找回誤刪除賬戶

引言：在Windows Server 2003/2008等老版本中，在對域環(huán)境中的Active Directory數(shù)據(jù)庫進(jìn)行維護(hù)時(shí)，如果操作失誤，很可能將某個(gè)Active Directory對象刪除（例如用戶等），恢復(fù)起來比較麻煩。雖然可以通過目錄還原模式找回誤刪的對象，但不僅會(huì)浪費(fèi)時(shí)間，而且進(jìn)入目錄服務(wù)還原模式后，域控制器就會(huì)暫時(shí)停止運(yùn)作。本文為您介紹找回誤刪除賬戶的方法。

在Windows Server 2003/2008等老版本中，在對域環(huán)境中的Active Directory數(shù)據(jù)庫進(jìn)行維護(hù)時(shí)，如果操作失誤，很可能將某個(gè)Active Directory對象刪除（例如用戶等），恢復(fù)起來就比較麻煩。特別是將某個(gè)組織單元?jiǎng)h除的話，存儲(chǔ)在其中的所有對象都會(huì)“消失”。這給實(shí)際的維護(hù)工作帶來很大的困擾。雖然可以通過目錄還原模式找回誤刪的對象，不過這不僅會(huì)浪費(fèi)時(shí)間，而且進(jìn)入目錄服務(wù)還原模式后，域控制器就會(huì)暫時(shí)停止運(yùn)作，無法為局域網(wǎng)中的用戶提供服務(wù)。

防止誤刪賬戶

在Windows Server 2008 R2中，已經(jīng)誤刪除賬戶情況采取了對應(yīng)的解決方法。一種方法是在新建用戶或組織單元等對象時(shí)，提供了防止意外刪除功能。特別在創(chuàng)建組織單元時(shí)，默認(rèn)會(huì)自動(dòng)激活防止意外刪除功能。這樣，就可以有效避免誤刪除的情況發(fā)生。

例如，點(diǎn)擊“開始→管理工具→Active Directory管理中心”項(xiàng)，在彈出窗口左側(cè)點(diǎn)擊對應(yīng)的域名，在右鍵菜單上點(diǎn)擊“新建→組織單元”項(xiàng)，創(chuàng)建名為“市場部”的組織單元。在該OU項(xiàng)的右鍵菜單上點(diǎn)擊“新建→用戶”項(xiàng)，在彈出窗口中輸入名稱、密碼等信息，勾選“防止意外刪除”項(xiàng)，點(diǎn)擊“確定”，完成賬戶的創(chuàng)建操作。

用回收站找回誤刪的賬戶

Active Directory回收站功能，讓管理員無需進(jìn)入目錄還原模式，就可以快捷地恢復(fù)誤刪的對象。當(dāng)然，必須在命令行中完成。Active Directory回收站功能要求林功能級(jí)別必須是Windows Server 2008 R2，林 中 的 域控制器必須使用Windows Server 2008 R2，所 有域的域功能級(jí)別必須為Windows Server 2008 R2。操作方法是，點(diǎn)擊“開始→管理工具→Active Directory管理中心”項(xiàng)，在彈出窗口左側(cè)選擇對應(yīng)的域名，在右側(cè)點(diǎn)擊“提高林功能級(jí)別”或者“提高域功能級(jí)別”鏈接來實(shí)現(xiàn)。

如果當(dāng)前的林功能或者域功能級(jí)別提高后，就無法再改回原來的級(jí)別。不同的級(jí)別模式，其擁有的功能存在差異。不同的域級(jí)別，對于驗(yàn)證機(jī)制保證、上次交互式登錄信息、高級(jí)加密服務(wù)、更改域控制器主機(jī)名、通用組、組嵌套、SID歷史文件等特色功能上，不同的域級(jí)別模式存在很大的不同。不同的林功能級(jí)別，在Active Directory回收站，全局編錄的復(fù)制優(yōu)化，不同林之間的信任關(guān)系、更改域名、只讀域控制器、鏈接值復(fù)制等功能上就存在差異。

用命令行恢復(fù)誤刪賬戶

利 用Windows PowerShell的Active Directory模塊提供的cmdlet命令，可以激活A(yù)ctive Directory回收站。但是，一旦啟用之后就無法禁用Active Directory回收站功能，而且域和林的功能級(jí)別也無法降級(jí)。使用系統(tǒng)管理員賬戶，在某臺(tái)可寫域控制器上登錄系統(tǒng)。點(diǎn)擊“開始→管理工具→用于Windos PowerShell的Active Directory模塊”程序項(xiàng)，在命令提示符窗口中執(zhí)行“Enable-ADOptionalFeature′Recycle Bin Feature′ -scope ForestOrConfigurationSet-Target ′xxx.com′” 命令，來啟用Active Directory回收站。假設(shè)域名為“xxx.com”。 在 本 例 中，如果管理員在使用Active Directory管理中心，對活動(dòng)目錄數(shù)據(jù)庫進(jìn)行維護(hù)時(shí)，誤刪了某個(gè)賬戶（例如位于“市場部”O(jiān)U中的名為“zhanghu”用戶），就可以采用兩種方式進(jìn)行恢復(fù)。

以系統(tǒng)管理員身份登錄域控制器，點(diǎn)擊“開始→管理工具→用于Windos PowerShell的Active Directory模 塊”程序項(xiàng)，在CMD窗口中 執(zhí) 行“Get-ADObject-ldapFilter： "(msDSLastKnownRDN=*)"-IncludeDeletedObject”命令。顯示被刪除的對象信息，在其中的“Deleted”欄中顯示“True”項(xiàng)，表示發(fā)現(xiàn)被刪除的對象。在“Name”欄中顯示被刪除的對象名以及其全局標(biāo)識(shí)符。在“DistinguishedName”欄中顯示該對象的屬性信息，包括所屬的域名等。

了解了以上信息后，執(zhí) 行“Get-ADObject-Filter {displayName-eq "zhanghu"}IncludeDeletedObject |Restore-ADObject”命 令，就可以將恢復(fù)指定的誤刪除的賬戶，其中的“-eq”參數(shù)后面跟隨需要恢復(fù)的賬戶名。之后進(jìn)入Active Directory管理中心，可以看到該賬戶已經(jīng)恢復(fù)如初了。

用圖形界面找回誤刪賬戶

可 以 使 用“l(fā)dp.exe”程序，執(zhí)行恢復(fù)操作。以管理員身份登錄域控制器，點(diǎn)擊“Win+R”鍵，執(zhí)行“l(fā)dp.exe”程 序，在 彈出窗口中點(diǎn)擊“連接→連接”項(xiàng)，在連接窗口中輸入林根域內(nèi)的域控制器主機(jī)名 稱（例 如“Server”），點(diǎn)擊“確定”。點(diǎn)擊“連接→綁定”項(xiàng)，在彈出窗口中點(diǎn)擊“確定”。點(diǎn) 擊“查看→樹”項(xiàng)，輸入林根域域名（例 如“xxx.com”）。 點(diǎn)擊“確定”。點(diǎn)擊“選項(xiàng)→控制”項(xiàng)，在控制窗口右下角的“預(yù)定義加載”列表中 選 擇“Return deleted objects”項(xiàng)，點(diǎn)擊“確定”，在窗口左側(cè)的分析列表中的打開“CN=Deleted Objects，DC=xxx ，DC=com”節(jié)點(diǎn)下，可以看到誤刪除的賬戶名信息。

在誤刪除項(xiàng)的右鍵菜單上點(diǎn)擊“修改”項(xiàng)，選擇“屬性”，輸入“isDeletd”，在“操作”欄中選擇“刪除”項(xiàng)，點(diǎn)擊“輸入”按鈕。完成輸入操作后，在“屬性”欄中輸入“distinguishedName”，在“值” 欄 中 輸 入“cn=zhanghu，ou= 市 場部 ，dc=xxx，dc=com”，這里采用的是假設(shè)的賬戶名，組織單元名和域名，您可以根據(jù)實(shí)際情況加以更改。在窗口左下角選擇“擴(kuò)展”和“同步”項(xiàng)，在“操作”欄中選擇“替換”項(xiàng)，點(diǎn)擊“輸入”按鈕，完成恢復(fù)信息的輸入操作。最后，點(diǎn)擊“運(yùn)行”按鈕，就可以恢復(fù)誤刪除的賬戶了。比較上述方法，前者的操作最為簡單，后者雖然較為復(fù)雜，但是擁有直觀的圖形界面。