如何使用 Active Directory 回收站恢复 Active Directory 删除的用户帐户 |第 4#4 条 |第 16 部分#23

在本文中，我们回顾了使用 Active Directory 回收站恢复已删除的用户帐户的过程。从技术上讲，Active Directory 回收站可用于恢复任何类型的“Active Directory 对象”，例如用户帐户、计算机帐户、组帐户等。

本文的目的是重点介绍我们用于恢复 Active Directory 用户帐户的过程。

Active Directory 回收站 |什么意思？

关于 Active Directory 回收站最常见的误解之一是，Active Directory 回收站的目的是创建一个“专用存储”，用于存储 Active Directory 已删除的对象，并作为恢复已删除的 Active Directory 的机制对象处于活动状态。

我将这种假设定义为“误解”，因为 Active Directory 有一个“专用存储”，即使 Active Directory 回收站未激活，该存储也将用于存储 Active Directory 删除的对象。 （默认情况下未启用 Active Directory 回收站）。

换句话说，我们不需要 Active Directory 回收站来存储已删除的 Active Directory 对象。

Q1：那么，Active Directory回收站的实际需求是什么？

A1：正如之前的文章中提到的，Active Directory“知道”如何将已删除的 Active Directory 对象保存在名为 - 已删除对象 的隐藏文件夹中 文件夹。 “问题”是，当我们删除 Active Directory 对象并将对象“发送”到 已删除对象 文件夹时，大多数已删除对象属性都没有保存。
此外，Active Directory不包含内置工具，可以帮助我们在必要时恢复已删除的对象（访问已删除的对象 文件夹并“获取”软删除对象）。
启用 Active Directory 回收站后，“已删除 Active Directory 对象管理”显着改进。

1. 保存有关软删除的 Active Directory 对象的完整信息。

当一个Active Directory对象被删除时，“已删除对象”保存在“已删除对象”文件夹中，但现在，已删除对象的所有属性都保留了。

2.恢复界面

Active Directory 回收站提供了“工具”，帮助我们访问已删除对象文件夹存储并恢复所需的软删除对象。

Active Directory 回收站的不同接口

我们用于实现恢复软删除对象任务的Active Directory回收站“接口”取决于Windows服务器操作系统版本。

Windows Server 版本 2008 R2

如果服务器版本是Windows 2008 R2，当我们启用Active Directory回收站选项后，名为Restore-ADObject的特定PowerShell命令“激活”。此 PowerShell 命令的目的是帮助我们从“已删除对象”文件夹中“拉出”软删除的 Active Directory 对象，并将它们恢复到原始位置（组织单位）。

Window Server 2012 和高级 Windows Server 版本

好消息是 Window Server 2012 版和高级 Windows Server 版本包含用于管理 Active Directory 回收站的图形界面。

虽然 PowerShell 界面具有更强大的选项，但大多数时候，该选项存在于图形界面中将“完成工作”。

• 在本文的第一部分中，我们回顾了通过 PowerShell 界面进行的 Active Directory 回收站管理。
• 在本文的第二部分中，我们通过图形界面回顾Active Directory回收站管理。

使用 PowerShell 管理 Active Directory 回收站

在本部分中，我们将回顾如何通过 PowerShell 命令使用 Active Directory 回收站来还原软删除的 Active Directory 对象。

Active Directory 回收站 |两个主要的 PowerShell 命令

通过 PowerShell 命令管理 Active Directory 回收站是通过使用
两个主要 cmdlet 来实现的：Get-ADObject 和 Restore-ADObject。

PowerShell cmdlet Get-ADObject 与 Active Directory 回收站不直接相关，而是用于获取有关任何类型的 Active Directory 对象的信息。

默认情况下，Restore-ADObject PowerShell 命令将显示实时 Active Directory 对象。

如果我们想要显示 Active Directory 回收站的内容，我们需要添加一个附加参数：-includeDeletedObjects

Active Directory 回收站 PowerShell cmdlet 对的第二部分是 PowerShell 命令：Restore-ADObject

顾名思义，PowerShell 命令 Restore-ADObject 将从“已删除对象”文件夹中拉出已删除的对象，并将该对象恢复到“活动对象列表”。

换句话说，我们可以说，使用Active Directory回收站时的恢复过程的实现是通过PowerShell命令Restore-ADObject来实现的。

一个有趣的事实是，即使我们没有启用（激活）Active Directory 回收站，PowerShell 命令 Restore-ADObject 作为 Active Directory PowerShell 命令的一部分在每个域控制器上都可用。

一个有趣的问题可能是，在未启用 Active Directory 回收站的情况下会发生什么，但我们尝试使用 Restore-ADObject 来恢复存储在的软删除 Active Directory 对象已删除的对象文件夹？

答案出现在下面的截图中：

在我们的示例中，我们尝试在未启用 Active Directory 回收站的 Active Directory 域上使用 Restore-ADObject。

我们使用PowerShell命令Restore-ADObject来恢复软删除的对象GUID（全局唯一标识符），然后尝试使用以下PowerShell命令语法：

Restore-ADObject -identity 40b5e14a-1e12-469d-92fe-10a9463519db

结果出现以下错误：

Restore-ADObject：非法修改操作。某些方面的修改是不允许的

该错误不够明确，但简单来说，该错误试图告诉我们，Active Directory 回收站未激活，因此，我们无法使用 Restore-ADObject PowerShell 命令。

使用 Get-ADObject 和 Restore-ADObject PowerShell 命令恢复软删除的 Active Directory 对象。

示例 1 - 显示有关所有已删除对象的信息

在此示例中，我们希望根据以下要求过滤有关已删除 Active Directory 对象的结果：

• 显示有关已删除的 Active Directory 对象的信息。

• 使用以下参数过滤结果：

  • 仅显示 Active Directory“已删除对象”文件夹的内容。

为了指示 Get-ADObject 命令显示“已删除”的 Active Directory 对象，我们使用过滤器选项。我们定义一个过滤器，它将仅获取其属性“deleted”包含值“$true”的 Active Directory 对象。 ”

PowerShell 语法示例

Get-ADObject -Filter {Deleted -eq $true } -includeDeletedObjects

在下面的屏幕截图中，我们可以看到结果。我们可以看到 Get-ADObject 命令显示软删除对象的默认设置属性。请注意，软删除的 Active Directory 对象具有默认情况下不显示的其他属性。

如果我们仔细观察特定的“软删除”对象，我们可以看到“Deleted”属性设置为“True”。

这是 Active Directory 将 Active Directory 对象“标记”为“已删除”的方式。

示例 2 - 显示有关所有已删除对象的信息 + 显示所有属性

在此示例中，我们希望根据以下要求过滤有关已删除 Active Directory 对象的结果：

• 显示有关已删除的 Active Directory 对象的信息。

• 使用以下参数过滤结果：

  • 显示有关所有 Active Directory 已删除对象类型（用户帐户、计算机帐户等）的信息。

PowerShell 语法示例

Get-ADObject -Filter {Deleted -eq $true } -includeDeletedObjects -Properties *

在下面的屏幕截图中，我们可以看到现在显示了有关软删除对象的信息以及所有可用的属性。

示例 3 - 显示有关用户帐户的信息“已删除的对象 + 显示选定的属性集

在此示例中，我们希望根据以下要求过滤有关已删除 Active Directory 对象的结果：

• 显示有关已删除的 Active Directory 对象的信息。

• 使用以下参数过滤结果：

  • 仅显示分类为“用户帐户”的对象。

PowerShell 语法示例

Get-ADObject -Filter {Deleted -eq $true -and ObjectClass -eq "user"} -includeDeletedObjects -Properties * | FL sAMAccountName,UserPrincipalName,DisplayName,ObjectGUID,WhenCreated,WhenChanged,Deleted

示例 4 - 显示有关特定已删除用户帐户（SAM 名称）的信息 + 显示选定的一组属性

在此示例中，我们希望根据以下要求过滤有关已删除 Active Directory 对象的结果：

• 显示有关已删除的 Active Directory 对象的信息。

• 使用以下参数过滤结果：

  • 显示特定已删除用户的信息。我们将通过证明用户的SAM帐户来引用该用户

PowerShell 语法示例

Get-ADObject -Filter {sAMAccountName -eq "Selena"} -includeDeletedObjects -Properties * | FL sAMAccountName,UserPrincipalName,DisplayName,ObjectGUID,WhenCreated,WhenChanged,Deleted

示例 5 - 显示有关特定已删除用户帐户的信息（GUID 值）+ 显示选定的一组属性

在此示例中，我们希望根据以下要求过滤有关已删除 Active Directory 对象的结果：

• 显示有关已删除的 Active Directory 对象的信息。

• 使用以下参数过滤结果：

  • 显示有关特定已删除用户的信息。我们将通过证明用户的 GUID 值来引用该用户。

PowerShell 语法示例

Get-ADObject -Filter {ObjectGUID -eq " 910b2cd7-b638-4c8c-a265-fd3892c48a49"} -includeDeletedObjects -Properties * | FL sAMAccountName,UserPrincipalName,DisplayName,ObjectGUID,WhenCreated,WhenChanged,Deleted

恢复软删除的对象

“恢复过程”大多数时候是通过使用两个 PowerShell 命令的组合来实现的：Get-ADObject + Restore-ADObject

示例 1 - 恢复特定的软删除用户帐户 |使用用户的 sAMAccountName 值引用该用户。

在此示例中，我们希望从 Active Directory 回收站恢复一个专门删除的用户帐户。我们将使用用户SAM 帐户名来引用已删除的用户帐户。

我们将使用的 PowerShell 命令组合将实现以下任务：

• 从 Active Directory 回收站中获取专门删除的用户帐户，
• 通过使用 PowerShell 命令 Get-ADObject + Filter 将查找其 SAM 名称为 Selena 的对象。
• 将用户帐户恢复到其原始组织单位的“活动状态”（通过使用 PowerShell 命令 Restore-ADObject）。

PowerShell 语法示例

Get-ADObject -Filter {sAMAccountName -eq "Selena"} -includeDeletedObjects | Restore-ADObject

示例 2 - 恢复特定的软删除用户帐户 |使用 GUID 值引用用户。

在此示例中，我们希望从 Active Directory 回收站恢复一个专门删除的用户帐户。我们将使用用户 GUID 引用已删除的用户帐户。

我们将使用的 PowerShell 命令组合将实现以下任务：

步骤1#2

• 获取名为 Selena 的用户的软删除用户帐户的 GUID 值。

步骤2#2

• 使用用户的 GUID 值解决软删除用户帐户的问题。将软删除的用户帐户恢复到“活动状态”，返回到其原始组织单位（通过使用 PowerShell 命令 Restore-ADObject）。

阶段 1#2 - 获取专门删除的用户帐户的 GUID 值

PowerShell 语法示例

Get-ADObject -Filter {sAMAccountName -eq "Selena"} -includeDeletedObjects -Properties * | FL sAMAccountName,UserPrincipalName,DisplayName,ObjectGUID,WhenCreated,WhenChanged,Deleted

阶段 2#2 - 使用 GUID 值引用特定已删除的用户帐户 + 恢复用户帐户

PowerShell 语法示例

Get-ADObject -Filter {ObjectGUID -eq "910b2cd7-b638-4c8c-a265-fd3892c48a49"} -includeDeletedObjects | Restore-ADObject

删除软删除的对象（硬删除）

我想查看的另一个选项（虽然很少见）是使用 PowerShell 命令从 Active Directory 回收站中删除已删除对象的选项。

换句话说，删除软删除对象。

定义这种情况的技术术语是“硬删除”。

如果我们执行“硬删除”软删除对象，该对象将被视为“不可恢复”。 ”

为了能够删除软删除的 Active Directory 对象，我们将使用 PowerShell 命令：Remove-ADObject

示例 1 - 删除（硬删除）已删除的用户帐户。

阶段 1#2 - 显示有关软删除用户帐户的信息

在此阶段，我们希望获得现有软删除用户帐户的列表。

PowerShell 语法示例：

Get-ADObject -Filter {Deleted -eq $true -and ObjectClass -eq "user"} -includeDeletedObjects -Properties *

在下面的屏幕截图中，我们可以看到现有软删除用户帐户的列表。
请注意，该列表包含有关名为 - Katy 的软删除用户帐户的信息。

在下一阶段，我们将从 Active Directory 回收站中删除 Katy 用户帐户。

阶段 2#2 - 删除软删除的用户帐户

在此步骤中，我们要删除有关名为 - Katy 的软删除用户帐户的信息

PowerShell 语法示例：

Get-ADObject -Filter {Deleted -eq $true -and sAMAccountName -eq "Katy"} -includeDeletedObjects | Remove-ADObject -Confirm:$false

在下面的屏幕截图中，我们可以看到结果。我们可以看到软删除用户帐户的列表，但 Katy 的名字没有出现。

示例 2 - 删除（硬删除）所有已删除的用户帐户（批量模式）。

在这种情况下，我们希望通过删除\删除所有现有的软删除对象来“清除”Active Directory 回收站的内容。

我们将分两个阶段实施这项任务：

阶段 1#2 - 显示有关软删除对象的信息

在此阶段，我们希望获得现有软删除用户帐户的列表。

PowerShell 语法示例：

Get-ADObject -Filter {Deleted -eq $true -and ObjectClass -eq "user"} -includeDeletedObjects -Properties * | FL Name

请注意，我们要求仅显示已删除的对象及其“name”属性。

在下面的屏幕截图中，我们可以看到软删除的用户对象的列表。

我们可以看到每个软删除的 Active Directory 对象的名称中都包含字符串“DEL”。

在下一阶段，我们将使用这个“字符”来“引用”存储在 Active Directory 回收站中的所有软删除对象。

在下面的屏幕截图中，我们可以看到现有软删除用户帐户的列表：

第 2#2 阶段 - 删除所有现有的软删除用户帐户（清理 Active Directory 回收站）。

在此步骤中，我们要求获取名称中出现字符串“DEL”的所有现有软删除帐户的列表，然后将输出通过管道传输到将删除这些对象的 PowerShell 命令。

PowerShell 语法示例：

Get-ADObject -Filter {Deleted -eq $true -and name -like "*DEL:*"} -includeDeletedObjects | Remove-ADObject -Confirm:$false

在下面的屏幕截图中，我们可以看到“remove”PowerShell命令没有提供有关删除过程的任何信息。

我们可以用来验证软删除对象是否已从 Active Directory 回收站中删除的唯一方法是 - 再次使用命令显示软删除对象并验证是否仍然存在此类对象。

在从下面的截图中，我们可以看到Active Directory回收站是“空的”。意思是我们设法删除了Active Directory回收站中存储的所有软删除对象。

通过图形界面使用 Active Directory 回收站（Windows 2012 及更高版本）。

在本节中，我们将回顾如何使用 Windows 2012 Server 及更高版本上提供的 Active Directory 回收站图形界面。

基本假设是 Active Directory 回收站已经“激活”（启用）。

如果您需要有关如何启用 Active Directory 回收站主题的更多信息，您可以阅读文章 - 步骤 1：启用 Active Directory 回收站

Active Directory 回收站图形界面可通过Active Directory 管理中心访问。

• 在 Windows 服务器2012 上，启动服务器管理器。。强>
• 选择工具菜单，然后选择Active Directory 管理中心