Windows Server AD回收站

前言

日常IT維護中，難免會有“手滑”的時候，如果在AD域環境中出現失誤操作，誤將用戶賬號刪除了怎么辦？！沒關系，微軟在Windws server 2008 R2中引進了新功能—AD回收站，可以幫助你找回誤刪除的AD賬號。

開始之前，先介紹一個防止手滑的小技巧。在Windows Server 2008中，可以通過修改用戶屬性還防止誤刪除，右鍵用戶屬性，在“對象”選項卡中，可以看到一個“防止對象被意外刪除“的選項，打上勾則無法刪除用戶，下面我們來試驗一下

將用戶賬號user02勾上“防止對象被意外刪除“，確定

點檢右鍵刪除user02賬號，這是會出現錯誤彈框，無法刪除user02。

這個防止誤刪除的小功能從windows server 2008開始引入，如果您運行的是windows server 2003的話就不必進行試驗了。

AD回收站功能介紹

下面介紹一下AD回收站功能。

AD回收站是從Windws Server 2008 R2開始引進的新功能，利用AD回收站可以恢復誤刪除的AD對象，包括用戶賬號，計算機賬號和OU等，AD回收站將增大林中每個域控制器上的 AD數據庫 (NTDS.DIT) 大小。 隨著時間的推移，回收站使用的磁盤空間將繼續增大，因為它保留對象及其所有屬性數據。默認刪除的對象會保留180天，恢復后可恢復用戶所屬的組等屬性。

AD回收站功能默認是沒有啟用的，需要你去手動開啟。但前提是你的AD林功能級別至少為Windows Server 2008 R2。需要注意的是，AD回收站功能一旦啟用，是無法再禁用的。以下介紹如何在Windows server 2008R2中開啟AD回收站功能及如何恢復誤刪除的AD賬號。

功能啟用

首先確認林和域的功能級別

打開管理工具“Active Directory域和信任關系”，右鍵選擇“提升林功能級別”，可以看到當前林功能級別為Windows Server 2003模式。選擇提升功能級別為WindowsServer 2008 R2（注意：功能級別提升后無法回退！），

使用powershell命令啟用AD回收站功能（注意：AD回收站功能啟用后無法禁用！），命令運行結果沒有錯誤則正常啟用回收站功能

Import-ModuleActiveDirectory                /導入AD模塊命令

Enable-ADOptionalFeature–Identity ‘CN=Recycle BinFeature,CN=Optional Features,CN=Directory Service,CN=WindowsNT,CN=Services,CN=Configuration, DC=HBYCRSJ,DC=com‘ –ScopeForestOrConfigurationSet –Target ‘hbycrsj.com‘

刪除用戶，首先去掉“防止對象被以外刪除”選項

對user02用戶進行刪除

使用powershell命令查找用戶user02，可看到Deleted屬性為：true

Get-ADObject -filter {displayname -eq"user02"} -IncludeDeletedObjects

 恢復已刪除賬號

Get-ADObject -filter {displayname -eq"displayname"} -IncludeDeletedObjects | Restore

-ADObject

可以看到user02用戶恢復了

再次運行powershell命令查看user02用戶屬性，可看到Deleted屬性為空

圖形界面

這功能是不是很方便，再也不用擔心手滑了。但是，很多人就會說了，這功能都要用命令行來完成，太麻煩了。不用擔心，在Windows Server 2012 R2中，微軟很貼心的為這項功能開啟了圖形界面，下面我們來看看在圖形界面中怎么操作（網上有一些第三方工具為AD回收站提供了圖形界面，在此不做介紹），當然，前提是你的域控運行的是Windows Server2012 R2

   同樣，首先需要你的林功能級別至少為Windows Server 008 R2。在windows Server 2012中，有一個新的管理工具，叫“Active Directory管理中心”

可以看到，Active Directory管理中心中已經有“啟用回收站”的功能按鈕，但現在是灰色狀態，這種狀態只有兩種情況：1、林功能級別低于要求的windows server 2008 R2；2、已經啟用了回收站功能

單擊“提升林功能級別”，可以看到當前林功能級別是Windows Server 2008，啟用AD回收站需要至少Windows Server 2008 R2林功能級別，單擊確認即可提升林功能級別。

此時會出現警告提示提升林功能級別之后無法還原，點擊確定

成功提升了林功能級別，在ActiveDirectory管理中心中，可以在面板的下方看到運行的powershell 命令歷史紀錄

點擊右上角刷新按鈕，此時可以看到“啟用回收站”的功能鍵變為可選

點擊“啟用回收站”。出現提示回收站啟用后無法禁用，單擊確定

這時已經啟用了AD回收站功能，下面我們來進行測試

刪除測試賬號user01

打開“Deleted Objects”容器

可以看到被刪除的用戶賬號user01，可以看到賬號刪除的時間。

在Active Directory管理中心中，還原的操作很簡單，只需點擊面板右邊的任務欄里的“還原”或“還原為”，“還原”指把賬號還原到原來的位置，“還原為”則是把賬號還原到其他賬號或其他位置

選中被刪除的賬號，單擊“還原”，把賬號還原到原來的位置，操作過程中不會有任何提示，直接進行還原

可以在Users的OU中看到user01賬戶

選中“還原為”則可以選則要還原到的位置

選中要還原的位置，這里以“Builtin” OU為例，單擊確認

可以看到在“Deleted Objects”中空空如也，在Builtin的OU中可以看到user01賬戶

本次AD回收站功能啟用和賬戶恢復就介紹完了