使用回收站恢复 Active Directory 对象

Active Directory 回收站使用户能够恢复已删除的 Active Directory 对象，而无需从备份中恢复、重新启动 Active Directory 域服务或重新启动域控制器 (DC)。

使用 AD 回收站恢复 Active Directory 对象

• [点播网络研讨会]Active Directory 101：安装和配置 AD 域服务

一旦对象处于已删除对象状态的时间结束，该对象就会成为回收对象。回收的对象看起来可疑地像一个带有 isRecycled 属性并设置为 TRUE 的墓碑。与逻辑删除一样，它的大部分属性都会被删除，并且会在 tombstoneLifetime 属性指定的时间内保留在 Active Directory 中。然后它会被 Active Directory 的垃圾收集清理掉。

启用回收站后删除的对象的生命周期如下所示：

对象进入回收站后如何变化

这是回收站中处于已删除对象状态的对象：

虽然保留了对象的大部分属性，但存在一些重要的区别：

• 对象已被移动。 该对象已移至分区的“已删除对象”容器中。
• 对象已重命名。 对象的名称已使用Common-NameDEL：Object-Guid 进行更新。
• 该对象拥有一些新属性。 isDeleted属性的值为 TRUE，且lastKnownParent属性已填充。新属性 msDS-LastKnownRDN 将使用对象最后已知的相对可分辨名称进行填充（此属性允许回收站在恢复期间正确重置对象的 RDN，即使对象的重命名导致原始 RDN 的截断）。
• 两个属性已被删除。 删除对象时，objectCategory 和 sAMAccountType 这两个属性始终会从对象中删除。如果恢复对象，objectCategory 值会自动设置为对象的 objectClass 属性中最具体的值，并且 sAMAccountType 值根据 userAccountControl（对于用户对象）或groupType属性（对于组对象）。

敏锐的读者可能还会注意到，我的屏幕截图中也缺少 manager 和 memberOf 属性。他们实际上只是躲起来了。这两个属性都是链接值（即，它们包含对其他对象的引用），并且我使用的工具（LDP）不会返回停用的链接，除非已设置巧妙命名的“返回停用链接”控件。如果我启用了该控件，那么属性及其值将在我的屏幕截图中可见，但我会错过这个教学时刻。

如何从 AD 回收站恢复对象

在 Windows Server 2012 之前，从 AD 回收站还原对象需要使用 LDAP 工具或 PowerShell 列出所有已删除的对象，筛选长列表以找到所需的对象，然后使用另一个 PowerShell 命令来还原它。 AD 回收站如此有用是一件好事，因为它使用起来并不那么有趣！

现在，Active Directory 管理中心提供了回收站功能：

如您所见，您可以使用搜索过滤器快速找到您感兴趣的已删除对象。

要恢复对象，只需点击窗口右侧任务列表中的恢复即可。恢复后的对象如下所示：

Active Directory 回收站的缺点

虽然回收站极大地简化了对象恢复，但我们也看到了一些限制：对象仅保留相当短的时间，并且它们的一些属性会丢失。回收站还有一些额外的缺点：

• 启用 Active Directory 回收站涉及架构更改。 因此，一旦打开回收站，如果没有完整的林恢复，就无法将其关闭。
• Active Directory 将会变得更大。启用 AD 回收站后，已删除的对象将保留更多的属性，并且比逻辑删除的持续时间更长。因此，Active Directory 可能会比以前使用更多的空间。
• 启用回收站会删除所有逻辑删除。启用回收站最有影响的后果是林中的所有逻辑删除对象将立即不复存在。许多管理员经历了惨痛的教训才认识到这一后果。

然而，这些问题并没有超过启用 AD 回收站的好处。

无需 AD 回收站的 Active Directory 对象恢复

为了说明启用 AD 回收站的价值，让我们回顾一下在未启用 AD 回收站时恢复 AD 对象所涉及的内容。

在未启用 AD 回收站的域中，当删除 Active Directory 对象时，它会成为逻辑删除。该对象被剥夺了大部分属性，并在域的 tombstoneLifetime 中指定的时间段内保留在分区的“已删除对象”容器中。在此期间，该对象在技术上是可以恢复的，但其丢失的属性一般可以认为是不可恢复的。一旦达到 tombstoneLifetime 值，该对象就会被垃圾回收，直至不存在。该生命周期如下图所示：

让我们看看如何使用 LDP 实用程序的修改功能来恢复此逻辑删除：

1. 右键单击逻辑删除并选择修改选项。
2. 在编辑条目部分中，在属性字段中输入值“isDeleted”，选择操作下的删除单选按钮strong>，然后单击输入按钮将条目添加到条目列表中。
3. 在编辑条目部分中，在属性字段中输入值“distinguishedName”，在值中输入删除之前对象的可分辨名称字段中，选择操作下的替换单选按钮，然后单击输入按钮将条目添加到条目列表中。
   还记得我提到过 lastKnownParent 属性最终可能会有用吗？好吧，如果您不知道对象在删除之前的 dn 是什么，您可以尝试以下技巧：获取当前 dn 并用 lastKnownParent 的当前值替换 NULL 终止字符（“A”）及其右侧的所有内容属性。
4. 选择面板左下角的扩展选项。
5. 单击运行按钮。

然后我们可以再次找到复活的对象，看看它是什么样子：

如您所见，我们从技术上恢复了已删除的用户对象。然而，它丢失了删除之前拥有的大部分信息。

您（理论上）可以通过定期拍摄 Active Directory 的 VSS 快照来解决此问题。然后，如果您需要恢复已删除的对象，您可以“仅”找到删除该对象之前进行的备份，使用 NTDSUTIL 挂载快照，使用 LDAP 实用程序连接到已挂载的快照，找到该对象，然后将其导出……没关系。

但等等，情况会变得更糟。

已删除对象容器并不是永远存在的东西。 CN=Directory Service、CN=Windows NT、CN-Services、CN=Configuration、ForestDistinguishedName 对象上的 tombstoneLifetime 属性定义了删除对象之前的天数将从 Active Directory 中永久删除。

tombstoneLifetime 的值基于创建域林时涉及的 Windows Server 版本。在使用 2003 年以上的 Windows Server 版本创建的林中，默认设置为 180 天（Microsoft 当前推荐的设置）。较早的实现默认为 60 天。 tombstoneLifetime 属性的行为实际上值得关注，而且很酷。如果该值存在，则逻辑删除生存期为指定的值。除非该值小于2；那么逻辑删除生存期默认为 60 天（Windows 2000 Server 到 Windows Server 2008）或 2 天（Windows Server 2008 R2 或更高版本）。如果未指定值，则该值为 60 天。

如果您对环境中 tombstoneLifetime 的值感到好奇，此 PowerShell 脚本将为您返回该值（它需要 AD DS 和 AD LDS 工具）：

(Get-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,$((Get-ADRootDSE).configurationNamingContext)" -Properties *).tombstoneLifetime

一旦某个对象在“已删除对象”容器中度过了逻辑删除生命周期，Active Directory 的垃圾收集逻辑上就会将其删除。到那时，它就消失了，再也不会回来了。

Netwrix 如何提供帮助

AD 回收站是恢复最近删除的对象的有用工具。如需更全面的解决方案，请考虑 Netwrix Recovery for Active Directory。它使您能够恢复已超过其林的 mdDS-DeletedObjectLifetime 且因此无法再使用 AD 回收站恢复的备份对象