08R2新功能之AD回收站部署详解.docx

08R2新功能之AD回收站对于绝大多数ADDS（活动目录域服务）及AD LDS（活动目录轻量型目录服务）的用户而言，经常会出现误操作进而删除AD中某些对象的情况，例如：OU，组，用户等。处理这些被意外删除的对象，可以使用Ntdsutil Authoritative Restore命令将对象标记为权威（对象版本号相对最高），以确保在整个域中能顺利复制所还原的数据。授权还原方案的缺点在于必须在目录服务还原模式下执行。在DSRM（目录服务还原模式）过程中，被还原的DC（域控制器）必须保持脱机状态（停止正常的AD数据库的通信）。因此，此时的DC是无法处理来自任何客户端的请求的。而且通过学习我们了解到在Windows 2003及Windows 2008中，不会立即以物理的方式彻底的删除那些已删除的AD中的对象。相反，这些对象的DN（可分辨名称）会损坏，绝大多数对象的未链接值属性被清除。对象的所有链接值属性被物理删除，并且对象被移动到对象的命名上下文中的特殊容器（称之为“已删除对象”）中。该对象现在称为Tombstone（逻辑删除），对于一般目录操作不可见，逻辑删除的对象对一般目录操作不可见。在逻辑删除的生存期间内可随时恢复逻辑删除，并使其再次成为活动的AD数据库中的对象。逻辑删除对象的生存周期又被称之为“墓碑记录”。在Windows 2003 SP1时为默认为60天，而在Windows 2003 SP2及Windows 2008中默认为180天。可以使用逻辑删除用于恢复已删除的对象，而不需使DC或AD LDS实例脱机。但需要注意的是，恢复项目的已物理删除的链接值属性，例如：用户帐户隶属于哪个组等，及已清除的未链接值属性不会恢复。因此，企业管理员无法依靠逻辑删除恢复作为意外删除的最终解决方案。AD回收站是Windows Server 2008 R2的新功能之一。它构建于现有的逻辑删除恢复基础结构之上，帮助用户增强保存和恢复意外删除的AD中有关对象的能力。Windows Server 2008 R2中的AD回收站使目录服务中断时间降至最低。依靠AD回收站功能用来保存意外删除的整个AD对象，而无需从备份还原AD数据、重启AD DS，或者重启域控制器。启用AD回收站后，会保留已删除AD对象的所有链接值属性和未链接值属性，并将整个对象还原到与被删除前一致的逻辑状态。例如：还原的用户帐户会自动重新获得被删除时所具有的域中或跨域的所有组成员身份及相应的访问权限。AD回收站可以在AD DS及AD LDS环境下使用。使用AD回收站的前提相关域控制器的林和域功能级别必须为Windows Server 2008 R2l 具体实验流程1. 将当前域控制器的林和域功能提升为08R2。2. 在域中创建OU“Test”及隶属于该OU的用户帐户“Bob”。3. 启用AD回收站功能。有两种方式可以启用。第一种通过在命令行输入“/ldp”打开“LDP”（用于对LDAP中对象的特定信息进行按条件搜索的工具）。第二种使用用于AD的PowerShell（微软开发的外壳和脚本系统管理工具），“以管理元身份运行”打开“Powershell”。输入：Enable-ADOptionalFeature Identity CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=Contoso,DC=com Scope ForestOrConfigurationSet Target C输入“Y”，此时已成功启用AD回收站。具体语法请参考：/zh-cn/library/dd379481(WS.10).aspx4. 开始进行AD回收站功能的实验了。首先，删除之前新建的域用户帐户“Bob“。PowerShell中执行还原命令：Get-ADObject -Filter displayname -eq Bob -IncludeDeletedObjects | Restore-ADObject奇迹发生了，“Bob“回来了。如下图：那么，整个还原实验就到此结束了。AD回收站的原理及效果都一览无余。不过，大家是否觉得使用起来相当麻烦呢？在这里再推荐给各位一款图形化的AD回收站工具，当然该工具并不是来自于微软而是来自于OverAll Solutions名叫ADRecycleBin。使用起来