相信在很多企业IT管理员心中有一痛苦,就是有时不小心误删了活动目录中的对象。我们都知道,在AD中的任何一个对象都会有一个唯一的SID,此SID就像是人的身份证号一样,标示了此对象的身份及权限。如果你遗失了身份证还可以补办,身份证号不会变。可在AD中,你就不会这样幸运了,因为账号的SID会因你对对象的删除,此SID就不会你环境中再生产第二个一样的SID号。即使你重新创建一个一模一样的对象,但他的SID是肯定不一个的。获得对象SID方式:
上图为administrator管理员的账号与一个普通的域用户账号stone,你会发现administrator是结尾ID为500(说明他是一个管理员账号)而stone的结尾是1113(是一个普通的域用户账号),此时就可体现一点,用户的SID不同,权限也是不一样的(举例)。
那么,有没有什么办法可以把删除的账号进行恢复呢?在WINDOWS 2000/2003中的域里,在我看有三种方式,前提你得要有AD的备份才可以,且你的备份数据不能超过60天,如果超过60,备份将不可再用来还原AD数据库.为什么?因为备份的数据过于老化,可能会造成因小失大,且微软在设计时也是这样子设计的。如果你想改这个时间,也可以改的。相对比较麻烦,并且你还原后,可能有问题。微软也不会给予支持此类操作。
方式一:对AD数据进行非权威性还原(只适合域中只有一台DC的情况)
方式二:对AD数据进行权威性还原(只适合域中只有多台DC的情况,因为DC与DC之间有复制的关系)
方式三:adrestore.exe工具,你可在网上搜索一下。使用方式
找到你对应删除的用户账号,按"y:"即可对删除的对象进行恢复,恢复回来时的状态,默认是处于”禁用“状态,你需要手工对他启用即可,但他的SID是与删除的对象SID是一致的,这也是我们想要的。
对于另两种方式,有时间可以续上相应的文章。
如果你想做的话,你需要重启的DC,在重启间,按F8键,进入到“活动目录还原模式”此时你活动目录是处于离线状态,你可以对AD数据库进行压缩、碎片整理(自动AD会每隔60天做一回,也是为什么60天,删除的账号无法恢复的原因所在)AD数据的迁移(相应操作需要采用NTDSUTIL工具)。
今天主要是讲述一下,在WINDOWS Server 2008 R2域服务中的一个新特性,就是”AD回收站“功能类似与计算机的“回收站”功能。就是我们如果不小心删除了AD中的对象时,我们可以从”AD回收站“找回来。很不错、很实用的功能。
前提条件:
1、域功能级别必须为Windows Server 2008 R2模式
2、林功能级别必须为Windows Server 2008 R2模式
启动“AD回收站“登录到你的DC上,打开PowerShell
把圈内的内容,改为你自己的域名。选择“Y”即可启用“AD回收站”
恢复一个账号"zhxhua"
账号恢复是成功的。当然,还可用另外一种方式可以启用“AD回收站”LDP.EXE的方式,但太麻烦了。有兴趣的可以试一下。个人认为简单、效率高、能达到目的,才是主要的、实用的。
写在最后,“AD回收站”的功能,一旦被启用后,当前是没有办法再对“禁用”的,此操作为单向操作,不可逆。
本文转自 zhxhua 51CTO博客,原文链接:http://blog.51cto.com/virtualtop/331381 ,如需转载请自行联系原作者
