还原已删除的 Active Directory 对象.docx

还原已删除的 Active Directory 对象本步骤提供有关使用 Active Directory 回收站完成以下任务的说明： 显示“已删除对象”容器 使用 Ldp.exe 还原已删除的 Active Directory 对象 使用 Get-ADObject 和 Restore-ADObject cmdlet 还原已删除的 Active Directory 对象 还原多个已删除的 Active Directory 对象 显示“已删除对象”容器在删除 Active Directory 对象时，这些对象会被存放在“已删除对象”容器中。默认情况下，不显示 CN=Deleted Objects 容器。可以使用 Active Directory 域服务 (AD DS) 中的 Ldp.exe 管理工具来显示“已删除对象”容器。Domain Admins 中的成员身份或同等身份是完成此过程所需的最低要求。显示“已删除对象”容器的步骤 1. 若要打开 Ldp.exe，请依次单击开始、“运行”，然后键入 ldp.exe。2. 在“选项”菜单中，单击“控制”。3. 在“控制”对话框中，展开“预定义加载”下拉菜单，单击“返回已删除对象”，然后单击“确定”。4. 验证“已删除对象”容器是否显示的步骤：a. 若要连接并绑定到承载 AD DS 环境的林根域的服务器，请单击“连接”下的“连接”，然后单击“绑定”。b. 依次单击“查看”、“树”，并在 BaseDN 中键入 DC=,DC=，其中 和 表示 AD DS 环境对应的林根域名。c. 在控制台树中，双击根的可分辨名称（也称为 DN），并找到 CN=Deleted Objects, DC=,DC= 容器，其中 和 表示 AD DS 环境对应的林根域名。使用 Ldp.exe 还原已删除的 Active Directory 对象可以使用 Ldp.exe 还原单个已删除的 Active Directory 对象。使用 Ldp.exe 还原已删除 Active Directory 对象的步骤 1. 若要打开 Ldp.exe，请依次单击开始、“运行”，然后键入 ldp.exe。2. 若要连接并绑定到承载 AD DS 环境的林根域的服务器，请单击“连接”下的“连接”，然后单击“绑定”。3. 在控制台树中，导航到 CN=Deleted Objects 容器。4. 找到并右键单击需要还原的已删除 Active Directory 对象，然后单击“修改”。5. 在“修改”对话框中，执行如下操作：a. 在“编辑条目属性”中，键入 isDeleted。b. 保留“值”框为空。c. 在“操作”下单击“删除”，然后单击“输入”。d. 在“编辑条目属性”中，键入 distinguishedName。e. 在“值”中，键入此 Active Directory 对象的原始可分辨名称（也称为 DN）。f. 在“操作”下单击“替换”。g. 确保选中“扩展”复选框，单击“输入”，然后单击“运行”。备注 在删除或使用链接值属性恢复 Active Directory 对象时，AD DS 必须处理对象的链接值表，才能对链接属性的值维护参考完整性。因为删除或恢复 Active Directory 对象将导致对象链接值表的修改，所以，如果在处理链接值表期间尝试删除或恢复对象，系统会阻止该操作。例如，如果在删除带有大量链接值属性的对象（例如，一个有 1000 万用户的组对象）后立即（或在其链接值表处理过程中的任何时间）使用 Active Directory 回收站恢复此被删除的对象，则系统会阻止恢复该对象。（如果使用 Ldp.exe 执行恢复，可能会看到以下错误消息：“错误 0x2093，由于正在删除对象，操作无法继续。”） 使用 Get-ADObject 和 Restore-ADObject cmdlet 还原已删除的 Active Directory 对象还可以使用 Get-ADObject 和 Restore-ADObject Windows PowerShell 的 Active Directory 模块 cmdlet 还原已删除的 Active Directory 对象。建议的方法是使用 Get-ADObject cmdlet 检索已删除对象，然后通过管道将该对象传递到 Restore-ADObject cmdlet。使用 Get-ADObject 和 Restore-ADObject cmdlet 还原单个已删除 Active Directory 对象的步骤 1. 依次单击开始、“管理工具”，右键单击 Windows PowerShell 的 Active Directory 模块，然后单击“以管理员身份运行”。2. 在 ActiveDirectory module for WindowsPowerShell 命令提示符下，键入以下命令，然后按 Enter：Get-ADObject -Filter String -IncludeDeletedObjects | Restore-ADObject 例如，如果需要还原被意外删除的显示名为 Mary 的用户对象，则键入以下命令，然后按 Enter：Get-ADObject -Filter displayName -eq Mary -IncludeDeletedObjects | Restore-ADObject 还原多个已删除的 Active Directory 对象请考虑以下情况：C 的管理员意外删除了一个称为 Finance_Department 的嵌套组织单位 (OU)，它包含财务部门员工的用户帐户。该管理员还删除了另一个称为 Admins 的组织单位，它包含财务部门行政助理的用户帐户。Brian 和 Mary 是 Finance_Department 组织单位中的用户帐户。Tom 是 Admins 组织单位中的用户帐户。下图显示了 Finance_Department 组织单位。删除 Finance_Department 组织单位时，其所有对象（总共五个对象）都被移至“已删除对象”容器中，并且它们的可分辨名称已损坏。“已删除对象”容器以平面层次结构的形式将所有逻辑删除的对象显示为它的直接子对象。将嵌套的组织单位还原到其原始状态的推荐方法是，使用 Get-ADObject Active Directory 模块 cmdlet 一次一个层次结构级别检索已删除对象，然后通过管道将这些对象传递到 Restore-ADObject cmdlet。如果管理员不熟悉 Finance_Department 组织单位的原始层次结构，则必须先使用 Get-ADOBject cmdlet 执行若干调查步骤： 例如，管理员决定使用 Get-ADOBject cmdlet 搜索用户帐户 Mary，同时使用 ldapFilter 参数中的 msDS-lastKnownRDN 属性构造该命令，以便返回 Mary 的 lastKnownParent 属性，如下所示：Get-ADObject -SearchBase CN=Deleted Objects,DC=contoso,DC=com -ldapFilter:(msDs-lastKnownRDN=Mary) IncludeDeletedObjects Properties lastKnownParent在 Get-ADObject cmdlet 返回的输出中，管理员注意到 Mary 的 lastKnownParent 值为 Finance_Department。管理员还注意到，Finance_Department 组织单位的可分辨名称已损坏，这表示 Finance_Department 组织单位对象本身已被删除。（损坏的可分辨名称示例是 OU=Finance_Department0ADEL:e954edda-db8c-41be-bbbd-599bef5a5f2a,CN=Deleted Objects,DC=contoso,DC=com。） 然后管理员决定使用以下命令在“已删除对象”容器中搜索 lastKnownParent 值为 Finance_Department 的所有对象：Get-ADObject SearchBase CN=Deleted Objects,DC=contoso,DC=com -Filter lastKnownParent -eq OU=Finance_Department0ADEL:e954edda-db8c-41be-bbbd-599bef5a5f2a,CN=Deleted Objects,DC=contoso,DC=com -IncludeDeletedObjects -Properties lastKnownParent | ft备注 确保使用另一种斜杠转义 Get-ADObject cmdlet 中使用的已损坏可分辨名称中的斜杠 ()。 在 Get-ADObject cmdlet 返回的输出中，管理员注意到 Admins 为组织单位本身。 管理员使用以下命令进一步搜索 lastKnownParent 属性等于 Admins 的所有已删除对象：Get-ADObject SearchBase CN=Deleted Objects,DC=contoso,DC=com -Filter lastKnownParent -eq OU=Admins0ADEL:6b405c87-027c-4135-95af-36c31002be5a,CN=Deleted Objects,DC=contoso,DC=com -IncludeDeletedObjects -Properties lastKnownParent | ft备注 确保使用另一种斜杠转义 Get-ADObject cmdlet 中使用的已损坏可分辨名称中的斜杠 ()。 在 Get-ADObject cmdlet 返回的输出中，管理员找到用户帐户 Tom。 在 Windows Server 2008 R2 中，必须从层次结构的最高级别到实时父对象还原已删除的嵌套对象。因此，必须首先还原 Finance_Department 组织单位对象。因为以前的所有调查步骤都是使用 lastKnownParent 属性执行的（该属性指向对象的直接父对象，而不指示下一个父对象是否也已删除），和检查一样，管理员可以通过运行以下命令来验证 Finance_Department 的 lastKnownParent 值确实是实时组织单位：Get-ADObject -SearchBase CN=Deleted Objects,DC=contoso,DC=com -ldapFilter:(msDs-lastKnownRDN=Finance_Department) IncludeDeletedObjects Properties lastKnownParent最后结束调查，管理员已准备就绪，可以将 Finance_Department 组织单位还原为其原始层次结构和状态。重要事项 由于必须将删除的对象还原为实时父对象，因此应从最高级别的层次结构开始还原对象，这一点至关重要。 若要还原 Finance_Department 组织单位，管理员可以执行以下过程。还原 Finance_Department 组织单位的步骤 1. 依次单击开始、“管理工具”，右键单击 Windows PowerShell 的 Active Directory 模块，然后单击“以管理员身份运行”。2. 在 Windows PowerShell 的 Active Directory 模块 提示符下，通过运行以下命令还原 Finance_Department 组织单位：Get-ADObject -ldapFilter:(msDS-LastKnownRDN=Finance_Department) IncludeDeletedObjects | Restore-ADObject 通过在 Windows PowerShell 的 Active Directory 模块 提示符下运行以下命令还原用户帐户 Brian 和 Mary 以及 Admins 组织单位（Finance_Department 组织单位的直接子对象，其可分辨名称在上一步中已还原为 OU=Finance_Department,DC=contoso,DC=com）：Get-ADObject -SearchBase CN=Deleted Objects,DC=contoso,DC=com -Filter lastKnownParent -eq OU=Finance_Department,DC=contoso,DC=com -IncludeDeletedObjects | Restore-ADObject 3. 通过在 Windows PowerShell 的 Active Directory 模块 提示符下运行以下命令还原用户帐户 Tom（Admins 组织单位的直接