已删除的 Active Directory 用户帐户和已删除的对象存储 |基本介绍 |第 1#4 条 |第 13 部分#23

在下面的文章中，我想对恢复软删除的 Active Directory 用户帐户这一主题进行高级评论。

我们将审查以下主题：

1. Active Directory 用于存储已删除对象（例如用户帐户）的方法。
2. 我们可以使用两种主要的 Active Directory 方法来恢复已删除的 Active Directory 对象：

• 墓碑对象。
• Active Directory 回收站。

总体而言，首选方法是使用 Active Directory 回收选项，但主要缺点是 Active Directory 回收站默认情况下未激活。为了能够使用 Active Directory 回收站功能，我们需要提前激活此选项。

如果我们需要恢复软删除的 Active Directory 对象，并且 Active Directory 回收站未激活，我们可以恢复到不太好用的状态选项，描述为 - 重新字符串逻辑删除对象。

关于使用Active Directory回收站恢复Active Directory对象的方法，我们将在以下文章中回顾可用的工具以及使用这些工具的方式：

• 如何使用 Active Directory 回收站恢复 Active Directory 删除的用户帐户 |第 4#4 条 |第 16 部分#x

关于恢复逻辑删除的 Active Directory 对象的方法，我们将在以下文章中回顾可用的工具以及使用这些工具的方式：

• 如何使用LDP.EXE 恢复Active Directory 删除的用户帐户（Active Directory 回收站未启用） |第 2#4 条 |第 14 部分#23
• 如何使用 AdRestore、AdRestore.net 和 LEX（LDAP 资源管理器）恢复 Active Directory 已删除的用户帐户（Active Directory 回收站未启用）第 3#4 条 |第 15 部分#23

Active Directory 和已删除对象系统文件夹

Active Directory 包含一个名为“已删除对象”的隐藏系统分区（文件夹）。

已删除对象文件夹的用途是充当已删除 Active Directory 对象（例如用户帐户或计算机帐户）的“存储”。

Active Directory 会将“已删除的对象”保留在已删除的对象文件夹中一段有限的时间。
在此期限结束时（默认为 180 天），已删除的对象将被“删除”来自“已删除对象”系统文件夹的含义 - 永久删除（描述为“硬删除”）。

联想起来，这种机制的描述可以描述为“回收站”。垃圾桶。 ”

“事情”是，微软更喜欢使用术语“Active Directory 回收站”来表示 Windows Server 2008 及更高版本中实现的“另一项功能”。

微软对“Active Directory 回收站”的正式定义涉及一个需要“激活”的选项，该选项基于或依赖于已删除对象文件夹。

如果“Active Directory回收站”机制被激活，软删除对象的恢复过程将使我们能够恢复被删除的对象，包括所有对象属性。

此外，“Active Directory 回收站”还包含一些工具（PowerShell 命令和 Windows 2012 服务器图形界面上的工具），使我们能够访问已删除对象文件夹并更轻松地恢复已删除的对象。

打个比方，我们可以将“Active Directory 回收站”视为已删除对象文件夹功能的“复杂兄弟”。

我们可以用于定义“Active Directory 回收站”的另一个选项是“构建于”已删除对象文件夹基础设施之上的服务，但添加了一个额外的层选项，这使我们能够“完全”恢复软删除的对象+扩展的接口和管理功能。

Active Directory 保存已删除对象的原因

Active Directory 存储“已删除对象”的机制是在 Active Directory 中自动实现的。换句话说，我们不需要实现任何配置设置来“激活”Active Directory“已删除对象”存储。

每次我们删除 Active Directory 对象（例如用户帐户）时，该对象都会“发送”到 Active Directory 已删除对象文件夹，并“标记”为 - 逻辑删除对象 。

创建术语“墓碑对象”是为了指出特定对象具有“有限生命周期”这一事实。

注意 - 如果您熟悉 DNS 术语 - 定义特定 DNS 记录生命周期的 TTL（生存时间），则逻辑删除是一个类似的概念。

逻辑删除对象与 Active Directory 回收站对象

如果我们需要恢复已删除的 Active Directory 对象（软删除对象，如果我们想使用更准确的术语），我们需要“访问”Active Directory“已删除对象文件夹”并“拉出”该对象（将对象的状态更改为“活动”）。

如果我们想使用更多技术术语，我们需要将已删除的对象状态
从逻辑删除对象更新为-非逻辑删除对象（活动对象）。

逻辑删除对象的“两个问题”是：

1.删除对象的属性没有保存

当我们删除 Active Directory 对象（例如用户帐户）时，删除的对象将被发送到 Active Directory“已删除对象文件夹”，但大多数对象属性将被删除（已删除）。

如果我们设法恢复逻辑删除对象，“附加”到该对象的所有信息，例如密码、电子邮件地址、电话号码、组成员身份等，无法恢复！

2.没有用于恢复墓碑对象的内置接口

此外，Active Directory不包含我们可以用来从 Active Directory“已删除对象”文件夹中“获取”逻辑删除对象的“内置工具”。 ”

在下一篇文章中，我们将回顾一些可以使用的工具，例如 LDP.EXE。但是，LDP.EXE 实用程序并不是作为恢复逻辑删除对象的专用工具而创建的，而且我们使用这些工具的方式相当复杂。
使用逻辑删除对象的缺点是，Active Directory 回收站功能旨在改进和完善 Active Directory“已删除对象文件夹”基础结构。

当我们激活Active Directory回收站时，每次删除用户帐户等对象时，该对象将继续保留在Active Directory“已删除对象文件夹”中b，但这一次，所有对象属性都被保留。

在我们恢复已删除的 Active Directory 用户帐户的情况下，用户帐户将恢复其“完整属性”，例如密码、电子邮件地址、电话号码、组成员资格等。

值得一提的是，Active Directory 回收站功能默认情况下未激活（启用）。

Active Directory 回收站管理界面

Active Directory 回收站功能为我们提供了“工具”，用于从“已删除对象文件夹”实施所需的恢复过程。 ”

• 情况 1 - 如果您的域控制器是 - Windows 2008 R2 服务器，则我们用于从“已删除对象”文件夹中恢复已删除对象的 Active Directory 回收站“工具”是 - PowerShell 命令。换句话说，恢复过程是通过命令行界面实现的。
• 情况 2 - 如果您的域控制器是 - Windows 2012 服务器，Active Directory 回收站提供图形界面，用于从“已删除对象”文件夹中恢复已删除的对象。 ”

关于恢复 Active Directory 已删除对象的首选选项是什么？

如前所述，恢复已删除的 Active Directory 对象的需要可以通过使用以下选项之一来实现：

• 逻辑删除对象（如果未启用 Active Directory 回收站）。
• Active Directory 回收站。

问题1：关于恢复 Active Directory 已删除对象的主题，首选选项是什么？

A1：让我们简单一点 - 使用 Active Directory 回收站来恢复已删除（软删除）对象是首选。

那么，为什么我要花这么多时间在恢复逻辑删除对象的主题上呢？

与最复杂的 Active Directory 回收站方法相比，使用逻辑删除对象恢复已删除的 Active Directory 对象的选项有点原始！

简单的答案是，有时；这是我们唯一的选择！

如果我们没有启用 Active Directory 回收站选项，并且必须恢复已删除的 Active Directory 对象，唯一的选择是 - 使用逻辑删除对象选项。

图表决策

让我们开始回顾一下。

如果我们需要恢复已删除（软删除）的 Active Directory 对象（例如用户帐户），首选选项是使用 Active Directory 回收站。

如果 Active Directory 回收站未激活，我们需要使用逻辑删除对象选项来恢复已删除的对象。

Active Directory 回收站未启用

在接下来的文章中——

• 如何使用LDP.EXE 恢复Active Directory 删除的用户帐户（Active Directory 回收站未启用） |第 2#4 条 |第 14 部分#23
• 如何使用 AdRestore、AdRestore.net 和 LEX（LDAP 资源管理器）恢复 Active Directory 已删除的用户帐户（Active Directory 回收站未启用）第 3#4 条 |第 15 部分#23

我们将回顾如何在未启用 Active Directory 回收站的情况下使用各种工具来恢复已删除的 Active Directory 对象。

我们将审查三个可用选项

1. 活动目录 LDP.exe
2. Sysinternals 实用程序名为 AdRestore 及其图形版本。
3. 名为 LEX 的第三方免费实用程序，即 LDAP Explorer。

Active Directory 回收站已启用

我们将回顾使用以下选项恢复 Active Directory 已删除对象的过程：

1. PowerShell 命令。
2. Windows 2012 服务器版本 - 图形界面。

在文章中 - 如何使用 Active Directory 回收站恢复 Active Directory 已删除的用户帐户 |第 4#4 条 |第 16#23 部分，我们将回顾如何使用 Active Directory 回收站恢复 Active Directory 删除的对象。

如何知道我的 Active Directory 域是否有 Active Directory 回收站？

如前所述，Active Directory 回收站需要手动启用（默认情况下不激活）。

您脑海中可能出现的核心问题是 - 我如何知道我的 Active Directory 域是否有 Active Directory 回收站？

我们可以使用两个选项来获得这个问题的答案：

选项 1 - 使用 PowerShell 命令 Get-ADOptionalFeature

使用PowerShell命令Get-ADOptionalFeature，我们可以验证Active Directory回收站的选项是否被激活。

我们需要使用的语法是 Get-ADOptionalFeature -Filter ‘name -like “Recycle Bin Feature”’

此 PowerShell 命令的输出将显示一些与 Active Directory 回收站功能相关的详细信息。

我们正在寻找的特定属性名为 - EnabledScopes

• 如果属性 - EnabledScopes 为“空”，则表示 Active Directory 回收站未激活。
• 如果属性 - EnabledScopes 已“填充”，则表示 Active Directory 回收站已激活。

在下面的屏幕截图中，我们可以看到 Get-ADOptionalFeature 命令的输出示例。

在以下示例中，Active Directory 林/域包括 Active Directory 回收站。

在以下示例中，Active Directory 林/域不包括 Active Directory 回收站。我们可以看到回收站未启用，因为 EnabledScopes 属性为“空”。

选项 2 - 使用 Active Directory 管理中心

另一种选择（也是更简单的一种）是使用 Active Directory 管理中心工具。

当我们选择域名（在我们的示例中为o365info local）时，我们可以在“右窗格”中看到Active Directory回收站的状态。

在我们的示例中，我们可以看到名为 - 启用回收站... 的选项不可用（呈灰色）。含义是 - Active Directory 回收站已启用。

在我们的示例中，我们可以看到名为 - 启用回收站... 可用的选项。含义是 - Active Directory 回收站未启用。

使用逻辑删除对象与使用 Active Directory 回收站还原 Active Directory 用户

在本节中，我想回顾一下我们在前面几节中回顾的所有信息。

在 Active Directory 回收站未启用的情况下，我们始终可以使用恢复已删除的 Active Directory 对象（逻辑删除对象）的选项，但我们需要使用合适的“工具”来恢复已删除的 Active Directory 对象（逻辑删除对象）。实施恢复过程。
在我们恢复软删除对象后，“恢复的对象（例如用户帐户）”将仅包括有限的“恢复的属性”，例如原始 GUID、SID 和名称值。

为了能够利用 Active Directory 回收站的优势，我们需要提前激活 Active Directory 回收站选项。

使用逻辑删除对象恢复 Active Directory 用户逻辑删除对象

使用逻辑删除对象恢复已删除的 Active Directory 对象的主要原因是我们需要恢复 Active Directory 对象，而 Active Directory 回收站未启用。

在这种情况下，我们需要使用 LDP.exe Active Directory 实用程序或其他第三方还原实用程序。

大多数有关已删除对象的信息将无法恢复！

使用 Active Directory 回收站恢复 Active Directory 用户

正如多次提到的，此方法是首选选项，因为在启用了 Active Directory 回收站的情况下，恢复过程可以简单地实现，而不需要“特殊工具”。
此外，恢复的对象将包括附加到 Active Directory 对象的所有“原始属性”，例如密码、组成员身份、用户信息等。

当前文章系列的下一篇文章

如何使用LDP.EXE 恢复Active Directory 删除的用户帐户（Active Directory 回收站未启用） |第 2#4 条 |第 14 部分#23