配置Windows 2008 R2活动目录回收站

通过增强对意外删除的AD对象的保留和还原功能，无需从备份还原AD数据/重启AD DS/重启域控，回收站可最大限度缩短目录服务的中断时间。启用AD回收站之后，会保留已删除AD对象的所有链接值属性和未链接值属性，并将整个对象还原到与被删除前一支的逻辑状态。

默认情况下，Windows server 2008 R2下的活动目录回收站功能是禁用的，如果要启用该功能需要满足下面条件：

• l 如果当前的Windows server 200 R2是加入到现有的Windows 2003或者Windows 2008林中的，那么必须使用adprep来更新活动目录回收站功能所需要的AD架构属性，然后需要将剩余的非R2域控制器升级到R2。如果是纯的Windows 2008 R2林，且功能级别在R2上，则不需要adprep。
• l 所有域控制器都必须是Windows server 2008 R2
• l 林功能级别必须是Windows server 2008 R2

注意：一旦开启活动目录回收站功能之后，将无法关闭该功能。

下面将通过powershell和ldp.exe两种方式来演示活动目录回收站功能。

（一） 使用Windows powershell来启用活动目录回收站功能

首先确认林功能级别处于Windows server 2008 R2，如图所示

使用下图的命令来查看当前活动目录回收站功能的状态，如图所示

EnabledScopes的值为空，代表没有启用该功能

使用下图所示的命令来启用该功能，如图所示：

命令格式是：Enable-ADOptionalFeature –Identity <ADOptionalFeature> -Scope <ADOptionalFeatureScope> -Target <ADEntity>

再次查看，可以看到该功能已启用，如图所示

（二） 使用Windows powershell来还原被删除的AD对象

我们删除一个OU组织单位，该OU里包含一个用户user1，如图所示

使用Get-ADObject –SearchScope subtree –Filter {name –like “*”} –IncludeDeletedObjects命令来查看已删除的对象，可以看到测试OU和user1的deleted属性为True，代表已删除，如图所示

使用下图中的命令来还原被删除的OU和用户，如图所示

注意：

Identity后面跟的一长串字符是OU和用户的GUID，我们通过定义GUID来还原该用户，GUID可以通过Get-ADObject来查看到

如果有一个包含用户的OU需要还原，必须先还原OU，然后再还原用户

测试OU和user1成功还原，如图所示

当然我们也可以用管道符号将两条命令连接起来，达到同样的效果，如图所示

（三） 使用ldp.exe的方式来开启活动目录回收站功能

打开ldp.exe工具，如图所示

连接到服务器，如图所示

在“连接”选项卡，选择“绑定”，如图所示

选择“作为当前已登录用户绑定”，如图所示

单击“查看”选项卡，选择“树”，如图所示

我们选择连接到“CN-Configuration,DC=feel,DC=com”，如图所示

找到partitions配置分区，右击该分区，选择“修改”，如图所示

使用ldp.exe方式启用活动目录回收站功能时，需要使用到该功能的FeatureGUID,我们使用Get命令查看一下该功能的GUID，如图所示

在编辑条目属性中输入：enableOptionalFeature

在值中输入：CN=Partitions,CN=Configuration,DC=feel,DC=com:766ddcd8-acd0-445e-f3b9-a7f9b6744f2a

然后选择“添加”，单击“输入”，单击“运行”，如图所示

活动目录回收站功能成功启用，如下图所示

（四） 使用ldp.exe来还原多个被删除的对象

首先我们删除“测试OU”，该OU内包含一个user1账户，如图所示

打开ldp.exe工具，选择“选项”——“控制”，如图所示

在预定义加载中，选择“Return deleted objects”，如图所示

然后连接到服务器，如图所示

绑定凭据，如图所示

连接到树，如图所示

在CN=Deleted Objects容器里可以看到被删除的OU和用户，如图所示

如下图所示，我们可以看出该用户属于“测试OU”，如图所示

如下图我们可以看出，测试OU属于feel.com域，如图所示

我们右击要还原的OU，选择“修改”，如图所示

在编辑条目属性中输入“isdeleted”，然后点击“输入”，如图所示

然后将编辑条目属性的值改为“distinguishedName”，将值改为“OU=测试OU，DC=feel,DC=com”

选择“替换”

单击“输入”

勾选“扩展”“同步”

单击“运行”

如图所示

我们可以看到测试OU已经成功还原，如图所示

如图所示，在deleted容器里已经看不到测试OU

然后用同样的方式还原用户user1,，如图所示

如图所示，user1被成功还原

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

本文出自 “曾垂鑫的技术专栏” 博客，谢绝转载！