AD恢复（1）使用LDP

　　在删除 Active Directory 对象时，这些对象会被存放在“已删除对象”容器中。默认情况下，不显示 CN=Deleted Objects 容器。可以使用 Active Directory 域服务 (AD DS) 中的 Ldp.exe 管理工具来显示“已删除对象”容器。

　　Domain Admins 中的成员身份或同等身份是完成此过程所需的最低要求。

 

一、准备实验环境

　　本实验将首先删除一个用户帐户，然后再使用LDP工具进行恢复。该帐户的DN（distinguishedName）为：CN=PatColeman,OU=employees,OU=User Accounts,DC=contoso,DC=com

　　其它信息如下：

 

二、启用LDP

1. 在DC服务器上打开“命令提示符”，输入：LDP

2. 绑定一个帐户。

　　若要连接并绑定到承载 AD DS 环境的林根域的服务器，请单击“连接”下的“连接”，然后单击“绑定”。

 

3. 加载控件

　　在“选项”菜单中，单击“控制”。

 

　　在“控制”对话框中，展开“预定义加载”下拉菜单，单击“返回已删除对象（Return deleted objects）”，然后单击“确定”。

 

4. 查看AD树。

　　依次单击“查看”、“树”。

 

　　在 BaseDN 中从下拉列表中选择或者键入 DC=<mydomain>,DC=<com>，其中 <mydomain> 和 <com> 表示 AD DS 环境对应的林根域名

 

三、恢复

1. 修改属性

　　在控制台树中，双击根的可分辨名称（也称为 DN），并找到 CN=Deleted Objects, DC=<mydomain>,DC=<com> 容器。

　　在Deleted Objects这个OU中，找到并右键单击需要还原的已删除 Active Directory 对象，然后单击“修改”。。

 

2. 输入第一个属性值。该值表示将该帐户的“已删除”的属性删除掉。

 

3. 输入第二个属性值。该值表示该帐户恢复之后存放在哪一个OU里面。

4. 运行

 

备注：

　　在删除或使用链接值属性恢复 Active Directory 对象时，AD DS 必须处理对象的链接值表，才能对链接属性的值维护参考完整性。因为删除或恢复 Active Directory 对象将导致对象链接值表的修改，所以，如果在处理链接值表期间尝试删除或恢复对象，系统会阻止该操作。

　　例如，如果在删除带有大量链接值属性的对象（例如，一个有 1000 万用户的组对象）后立即（或在其链接值表处理过程中的任何时间）使用 Active Directory 回收站恢复此被删除的对象，则系统会阻止恢复该对象。（如果使用 Ldp.exe 执行恢复，可能会看到以下错误消息：“错误 0x2093，由于正在删除对象，操作无法继续。”）

 

四、验证

　　打开“Active Directory 用户和计算机”。找到对应的OU。可以看到，该帐户的密码被清空，因此该帐户目前已被禁用。

　　再检查该帐户的其它属性，可以看到都被清空。

 

参考：《还原已删除的 Active Directory 对象》 http://technet.microsoft.com/zh-cn/library/dd379509