Windows Server 2008 R2新特性 - 活動目錄回收站

Win7之家（ m.airtaxifl.com）：Windows Server 2008 R2新特性 - 活動目錄回收站

 今天為大家?guī)�來一個Windows Server 2008 R2非常非�？岬囊粋�新特性——活動目錄回收站。

Win2003時代活動目錄對象的保護(hù)

大家都知道，在2000和2003時代，當(dāng)我們從AD中刪除某個對象時，其實AD并非將此對象直接刪除，而是將此對象標(biāo)記為墓碑對象。并且，墓碑對象會在活動目錄中再保存60天時間，這個時間即墓碑生存時間。此墓碑生存時間可由管理員使用Adsiedit.msc進(jìn)行修改，我們只需要找到Configuration\Services\Windows NT\Directory Service下的tombstoneLifetime屬性進(jìn)行更改即可。

Windows Server 2008 時代活動目錄對象保護(hù)

在Windows Server 2008 AD中，微軟對活動目錄對象增加了一層新的防誤刪保護(hù)機(jī)制。我們在創(chuàng)建對象時，可直接勾選是否啟用防誤刪保護(hù)。

Windows Server 2008 R2時代活動目錄對象保護(hù)

在Windows Server 2008 R2中，活動目錄對象的保護(hù)就更進(jìn)了一步，當(dāng)然這也是我們今天要介紹的重點。我相信絕大多數(shù)管理員都不希望為了恢復(fù)某個賬號進(jìn)而去恢復(fù)整個活動目錄數(shù)據(jù) 庫。當(dāng)然，Win2008 R2里面就為我們提供了一個近似“回收站”的對象保護(hù)功能，如果管理員將此功能啟用，在活動目錄中刪除任何對象時都會被放到此回收站中。

前提條件：我們的操作都通過PowerShell來完成，因此需要大家對PowerShell的基本語法和使用有所了解。

• 為PowerShell導(dǎo)入AD Cmdlet管理模塊

默認(rèn)Windows PowerShell是不能直接對活動目錄進(jìn)行管理的，因此，我們需要事先在PowerShell中導(dǎo)入AD的Cmdlet。只需在PowerShell中執(zhí)行如下命令即可：Import-Module ActiveDirectory

• 查看AD選項的新特性

我們在PowerShell中輸入Get-ADOptionalFeature -Filter {name -Like "*"} 以查看2008 R2的AD中為我們提供了哪些新的Feature。

從上圖中我們可以看到Windows 2008 R2中的回收站特性是森林級別的一個新特性，并要求森林級別為Windows Server 2008。

• 啟用Windows Server 2008 R2回收站特性

我們通過Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope Forest -Target 'winclient.local'命令來啟用對象回收站功能，系統(tǒng)會提示啟用此功能可能占用更多的系統(tǒng)性能或引起其它的性能問題，我們只需要輸入Y 確認(rèn)啟用就OK了。

• 測試對象的刪除

在本次測試中，我將建了Billy Fu、Conan Han、Fred Jiang、Leo Huang、Shelley Xu 5個用戶賬戶，并刪除其中的Billy Fu和Leo Huang兩個賬戶。

• 查看AD回收站

在刪除兩個用戶賬戶后，我們通過Get-ADObject -SearchBase "cn=deleted objects,dc=winclient,dc=local"  -LDAPFilter "(Objectclass=user)"  -Properties LastKnownParent -Includedeletedobjects | Format-List 命令可以查看到已經(jīng)被保存到AD回收站中的Billy Fu及Leo Huang兩個賬戶。

• 恢復(fù)AD回收站中的數(shù)據(jù)

我們只需通過Get-ADObject -SearchBase "cn=deleted objects,dc=winclient,dc=local"  -LDAPFilter "(Objectclass=user)"  -Properties LastKnownParent -Includedeletedobjects | Restore-ADObject命令即可將AD回收站的數(shù)據(jù)還原到原始路徑。

文/碎片