我们在《 活动目录快照和DMT的终极使用---Windows2008 R2 新功能系列之九》中已经提到,如果你删除一个活动目录对象,如用户或OU,在多DC的环境中,需要进行该对象的授权还原,而各位都知道,进行授权还原,必须进入到目录服务还原模式,而此时活动目录处于离线状态,有过AD管理经验的朋友都知道,如果你的AD环境比较大,还原的时间也很长,况且这个恢复过程往往需要下班后完成,显然作为系统管理员不希望这样。
    如果你使用的2008R2的活动目录环境,我们就可以使用其最新的“活动目录回收站”功能,来轻松完成删除对象的还原工作。
   “活动目录回收站”和windows普通的回收站类似,即可以还原被删除的各种活动目录对象,如用户、组、OU等。但该功能的使用是有一定条件的。且由我慢慢道来~~
 
前提:Active Directory回收站的使用注意事项
1. 默认AD回收站功能处于禁用状态,我们必须手动启用。启用方法:Powershell、LDP.exe。
2.服务器的版本必须全部是Windows Server 2008 R2以上,且林功能级别必须是Windows Server 2008 R2。
3.启用AD回收站的操作不可逆。
4.AD中被删除对象的没有超出有效期,即默认是180内即可。如果超出该时间,则该对象会被物理删除,类似于清空回收站。
5.林内只启动一次,每个域即可应用之。
6.建议使用ADRecycleBin工具来图形化恢复删除的对象。
7.当启用AD回收站后,不要再使用授权还原。
8.在启动回收站之前删除的对象,不能通过AD回收站来恢复。
 
实验环境:域名 net.com,N1是森林根域,N3是子域sub.net.com。
clip_p_w_picpath001
 
分析: 由于是森林环境,而且所有的DC均为windows 2008 R2,符合启动AD回收站的基本条件,依据前面的8个注意事项,我们必须提升每个域的功能级别是windows 2008 R2,然后再提升林的功能级别是windows 2008 R2。然后利用命令启动AD回收站功能。
一、查看回收站启用状况
二、启用回收站
三、测试AD回收站恢复功能
四、利用ADRecycleBin1.2来图形恢复删除对象
 
一、查看回收站启用状况:
1. 运行“用于Windows Powershell 的AD模块”。
2. 查看AD回收站启用状况:
clip_p_w_picpath002
EnableScopes值为空,说明回收站并未启用。
RequireForestMode:说明启用回收站的条件,即必须2008R2林功能级别。
 
二、启用回收站:
1. 在林根上,本例中在n1上,运行domain.msc(AD域和信任关系)来提升域和林的功能级别到R2,此处略。
2. 启用回收站功能(注意,启用后不可再禁用)
clip_p_w_picpath003
同时通过命令查看,回收站已启用。
 
三、测试AD回收站恢复功能:
1. 删除对象,这里删除一个OU,及该OU下的对像,如:
Ou=hr,dc=net,dc=com
Cn=haha,ou=hr,dc=net,dc=com
2. 查看AD回收站中对象:
clip_p_w_picpath004
可以看到有两个对象标记为“被删除”。
PS:如果在启用回收站之前删除对象,则不会被回收站记录。
3. 还原已删除对象: 
clip_p_w_picpath005
注意:如果先还原haha用户,由于该用户位于被删除的窗口HR里,所以还原失败。因此此时必须先还原容器HR,再还原里面的用户即可还原成功。
如下图所示,说明还原成功。
clip_p_w_picpath006
 
四、利用ADRecycleBin1.2来图形恢复删除对象:
clip_p_w_picpath007
如上图,运行后,单击"Load Deleted Objects”,将会搜索到被删除的对象,然后选择欲恢复的对象后,单击"Restore Checked Objects”即可恢复。
PS:如果同域内有多台DC,你可以在任意DC上执行上述恢复,而不管你是在哪台DC上删除该对象。