在處理鏈接值表期間嘗試刪除或恢復對象,系統會阻止該操作。
例如,如果在刪除帶有大量鏈接值屬性的對象(例如,一個有 1000 萬用戶的組對象)後立即(或在其鏈接值表處理過程中的任何時間)使用 Active Directory 回收站恢復此被刪除的對象,則系統會阻止恢復該對象。(如果使用 Ldp.exe 執行恢復,可能會看到以下錯誤消息:“錯誤 0x2093,由於正在刪除對象,操作無法繼續。”)
四、驗證
打開“Active Directory 用戶和計算機”。找到對應的OU。可以看到,該帳戶的密碼被清空,因此該帳戶目前已被禁用。
再檢查該帳戶的其它屬性,可以看到都被清空。
PowerShell恢復誤刪對象
查看誤刪除賬號:
Get-ADObject -Filter {SamAccountName -eq "test-ad1"} -IncludeDeletedObjects
恢復誤刪除賬號:
Get-ADObject -Filter {SamAccountName -eq "test-ad1"} -IncludeDeletedObjects |Restore-ADObject
參考:《還原已刪除的 Active Directory 對象》 http://technet.microsoft.com/zh-cn/library/dd379509