Windows Server 2008 R2：活動目錄回收站

Win2003時代活動目錄對象的保護大家都知道，在2000和2003時代，當我們從AD中刪除某個對象時，其實AD並非將此對象直接刪除，而是將此對象標記爲墓碑對象。並且，墓碑對象會在活動目錄中再保存60天時間，這個時間即墓碑生存時間。此墓碑生存時間可由管理員使用Adsiedit.msc進行修改，我們只需要找到Configuration\Services\Windows NT\Directory Service下的tombstoneLifetime屬性進行更改即可。
Windows Server 2008 時代活動目錄對象保護在Windows Server 2008 AD中，微軟對活動目錄對象增加了一層新的防誤刪保護機制。我們在創建對象時，可直接勾選是否啓用防誤刪保護。


Windows Server 2008 R2時代活動目錄對象保護在Windows Server 2008 R2中，活動目錄對象的保護就更進了一步，當然這也是我們今天要介紹的重點。我相信絕大多數管理員都不希望爲了恢復某個賬號進而去恢復整個活動目錄數據庫。當然，Win2008 R2裏面就爲我們提供了一個近似“回收站”的對象保護功能，如果管理員將此功能啓用，在活動目錄中刪除任何對象時都會被放到此回收站中。
前提條件：我們的操作都通過PowerShell來完成，因此需要大家對PowerShell的基本語法和使用有所瞭解。

• 爲PowerShell導入AD Cmdlet管理模塊

默認Windows PowerShell是不能直接對活動目錄進行管理的，因此，我們需要事先在PowerShell中導入AD的Cmdlet。只需在PowerShell中執行如下命令即可：Import-Module ActiveDirectory

• 查看AD選項的新特性

我們在PowerShell中輸入Get-ADOptionalFeature -Filter {name -Like "*"} 以查看2008 R2的AD中爲我們提供了哪些新的Feature。

從上圖中我們可以看到Windows 2008 R2中的回收站特性是森林級別的一個新特性，並要求森林級別爲Windows Server 2008。

• 啓用Windows Server 2008 R2回收站特性

我們通過Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope Forest -Target 'winclient.local'命令來啓用對象回收站功能，系統會提示啓用此功能可能佔用更多的系統性能或引起其它的性能問題，我們只需要輸入Y 確認啓用就OK了。

• 測試對象的刪除

在本次測試中，我將建了Billy Fu、Conan Han、Fred Jiang、Leo Huang、Shelley Xu 5個用戶賬戶，並刪除其中的Billy Fu和Leo Huang兩個賬戶。

• 查看AD回收站

在刪除兩個用戶賬戶後，我們通過Get-ADObject -SearchBase "cn=deleted objects,dc=winclient,dc=local"  -LDAPFilter "(Objectclass=user)"  -Properties LastKnownParent -Includedeletedobjects | Format-List 命令可以查看到已經被保存到AD回收站中的Billy Fu及Leo Huang兩個賬戶。

• 恢復AD回收站中的數據

我們只需通過Get-ADObject -SearchBase "cn=deleted objects,dc=winclient,dc=local"  -LDAPFilter "(Objectclass=user)"  -Properties LastKnownParent -Includedeletedobjects | Restore-ADObject命令即可將AD回收站的數據還原到原始路徑。