我們在《活動目錄快照和DMT的終極使用---Windows2008 R2 新功能系列之九》中已經提到,如果你刪除一個活動目錄對象,如用戶或OU,在多DC的環境中,需要進行該對象的授權還原,而各位都知道,進行授權還原,必須進入到目錄服務還原模式,而此時活動目錄處於離線狀態,有過AD管理經驗的朋友都知道,如果你的AD環境比較大,還原的時間也很長,況且這個恢復過程往往需要下班後完成,顯然作爲系統管理員不希望這樣。
如果你使用的2008R2的活動目錄環境,我們就可以使用其最新的“活動目錄回收站”功能,來輕鬆完成刪除對象的還原工作。
“活動目錄回收站”和windows普通的回收站類似,即可以還原被刪除的各種活動目錄對象,如用戶、組、OU等。但該功能的使用是有一定條件的。且由我慢慢道來~~
前提:Active Directory回收站的使用注意事項
1. 默認AD回收站功能處於禁用狀態,我們必須手動啓用。啓用方法:Powershell、LDP.exe。
2.服務器的版本必須全部是Windows Server 2008 R2以上,且林功能級別必須是Windows Server 2008 R2。
3.啓用AD回收站的操作不可逆。
4.AD中被刪除對象的沒有超出有效期,即默認是180內即可。如果超出該時間,則該對象會被物理刪除,類似於清空回收站。
5.林內只啓動一次,每個域即可應用之。
6.建議使用ADRecycleBin工具來圖形化恢復刪除的對象。
7.當啓用AD回收站後,不要再使用授權還原。
8.在啓動回收站之前刪除的對象,不能通過AD回收站來恢復。
實驗環境:域名 net.com,N1是森林根域,N3是子域sub.net.com。
分析:由於是森林環境,而且所有的DC均爲windows 2008 R2,符合啓動AD回收站的基本條件,依據前面的8個注意事項,我們必須提升每個域的功能級別是windows 2008 R2,然後再提升林的功能級別是windows 2008 R2。然後利用命令啓動AD回收站功能。
一、查看回收站啓用狀況
二、啓用回收站
三、測試AD回收站恢復功能
四、利用ADRecycleBin1.2來圖形恢復刪除對象
一、查看回收站啓用狀況:
1. 運行“用於Windows Powershell 的AD模塊”。
2. 查看AD回收站啓用狀況:
2. 查看AD回收站啓用狀況:
EnableScopes值爲空,說明回收站並未啓用。
RequireForestMode:說明啓用回收站的條件,即必須2008R2林功能級別。
二、啓用回收站:
1. 在林根上,本例中在n1上,運行domain.msc(AD域和信任關係)來提升域和林的功能級別到R2,此處略。
2. 啓用回收站功能(注意,啓用後不可再禁用)
2. 啓用回收站功能(注意,啓用後不可再禁用)
同時通過命令查看,回收站已啓用。
三、測試AD回收站恢復功能:
1. 刪除對象,這裏刪除一個OU,及該OU下的對像,如:
Ou=hr,dc=net,dc=com
Cn=haha,ou=hr,dc=net,dc=com
2. 查看AD回收站中對象:
Ou=hr,dc=net,dc=com
Cn=haha,ou=hr,dc=net,dc=com
2. 查看AD回收站中對象:
可以看到有兩個對象標記爲“被刪除”。
PS:如果在啓用回收站之前刪除對象,則不會被回收站記錄。
3. 還原已刪除對象:
注意:如果先還原haha用戶,由於該用戶位於被刪除的窗口HR裏,所以還原失敗。因此此時必須先還原容器HR,再還原裏面的用戶即可還原成功。
如下圖所示,說明還原成功。
四、利用ADRecycleBin1.2來圖形恢復刪除對象:
如上圖,運行後,單擊"Load Deleted Objects”,將會搜索到被刪除的對象,然後選擇欲恢復的對象後,單擊"Restore Checked Objects”即可恢復。
PS:如果同域內有多臺DC,你可以在任意DC上執行上述恢復,而不管你是在哪臺DC上刪除該對象。