预防AD对象意外删除--启用ADRecycleBin

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了预防AD对象意外删除--启用ADRecycleBin相关的知识,希望对你有一定的参考价值。

先叙述一个小案例:客户跟我说他不小心误删除了一个Exchange账户,这个操作同时会删除AD中的账户,用户又自己新建了一个同名的账户去连接断开的邮箱,然后登陆OWA界面时提示用户被禁用,经过我测试环境尝试后,发现现象都是一样的,快下班的时候重启了一下Exchange信息存储服务,第二天用户可以正常登陆,原因就在于AD服务和Exchange信息存储服务存在延迟,第二天的时候信息同步了,所以就可以正常登陆了

饶了这么大一个圈子,也可以无视前面的故事,我只想说如果你的操作系统是Server 2008 R2,大可不必这么麻烦,只需要开启ADRecycleBin(AD回收站)功能就可以避免误删除用户带来麻烦

如果用户是启用了AD回收站功能的话,将误删除的用户进行恢复,然后连接断开的邮箱就可以继续使用


= = ADRecycleBin先决条件

首先需要Server 2008 R2的操作系统,版本没有限制

其次林功能级别必须是2008R2的才可以,不然启用功能时会失败,get-adforest查看林功能

技术分享


如果不是2008R2的话使用如下命令就行林功能升级

技术分享


= = ADRecycleBin功能启用

1)启用功能必须使用带有AD模块的Powershell,当然最重要的是要有域管理员权限

技术分享


2)这条命令查看域中是否启用了AD回收站功能,红框内是启用范围的意思,后面没有值说明未启用

技术分享


3)输入下面的命令启用AD回收站,提示此操作不可逆,启用后无法禁用

Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=a,DC=com –Scope ForestOrConfigurationSet –Target ‘a.com

红色标记的地方修改为自己的域名

技术分享


4)此时再查看一下域启用了哪些功能,启用范围为全域,也就是说可以恢复全域的所有对象

技术分享


= = 用户账户恢复

1)删除u1账户



技术分享


2)如果查看的不是被删除的用户,Deleted后面就不会有值

技术分享


3)u1是我们刚删除的账户,Deleted后面的值为True,已经被删除的意思

技术分享


4)恢复账户是需要命令后面添加 "| Restore-ADObject"

技术分享


5)账号恢复后,保留所有用户属性以及用户的存放位置,属性都还在

技术分享



= = ADRecycleBin工具使用

如果域中也没有启用AD回收站功能的话,这个工具同样起不到什么作用

启用后用户状态为禁用,然后还需要重新设置密码,最重要的是恢复后所有属性都会丢失

技术分享


如果对域启用了AD回收站功能的话,他的效果跟命令恢复的效果是一样的,更方便管理!

1)点击Load Deleted Object会显示所有被删除的对象

技术分享


2)选中用户点击Restore Checked Objects恢复对象

技术分享


3)提示恢复成功

技术分享


4)我把Test这个OU和OU下用户全部删除了,工具中可以看到被删除对象的信息

选中后点击Restore Checked Objects恢复对象

技术分享


5)恢复所有属性和之前是一样的

技术分享


最后再补一句,域必须启用了ADRecycleBin功能之后,工具才可以恢复所有属性


附件上传的下载后提示文件损坏,已上传百度云盘

链接:http://pan.baidu.com/s/1mhMOrw8 密码:wg8d


本文出自 “SameOld” 博客,谢绝转载!

以上是关于预防AD对象意外删除--启用ADRecycleBin的主要内容,如果未能解决你的问题,请参考以下文章

Exchange Server 2016运维篇三:恢复删除的邮箱

(副本)额外域降级报错对应

在AD域中启用AD回收站,找回被删除的用户,2008R2与2012R2

自动组策略(GPO)备份工具

如何在 TSLint 中启用“仅错误预防”? (禁用样式检查等)

AD域的账户创建和设置