预防AD对象意外删除--启用ADRecycleBin
先叙述一个小案例:客户跟我说他不小心误删除了一个Exchange账户,这个操作同时会删除AD中的账户,用户又自己新建了一个同名的账户去连接断开的邮箱,然后登陆OWA界面时提示用户被禁用,经过我测试环境尝试后,发现现象都是一样的,快下班的时候重启了一下Exchange信息存储服务,第二天用户可以正常登陆,原因就在于AD服务和Exchange信息存储服务存在延迟,第二天的时候信息同步了,所以就可以正常登陆了
饶了这么大一个圈子,也可以无视前面的故事,我只想说如果你的操作系统是Server 2008 R2,大可不必这么麻烦,只需要开启ADRecycleBin(AD回收站)功能就可以避免误删除用户带来麻烦
如果用户是启用了AD回收站功能的话,将误删除的用户进行恢复,然后连接断开的邮箱就可以继续使用
= = ADRecycleBin先决条件
首先需要Server 2008 R2的操作系统,版本没有限制
其次林功能级别必须是2008R2的才可以,不然启用功能时会失败,get-adforest查看林功能
如果不是2008R2的话使用如下命令就行林功能升级
= = ADRecycleBin功能启用
1)启用功能必须使用带有AD模块的Powershell,当然最重要的是要有域管理员权限
2)这条命令查看域中是否启用了AD回收站功能,红框内是启用范围的意思,后面没有值说明未启用
3)输入下面的命令启用AD回收站,提示此操作不可逆,启用后无法禁用
Enable-ADOptionalFeature –Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=a,DC=com' –Scope ForestOrConfigurationSet –Target 'a.com'
红色标记的地方修改为自己的域名
4)此时再查看一下域启用了哪些功能,启用范围为全域,也就是说可以恢复全域的所有对象
= = 用户账户恢复
1)删除u1账户
2)如果查看的不是被删除的用户,Deleted后面就不会有值
3)u1是我们刚删除的账户,Deleted后面的值为True,已经被删除的意思
4)恢复账户是需要命令后面添加 "| Restore-ADObject"
5)账号恢复后,保留所有用户属性以及用户的存放位置,属性都还在
= = ADRecycleBin工具使用
如果域中也没有启用AD回收站功能的话,这个工具同样起不到什么作用
启用后用户状态为禁用,然后还需要重新设置密码,最重要的是恢复后所有属性都会丢失
如果对域启用了AD回收站功能的话,他的效果跟命令恢复的效果是一样的,更方便管理!
1)点击Load Deleted Object会显示所有被删除的对象
2)选中用户点击Restore Checked Objects恢复对象
3)提示恢复成功
4)我把Test这个OU和OU下用户全部删除了,工具中可以看到被删除对象的信息
选中后点击Restore Checked Objects恢复对象
5)恢复所有属性和之前是一样的
最后再补一句,域必须启用了ADRecycleBin功能之后,工具才可以恢复所有属性
附件上传的下载后提示文件损坏,已上传百度云盘
链接:http://pan.baidu.com/s/1mhMOrw8 密码:wg8d
转载于:https://blog.51cto.com/1163739403/1850931