在域的管理中,可能会出现误删用户、组、OU等对象的情况,通过一些方法我们可以恢复这些对象。当你删除用户账户之后,此账户并不会立即从活动目录数据库内删除,而是被转移到活动目录数据库内的一个名为deleted
object的隐藏文件夹内,Windows Server 2003 sp1以后的版本的默认是180天之后将其彻底删除,之前的版本系统只有60天。
在Windows Server
2008 R2 的新功能中有Active Directory回收站,但默认是关闭的,所以如果要使用Active Directory回收站,要先启用它。
注意:Active
Directory回收站功能开启后,不能关闭(不可逆)。
先决条件:
林域功能级别都为Windows Server 2008 R2
使用命令开启Active Directory回收站步骤参考:
1.在AD DS服务器上打开“用于Windows PowerShell的AD模块”
2.使用“get-adforest”命令查看域功能级别
3.使用“get-addomain”命令查看林功能级别
4.使用“get-adoptionalfeature
-filter {name -like "*"}”命令查看AD回收站功能是否开启,空表示未开启
5.使用“Enable-ADOptionalFeature
–Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory
Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=local’ –Scope ForestOrConfigurationSet –Target
‘contoso.local’”命令开启AD回收站
6.输入“Y”
7.检查AD回收站状态,已经成功开启
8.删除test1账户
9.使用“get-adobject -searchscope subtree
-filter {displayname -eq "test1"} -includedeletedobjects”命令查看test1用户状态,deleted为true
10.使用“get-adobject -searchscope subtree -filter {displayname -eq
"test1"} -includedeletedobjects |
restore-adobject”命令还原test1账户
11.打开ADUC查看test1账户状态,test1已经成功恢复
12.删除test这个OU
13.使用“Get-ADObject -ldapFilter:"(msDS-LastKnownRDN=test)" –IncludeDeletedObjects |
Restore-ADObject”命令恢复test这个OU
14.在ADUC中查看test这个OU,已经成功恢复
15.使用“Get-ADObject -SearchBase "CN=Deleted
Objects,DC=contoso,DC=local" -Filter {lastKnownParent -eq "OU=test,DC=contoso,DC=local"} -IncludeDeletedObjects |
Restore-ADObject”命令恢复test这个OU下的所有用户
16.在ADUC中查看test这个OU下的用户状态,用户已经成功恢复
使用命令开启AD回收站已经完成。