Windows Server AD回收站

前言

日常IT维护中，难免会有“手滑”的时候，如果在AD域环境中出现失误操作，误将用户账号删除了怎么办？！没关系，微软在Windws server 2008 R2中引进了新功能—AD回收站，可以帮助你找回误删除的AD账号。

开始之前，先介绍一个防止手滑的小技巧。在Windows Server 2008中，可以通过修改用户属性还防止误删除，右键用户属性，在“对象”选项卡中，可以看到一个“防止对象被意外删除“的选项，打上勾则无法删除用户，下面我们来试验一下

将用户账号user02勾上“防止对象被意外删除“，确定

点检右键删除user02账号，这是会出现错误弹框，无法删除user02。

这个防止误删除的小功能从windows server 2008开始引入，如果您运行的是windows server 2003的话就不必进行试验了。

AD回收站功能介绍

下面介绍一下AD回收站功能。

AD回收站是从Windws Server 2008 R2开始引进的新功能，利用AD回收站可以恢复误删除的AD对象，包括用户账号，计算机账号和OU等，AD回收站将增大林中每个域控制器上的 AD数据库 (NTDS.DIT) 大小。 随着时间的推移，回收站使用的磁盘空间将继续增大，因为它保留对象及其所有属性数据。默认删除的对象会保留180天，恢复后可恢复用户所属的组等属性。

AD回收站功能默认是没有启用的，需要你去手动开启。但前提是你的AD林功能级别至少为Windows Server 2008 R2。需要注意的是，AD回收站功能一旦启用，是无法再禁用的。以下介绍如何在Windows server 2008R2中开启AD回收站功能及如何恢复误删除的AD账号。

功能启用

首先确认林和域的功能级别

打开管理工具“Active Directory域和信任关系”，右键选择“提升林功能级别”，可以看到当前林功能级别为Windows Server 2003模式。选择提升功能级别为WindowsServer 2008 R2（注意：功能级别提升后无法回退！），

使用powershell命令启用AD回收站功能（注意：AD回收站功能启用后无法禁用！），命令运行结果没有错误则正常启用回收站功能

Import-ModuleActiveDirectory                /导入AD模块命令

Enable-ADOptionalFeature–Identity ‘CN=Recycle BinFeature,CN=Optional Features,CN=Directory Service,CN=WindowsNT,CN=Services,CN=Configuration, DC=HBYCRSJ,DC=com‘ –ScopeForestOrConfigurationSet –Target ‘hbycrsj.com‘

删除用户，首先去掉“防止对象被以外删除”选项

对user02用户进行删除

使用powershell命令查找用户user02，可看到Deleted属性为：true

Get-ADObject -filter {displayname -eq"user02"} -IncludeDeletedObjects

 恢复已删除账号

Get-ADObject -filter {displayname -eq"displayname"} -IncludeDeletedObjects | Restore

-ADObject

可以看到user02用户恢复了

再次运行powershell命令查看user02用户属性，可看到Deleted属性为空

图形界面

这功能是不是很方便，再也不用担心手滑了。但是，很多人就会说了，这功能都要用命令行来完成，太麻烦了。不用担心，在Windows Server 2012 R2中，微软很贴心的为这项功能开启了图形界面，下面我们来看看在图形界面中怎么操作（网上有一些第三方工具为AD回收站提供了图形界面，在此不做介绍），当然，前提是你的域控运行的是Windows Server2012 R2

   同样，首先需要你的林功能级别至少为Windows Server 008 R2。在windows Server 2012中，有一个新的管理工具，叫“Active Directory管理中心”

可以看到，Active Directory管理中心中已经有“启用回收站”的功能按钮，但现在是灰色状态，这种状态只有两种情况：1、林功能级别低于要求的windows server 2008 R2；2、已经启用了回收站功能

单击“提升林功能级别”，可以看到当前林功能级别是Windows Server 2008，启用AD回收站需要至少Windows Server 2008 R2林功能级别，单击确认即可提升林功能级别。

此时会出现警告提示提升林功能级别之后无法还原，点击确定

成功提升了林功能级别，在ActiveDirectory管理中心中，可以在面板的下方看到运行的powershell 命令历史纪录

点击右上角刷新按钮，此时可以看到“启用回收站”的功能键变为可选

点击“启用回收站”。出现提示回收站启用后无法禁用，单击确定

这时已经启用了AD回收站功能，下面我们来进行测试

删除测试账号user01

打开“Deleted Objects”容器

可以看到被删除的用户账号user01，可以看到账号删除的时间。

在Active Directory管理中心中，还原的操作很简单，只需点击面板右边的任务栏里的“还原”或“还原为”，“还原”指把账号还原到原来的位置，“还原为”则是把账号还原到其他账号或其他位置

选中被删除的账号，单击“还原”，把账号还原到原来的位置，操作过程中不会有任何提示，直接进行还原

可以在Users的OU中看到user01账户

选中“还原为”则可以选则要还原到的位置

选中要还原的位置，这里以“Builtin” OU为例，单击确认

可以看到在“Deleted Objects”中空空如也，在Builtin的OU中可以看到user01账户

本次AD回收站功能启用和账户恢复就介绍完了