引言:在Windows Server 2003/2008等老版本中,在對域環(huán)境中的Active Directory數(shù)據(jù)庫進(jìn)行維護(hù)時(shí),如果操作失誤,很可能將某個(gè)Active Directory對象刪除(例如用戶等),恢復(fù)起來比較麻煩。雖然可以通過目錄還原模式找回誤刪的對象,但不僅會(huì)浪費(fèi)時(shí)間,而且進(jìn)入目錄服務(wù)還原模式后,域控制器就會(huì)暫時(shí)停止運(yùn)作。本文為您介紹找回誤刪除賬戶的方法。
在Windows Server 2003/2008等老版本中,在對域環(huán)境中的Active Directory數(shù)據(jù)庫進(jìn)行維護(hù)時(shí),如果操作失誤,很可能將某個(gè)Active Directory對象刪除(例如用戶等),恢復(fù)起來就比較麻煩。特別是將某個(gè)組織單元?jiǎng)h除的話,存儲(chǔ)在其中的所有對象都會(huì)“消失”。這給實(shí)際的維護(hù)工作帶來很大的困擾。雖然可以通過目錄還原模式找回誤刪的對象,不過這不僅會(huì)浪費(fèi)時(shí)間,而且進(jìn)入目錄服務(wù)還原模式后,域控制器就會(huì)暫時(shí)停止運(yùn)作,無法為局域網(wǎng)中的用戶提供服務(wù)。
在Windows Server 2008 R2中,已經(jīng)誤刪除賬戶情況采取了對應(yīng)的解決方法。一種方法是在新建用戶或組織單元等對象時(shí),提供了防止意外刪除功能。特別在創(chuàng)建組織單元時(shí),默認(rèn)會(huì)自動(dòng)激活防止意外刪除功能。這樣,就可以有效避免誤刪除的情況發(fā)生。
例如,點(diǎn)擊“開始→管理工具→Active Directory管理中心”項(xiàng),在彈出窗口左側(cè)點(diǎn)擊對應(yīng)的域名,在右鍵菜單上點(diǎn)擊“新建→組織單元”項(xiàng),創(chuàng)建名為“市場部”的組織單元。在該OU項(xiàng)的右鍵菜單上點(diǎn)擊“新建→用戶”項(xiàng),在彈出窗口中輸入名稱、密碼等信息,勾選“防止意外刪除”項(xiàng),點(diǎn)擊“確定”,完成賬戶的創(chuàng)建操作。
Active Directory回收站功能,讓管理員無需進(jìn)入目錄還原模式,就可以快捷地恢復(fù)誤刪的對象。當(dāng)然,必須在命令行中完成。Active Directory回收站功能要求林功能級(jí)別必須是Windows Server 2008 R2,林 中 的 域控制器必須使用Windows Server 2008 R2,所 有域的域功能級(jí)別必須為Windows Server 2008 R2。操作方法是,點(diǎn)擊“開始→管理工具→Active Directory管理中心”項(xiàng),在彈出窗口左側(cè)選擇對應(yīng)的域名,在右側(cè)點(diǎn)擊“提高林功能級(jí)別”或者“提高域功能級(jí)別”鏈接來實(shí)現(xiàn)。
如果當(dāng)前的林功能或者域功能級(jí)別提高后,就無法再改回原來的級(jí)別。不同的級(jí)別模式,其擁有的功能存在差異。不同的域級(jí)別,對于驗(yàn)證機(jī)制保證、上次交互式登錄信息、高級(jí)加密服務(wù)、更改域控制器主機(jī)名、通用組、組嵌套、SID歷史文件等特色功能上,不同的域級(jí)別模式存在很大的不同。不同的林功能級(jí)別,在Active Directory回收站,全局編錄的復(fù)制優(yōu)化,不同林之間的信任關(guān)系、更改域名、只讀域控制器、鏈接值復(fù)制等功能上就存在差異。
利 用Windows PowerShell的Active Directory模塊提供的cmdlet命令,可以激活A(yù)ctive Directory回收站。但是,一旦啟用之后就無法禁用Active Directory回收站功能,而且域和林的功能級(jí)別也無法降級(jí)。使用系統(tǒng)管理員賬戶,在某臺(tái)可寫域控制器上登錄系統(tǒng)。點(diǎn)擊“開始→管理工具→用于Windos PowerShell的Active Directory模塊”程序項(xiàng),在命令提示符窗口中執(zhí)行“Enable-ADOptionalFeature′Recycle Bin Feature′ -scope ForestOrConfigurationSet-Target ′xxx.com′” 命令,來啟用Active Directory回收站。假設(shè)域名為“xxx.com”。 在 本 例 中,如果管理員在使用Active Directory管理中心,對活動(dòng)目錄數(shù)據(jù)庫進(jìn)行維護(hù)時(shí),誤刪了某個(gè)賬戶(例如位于“市場部”O(jiān)U中的名為“zhanghu”用戶),就可以采用兩種方式進(jìn)行恢復(fù)。
以系統(tǒng)管理員身份登錄域控制器,點(diǎn)擊“開始→管理工具→用于Windos PowerShell的Active Directory模 塊”程序項(xiàng),在CMD窗口中 執(zhí) 行“Get-ADObject-ldapFilter: "(msDSLastKnownRDN=*)"-IncludeDeletedObject”命令。顯示被刪除的對象信息,在其中的“Deleted”欄中顯示“True”項(xiàng),表示發(fā)現(xiàn)被刪除的對象。在“Name”欄中顯示被刪除的對象名以及其全局標(biāo)識(shí)符。在“DistinguishedName”欄中顯示該對象的屬性信息,包括所屬的域名等。
了解了以上信息后,執(zhí) 行“Get-ADObject-Filter {displayName-eq "zhanghu"}IncludeDeletedObject |Restore-ADObject”命 令,就可以將恢復(fù)指定的誤刪除的賬戶,其中的“-eq”參數(shù)后面跟隨需要恢復(fù)的賬戶名。之后進(jìn)入Active Directory管理中心,可以看到該賬戶已經(jīng)恢復(fù)如初了。
可 以 使 用“l(fā)dp.exe”程序,執(zhí)行恢復(fù)操作。以管理員身份登錄域控制器,點(diǎn)擊“Win+R”鍵,執(zhí)行“l(fā)dp.exe”程 序,在 彈出窗口中點(diǎn)擊“連接→連接”項(xiàng),在連接窗口中輸入林根域內(nèi)的域控制器主機(jī)名 稱(例 如“Server”),點(diǎn)擊“確定”。點(diǎn)擊“連接→綁定”項(xiàng),在彈出窗口中點(diǎn)擊“確定”。點(diǎn) 擊“查看→樹”項(xiàng),輸入林根域域名(例 如“xxx.com”)。 點(diǎn)擊“確定”。點(diǎn)擊“選項(xiàng)→控制”項(xiàng),在控制窗口右下角的“預(yù)定義加載”列表中 選 擇“Return deleted objects”項(xiàng),點(diǎn)擊“確定”,在窗口左側(cè)的分析列表中的打開“CN=Deleted Objects,DC=xxx ,DC=com”節(jié)點(diǎn)下,可以看到誤刪除的賬戶名信息。
在誤刪除項(xiàng)的右鍵菜單上點(diǎn)擊“修改”項(xiàng),選擇“屬性”,輸入“isDeletd”,在“操作”欄中選擇“刪除”項(xiàng),點(diǎn)擊“輸入”按鈕。完成輸入操作后,在“屬性”欄中輸入“distinguishedName”,在“值” 欄 中 輸 入“cn=zhanghu,ou= 市 場部 ,dc=xxx,dc=com”,這里采用的是假設(shè)的賬戶名,組織單元名和域名,您可以根據(jù)實(shí)際情況加以更改。在窗口左下角選擇“擴(kuò)展”和“同步”項(xiàng),在“操作”欄中選擇“替換”項(xiàng),點(diǎn)擊“輸入”按鈕,完成恢復(fù)信息的輸入操作。最后,點(diǎn)擊“運(yùn)行”按鈕,就可以恢復(fù)誤刪除的賬戶了。比較上述方法,前者的操作最為簡單,后者雖然較為復(fù)雜,但是擁有直觀的圖形界面。