Win2003时代活动目录对象的保护大家都知道,在2000和2003时代,当我们从AD中删除某个对象时,其实AD并非将此对象直接删除,而是将此对象标记为墓碑对象。并且,墓碑对象会在活动目录中再保存60天时间,这个时间即墓碑生存时间。此墓碑生存时间可由管理员使用Adsiedit.msc进行修改,我们只需要找到Configuration\Services\Windows NT\Directory Service下的tombstoneLifetime属性进行更改即可。
Windows Server 2008 时代活动目录对象保护 在Windows Server 2008 AD中,微软对活动目录对象增加了一层新的防误删保护机制。我们在创建对象时,可直接勾选是否启用防误删保护。


Windows Server 2008 R2时代活动目录对象保护 在Windows Server 2008 R2中,活动目录对象的保护就更进了一步,当然这也是我们今天要介绍的重点。我相信绝大多数管理员都不希望为了恢复某个账号进而去恢复整个活动目录数据库。当然,Win2008 R2里面就为我们提供了一个近似“回收站”的对象保护功能,如果管理员将此功能启用,在活动目录中删除任何对象时都会被放到此回收站中。
前提条件:我们的操作都通过PowerShell来完成,因此需要大家对PowerShell的基本语法和使用有所了解。
  • 为PowerShell导入AD Cmdlet管理模块
默认Windows PowerShell是不能直接对活动目录进行管理的,因此,我们需要事先在PowerShell中导入AD的Cmdlet。只需在PowerShell中执行如下命令即可:Import-Module ActiveDirectory

  • 查看AD选项的新特性
我们在PowerShell中输入Get-ADOptionalFeature -Filter {name -Like "*"} 以查看2008 R2的AD中为我们提供了哪些新的Feature。

从上图中我们可以看到Windows 2008 R2中的回收站特性是森林级别的一个新特性,并要求森林级别为Windows Server 2008。
  • 启用Windows Server 2008 R2回收站特性
我们通过Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope Forest -Target 'winclient.local'命令来启用对象回收站功能,系统会提示启用此功能可能占用更多的系统性能或引起其它的性能问题,我们只需要输入Y 确认启用就OK了。

  • 测试对象的删除
在本次测试中,我将建了Billy Fu、Conan Han、Fred Jiang、Leo Huang、Shelley Xu 5个用户账户,并删除其中的Billy Fu和Leo Huang两个账户。
  • 查看AD回收站
在删除两个用户账户后,我们通过Get-ADObject -SearchBase "cn=deleted objects,dc=winclient,dc=local"  -LDAPFilter "(Objectclass=user)"  -Properties LastKnownParent -Includedeletedobjects | Format-List 命令可以查看到已经被保存到AD回收站中的Billy Fu及Leo Huang两个账户。




  • 恢复AD回收站中的数据
我们只需通过Get-ADObject -SearchBase "cn=deleted objects,dc=winclient,dc=local"  -LDAPFilter "(Objectclass=user)"  -Properties LastKnownParent -Includedeletedobjects | Restore-ADObject命令即可将AD回收站的数据还原到原始路径。