如何使用 AdRestore、AdRestore.net 和 LEX（LDAP 资源管理器）恢复 Active Directory 已删除的用户帐户（Active Directory 回收站未启用）第 3#4 条 |第 15 部分#23

在本文中，我们将回顾在未启用（激活）Active Directory 回收站的情况下恢复已删除的 Active Directory 用户的过程。

在上一篇文章中，我们回顾了使用名为 LDP.EXE 的内置 Windows 服务器工具的恢复过程。

在当前文章中，我们回顾如何使用第三方实用程序（非 Microsoft 软件）恢复 Active Directory 删除的对象。

这些工具的主要优点是：

• 如果我们没有启用（激活）Active Directory 回收站选项；我们仍然能够恢复软删除的 Active Directory 对象，例如“用户帐户”。 ”
• 使用这些“工具”（尤其是提供图形界面的工具）的界面和恢复过程，被认为比使用 LDP.EXE 工具更容易或更用户友好。

在本文中，我们回顾了以下工具：

1. AdRestore - 由 Mark Russinovich (Sysinternals) 创建的漂亮而简单的命令工具
2. AdRestore.net - 由 Gil Kirkpatrick 编写的 AdRestore 实用程序的精美图形版本。
3. LEX - LDAP 浏览器 - 我发现的免费且非常有用的图形实用程序。

通过实施 - 恢复 Active Directory 逻辑删除对象来恢复 Active Directory 对象

只是简单提醒一下 Active Directory 已删除对象存储的概念。

恢复 Active Directory 已删除对象的能力是通过内置 Active Directory 机制实现的，该机制被描述为 - Active Directory 已删除对象 存储。

在 Active Directory 环境中，当对象被删除时，该对象不会被永久删除。相反，如果 Active Directory 回收站未启用，“已删除的对象” ” 将存储在名为 - 已删除对象 的特殊 Active Directory 文件夹中。

除了一组非常有限的属性（例如 GUID、SID 和名称）之外，“已删除对象”的大多数属性都将被删除（剥离）。

删除的对象将被视为“软删除”。 ” 描述软删除对象身份的另一个技术术语 - 墓碑对象。

我们恢复墓碑对象的过程被描述为 - 复活。

在下一节中，我们将演示如何使用 LDP.EXE 工具来实现“Reanimating Active Directory Tombstone Object”（恢复软删除的 Active Directory 对象）的概念。

1#3|使用 AdRestore 命令行工具恢复 Active Directory 用户帐户

在以下部分中，我们将演示如何使用 AdRestore 命令行工具实用程序来恢复软删除的 Active Directory 用户帐户。

场景描述

• Lady Gaga 是在名为“著名歌手”的 Active Directory 组织单位中创建的组织用户（Active Directory 用户）。
• Lady Gaga Active Directory 用户帐户已删除！

使命

恢复Lady Gaga Active Directory 用户帐户！

解决方案

我们将使用 AdRestore 实用程序来：

• 查看 Active Directory 的内容已删除对象
• 找到特定的软删除用户帐户（Lady Gaga 用户帐户）。
• 将软删除的用户帐户恢复到其原始组织单位。

第一步

• 下载 AdRestore 实用程序
• AdRestore 工具只是一个命令行可执行文件（无需安装）。
• 使用AdRestore工具，我们只需要打开命令提示符并访问AdRestore工具存储的路径即可。

鉴于我们提供了 AdRestore 工具的路径，当我们输入可执行文件的名称 - AdRestore 时，AdRestore 工具会自动显示存储在 AdRestore 中的所有软删除对象（逻辑删除对象）的列表。 Active Directory 文件夹名为 - 已删除对象。

在我们的示例中，Active Directory 文件夹 - 已删除对象仅包含两个软删除用户帐户。

AdRestore 工具提供的唯一参数是“-r”（恢复）。
如果我们添加“-r”参数，AdRestore 工具将启动自动恢复过程，在此过程中他将“循环”现有的软删除列表，并尝试恢复每个软删除对象。对于列表中出现的每个软删除对象，AdRestore 工具将要求确认恢复软删除对象。

在我们的示例中，我们不会批准恢复过程（我们选择“n”字母表示“否”），因为我们只需要恢复特定的软删除 Active Directory 用户帐户（Lady Gaga用户帐户）。

如果我们只想恢复特定的软删除对象，我们将使用以下语法：

AdRestore -r

在我们的示例中，我们要求恢复名为：lady 的用户的软删除 Active Directory 用户帐户

在下面的屏幕截图中，我们可以看到恢复过程已成功完成。

处理以下场景：多个具有“相同身份”的软删除用户帐户

在本节中，我想涉及一个复杂的场景，其中我们需要恢复软删除的用户帐户，但“问题”是 Active Directory 已删除对象 存储 包括两个（或更多）看似相同的用户帐户。

如果 Active Directory 用户帐户被删除并创建了几次，则可能会出现这种情况。

例如，

• Active Directory 用户被创建，然后被删除（软删除）。
• 一段时间后，将再次创建具有相同显示名称和电子邮件地址的 Active Directory 用户作为新的 Active Directory 用户。
• 一段时间后，新的 Active Directory 用户帐户将被删除。

在这种情况下，Active Directory 回收站将包含两个看似相同的用户帐户。

我使用“看似相同”一词，因为两个软删除用户帐户具有相同的显示名称、电子邮件地址，但不相同！

看似相同的软删除用户帐户之间的“真正差异”是：

1. 唯一标识符 - GUID 和 SID 值。
2. 创建和更新值 - “创建日期” (WhenCreated) 和“删除日期” (WhenChanged)。

注意 - 请注意，Active Directory 不使用特定的属性，例如“删除时”。
相反，“告诉我们”对象何时被删除的属性是 - 何时更改。

为了能够演示这种情况，让我们使用以下场景：

• Lady 是在名为“著名歌手” 的 Active Directory 组织单位中创建的组织用户（Active Directory 用户）。
• Lady Active Directory 用户帐户已删除！
• 一段时间后，Active Directory 管理员为Lady 创建一个新的 Active Directory 用户帐户，其详细信息与之前删除的用户帐户相同，例如 - 相同的显示名称、电子邮件地址等等。
• 一段时间后，新Lady Active Directory 用户帐户被删除！

在下面的屏幕截图中，我们可以看到两个看似相同的用户帐户。

AdRestore 工具的缺点是它提供了非常少的软删除对象属性集。

“缺失”属性的一个示例是“创建日期”(WhenCreated) 和“删除日期”(WhenChanged)。

在这种情况下，我们需要使用另一个恢复软删除的 Active Directory 对象的工具。也就是说，我们无法在这种“恢复复杂”的场景中使用AdRestore工具。 ”

2#3 |使用 AdRestore.NET 恢复 Active Directory 用户帐户

在以下部分中，我们将演示如何使用 AdRestore.NET 实用程序来恢复软删除的 Active Directory 用户帐户。

AdRestore.NET 的主要优点是该工具提供了图形界面，可以显着改进查找和重新启动软删除 Active Directory 对象的过程。此外，此工具还提供有关软删除属性的附加信息，例如属性 - WhenCreated。

场景描述

• 布兰妮·斯皮尔斯是在名为“著名歌手”的 Active Directory 组织单位中创建的组织用户（Active Directory 用户）。
• 布兰妮·斯皮尔斯Active Directory 用户帐户已被删除！

使命

恢复布兰妮·斯皮尔斯Active Directory 用户帐户！

解决方案

我们将使用 AdRestore.NET 实用程序来：

• 查看 Active Directory 的内容已删除对象
• 找到特定的软删除用户帐户（Britney Spears用户帐户）。
• 将软删除的用户帐户恢复到其原始组织单位。

第一步

据我所知，下载 AdRestore.net 实用程序的链接不再有效。

我在文章 - 恢复已删除的 Active Directory 用户帐户并恢复 Server 2008 和 Exchange 2010 中的邮箱中找到了“下载链接”

为了能够查看 Active Directory 文件夹的内容 - 已删除的对象，请单击
枚举逻辑删除 按钮。

在下面的屏幕截图中，我们可以看到现有软删除对象的列表

在我们的场景中，我们希望恢复名为 - Britney 的用户的软删除用户帐户

我们需要选择特定的用户帐户（数字 1），然后单击 恢复对象 按钮（数字 2）。

用户帐户已成功恢复。

我们可以看到恢复的用户帐户从软删除对象列表中“消失”。

在下面的屏幕截图中，我们可以看到 - Britney 用户帐户已成功恢复到其原始组织单位，现在，Britney 被视为“活跃用户帐户”。 ”

处理以下场景：多个具有“相同身份”的软删除用户帐户

在本节中，我想涉及一个复杂的场景，其中我们需要恢复软删除的用户帐户，但“问题”是 Active Directory 已删除对象 存储 包括两个（或更多）看似相同的用户帐户。

上一节描述了这种类型的场景。

好消息是，ADRestore.NET 工具“知道”如何显示有关软删除对象的附加信息，这将帮助我们处理拥有两个（或更多）看似相同的用户帐户的复杂场景。

使命

在我们的示例中，有两个“Britney 软删除用户帐户”。
我们的任务是 - 恢复原始 Britney 用户帐户，即 - Britney Active Directory 用户帐户，在稍后创建的“附加布兰妮用户帐户”之前创建。

在下面的屏幕截图中，我们可以看到，在此示例中，有两个“软删除”用户帐户“看起来相同”。 ”

为了能够找到“原始 Active Directory 用户帐户”，我们将查看每个软删除对象的属性。

为了能够识别哪个是“原始用户帐户”，我们将使用存储在属性中的值 - WhenCreated。

我们查看标记为“数字 1”的“布兰妮软删除用户帐户”的属性。

用户帐户创建日期（创建时间）为 - 10/10/2016 10:08:58 AM

当我们查看标记为 - Number 2 的“Britney软删除用户帐户”的属性时，我们可以看到用户帐户创建的日期（WhenCreated）是 - 10/10/2016 10:00:46 上午

含义是这个用户帐户（数字2）是在前一个用户帐户（数字1）之前创建的，结论是这个软删除的用户帐户是“原始用户帐户”。 ”

3#3|使用 LEX（LDAP 浏览器）恢复 Active Directory 用户帐户

在以下部分中，我们将演示如何使用LEX（LDAP 浏览器实用程序）来恢复软删除的 Active Directory 用户帐户。

场景描述

• Miley Cyrus 是在名为“著名歌手”的 Active Directory 组织单位中创建的组织用户（Active Directory 用户）。
• Miley CyrusActive Directory 用户帐户已删除！

使命

恢复Miley CyrusActive Directory 用户帐户！

解决方案

我们将使用 LEX - LDAP 浏览器实用程序来：

• 查看 Active Directory 的内容已删除对象
• 找到特定的软删除用户帐户（Miley Cyrus 用户帐户）。
• 将软删除的用户帐户恢复到其原始组织单位。

使命

恢复Miley CyrusActive Directory 用户帐户！

第一步

• 下载 LEX - LDAP 浏览器实用程序

在下面的屏幕截图中，我们可以看到 LEX - LDAP 资源管理器显示了现有 Active Directory 组织单位的列表。
“问题”是，通过使用 LEX - LDAP 资源管理器，我们可以看到“附加”默认情况下隐藏的组织单位 - 已删除对象组织单位。

LEX - LDAP 浏览器实用程序的另一个有趣的功能是，“已删除对象”列表包括有关软删除 Active Directory 对象以及“硬删除”Active Directory 对象的信息。

• 如果属性 IsDeleted 值为 TRUE，则 Active Directory 对象被视为软删除对象
• 如果属性 - IsDeleted 值为 TRUE 并且属性 - isRecycled 也为 TRUE，则 Active Directory 对象被视为硬删除对象（不可恢复）

有关“硬删除”Active Directory 对象的信息仅供一般信息使用，因为我们无法恢复被视为“硬删除”的 Active Directory 对象。

如果我们想要创建更舒适的软删除对象视图，我们可以使用过滤 选项。

要恢复特定的软删除用户帐户，我们需要：

• 选择您需要恢复的用户帐户名
• 选择选项：恢复原始容器中的对象

在下面的截图中，我们可以看到用户帐户已成功恢复！

LEX - LDAP 资源管理器实用程序的另一个不错的功能是能够更改 Active Directory 为逻辑删除对象分配的默认值。

选择设置图标时，我们可以看到配置屏幕，使我们能够设置
默认逻辑删除生命周期。

在下面的屏幕截图中，我们可以看到 - Miley 用户帐户已成功恢复到其原始组织单位，现在，Miley 被视为“活跃用户帐户”。

当前文章系列的下一篇文章

如何使用 Active Directory 回收站恢复 Active Directory 删除的用户帐户 |第 4#4 条 |第 16 部分#23