轻松启用 Active Directory 回收站 |广告回收站

在本文中，您将了解如何在 Windows Server 中启用 Active Directory 回收站功能。 AD 回收站有助于恢复意外删除的目录对象。

当您意外删除 AD 对象并需要恢复它时，AD 回收站会派上用场。我将介绍两种启用 AD 回收站功能的方法 - PowerShell 和服务器 GUI。

假设在 Active Directory 环境中工作的系统管理员意外删除了 Active Directory 中的任何对象。此类错误的影响可能包括最终用户生产力下降和网络功能损坏等。

在 Windows Server 2008 AD DS 中，您可以通过逻辑删除恢复来恢复已删除的 Active Directory 对象。但是，物理删除的复活对象链接值属性和清除的非链接值属性将无法恢复。

管理员很难恢复已删除的对象。因此，管理员不能依赖逻辑删除恢复作为意外删除对象的最终解决方案。

Active Directory 回收站允许您立即恢复对象，而无需使用系统状态备份。在恢复任何已删除的对象之前，必须首先启用 Active Directory 回收站。

什么是 Active Directory 回收站功能

Active Directory 回收站可帮助管理员恢复意外删除的目录对象。最初，Windows Server 环境中的 AD 回收站对于某些管理员来说很困难。

这是因为在 AD 中启用和使用回收站功能只能从命令行执行，可以使用 Ldp.exe 实用程序或使用 Windows PowerShell cmdlet。

在最新的 Windows Server 版本中，您可以使用基于 GUI 的 Active Directory 管理中心来启用 AD 回收站和恢复已删除的对象。

Active Directory 对象状态

在启用 AD 回收站之前，我们先了解一下 Active Directory 对象状态。在 Active Directory 环境中启用 AD 回收站功能时，目录对象可以处于以下四种状态之一。

1. 活动对象状态 - 假设您为某个用户创建了一个用户帐户，并且该用户现在已使用此帐户登录。用户帐户用于登录计算机，或者用于从网络访问资源。对象的这种状态称为对象活动状态。
2. 已删除对象状态 - 当您从 Active Directory 中删除对象时，该对象将移至已删除对象容器中。但对象的链接值和非链接值属性仍然保留。如果您已经打开了 Active Directory 回收站，则可以通过从 AD 回收站恢复该对象来恢复该对象。并且如果被删除对象的生命周期尚未到期。默认情况下，已删除对象的生存期配置为 180 天。如果对象处于删除状态，您可以将对象恢复到 Active Directory，并且对象将进入活动状态。
3. 回收对象状态 - 在回收状态下，对象保留在“已删除对象”容器中，但其大部分属性现已被剥离。当对象处于回收状态时，您无法从 AD 回收站或通过执行其他步骤（例如重新激活 Active Directory 逻辑删除对象）来还原该对象。
4. 已删除对象状态 - 一旦回收对象的生命周期到期，AD 垃圾收集过程就会开始，从数据库中删除先前删除的对象的剩余部分。

Active Directory 回收站要求

在 Windows 服务器上启用 AD 回收站功能之前，需要满足以下一些先决条件。

• 将您的架构扩展到 Windows Server 2008 R2。
• 您的林中仅拥有 Windows Server 2008 R2 DC 及更高版本。
• 提高您的域功能级别。
• 提高森林的功能水平。

提升 AD 回收站的林功能级别

最重要的是，林功能级别应该是Windows Server 2008 R2 或更高。这意味着林中的所有域控制器都必须运行 Windows Server 2008 R2 或更高版本。

下面的屏幕截图显示了如何提高 AD 回收站的林功能级别。如果您的林功能级别是Windows Server 2008 R2 或更高，则可以跳过此步骤。

启动服务器管理器并单击工具，然后选择Active Directory 管理中心。右键单击左侧窗格中的目标域，然后选择提升林功能级别。

在下面的示例中，Active Directory 林功能级别已经是 Windows Server 2012 R2。仅当您的组织林功能级别低于 Windows Server 2008 R2 时，才必须执行此任务。

检查林功能级别

要使用 PowerShell 命令检查组织当前的林功能级别，请在 Windows PowerShell 的 AD 模块中执行以下命令。

Get-ADForest -Identity Prajwal.local

使用 PowerShell 提升林功能级别

如果您希望使用 PowerShell 命令提升林功能级别，请启动 Windows PowerShell 的 Active Directory 模块并执行以下命令。

Set-ADForestMode 6 -Identity PRAJWAL.LOCAL (6 - If you want to raise the forest functional level to Windows Server 2012 R2)

Set-ADForestMode 5 -Identity PRAJWAL.LOCAL  (5 - If you want to raise the forest functional level to Windows Server 2012)

Set-ADForestMode 4 -Identity PRAJWAL.LOCAL (4 - If you want to raise the forest functional level to Windows Server 2008 R2)

使用服务器 GUI 启用 Active Directory 回收站功能

让我们看看使用服务器 GUI 启用 Active Directory 回收站功能的步骤。安装 Windows Server 时，默认情况下，AD 回收站处于禁用状态。

启用Active Directory 回收站的过程是不可逆的，这意味着一旦启用Active Directory 回收站就无法禁用它。

要在 Windows Server 上启用 Active Directory Bin 功能，请使用属于 Enterprise Admins 或 Schema Admins 组的用户帐户登录。

右键单击目标域，然后单击启用回收站。 您确定要执行此操作吗？回收站一旦启用，就无法禁用。在确认框中，单击确定。

单击确定。在顶部功能区上，单击刷新图标。

使用 PowerShell 启用 AD 回收站

现在，我们将了解在 Windows Server 上使用 PowerShell 启用 AD 回收站功能的步骤。

在 Windows PowerShell 的 AD 模块中运行以下 PowerShell 命令以启用 AD 回收站。

Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=prajwal,DC=local' -Scope ForestOrConfigurationSet -Target 'prajwal.local'

验证 Active Directory 回收站启用

要验证 AD 回收站功能是否启用，请执行以下命令。

Get-ADOptionalFeature -filter *

在输出中，Name=Recycle Bin feature 表示回收站功能已在 Windows Server 上成功启用。

从 Active Directory 中删除对象

现在我们在目标域下看到一个名为已删除对象的新容器。当您从 Active Directory 中删除任何对象时，它会移至“已删除对象”容器。我们稍后会回到这个文件夹。

现在我们要测试AD中的回收站功能。我们将有目的地创建和删除对象。这样做只是为了测试 Active Directory 的回收站功能。

让我们在 Users OU 中创建一个名为 TempUser 的测试用户。右键单击新创建的用户，然后单击删除。当要求确认删除时，用户单击是。

或者，要从 Active Directory 中删除用户帐户，您可以使用下面给出的 PowerShell 命令。

Remove-ADUser -Identity TempUser

首先，让我们使用PowerShell命令搜索已删除的AD对象。

Get-ADObject -SearchBase "CN=Deleted Objects,DC=prajwal,DC=local" -ldapFilter:"(msDs-lastKnownRDN=*)" - IncludeDeletedObjects -Properties lastKnownParent

命令输出中，Deleted=True 表示对象删除成功。

如何使用 AD 回收站恢复已删除的对象

Active Directory 回收站功能得到增强，提供了新的图形用户界面，供用户管理和恢复已删除的对象。

现在可以在已删除对象容器下看到已删除的对象。右键单击已删除的对象时，您会看到四个选项。

• 恢复 - 此选项将已删除的对象恢复到删除前的原始位置。在大多数情况下，这是恢复已删除对象的推荐选项。
• 恢复到 - 使用此选项，您可以将对象恢复到所需的容器。如果您想要专门将已删除的对象恢复到新的 OU 或位置，则可以选择此选项。
• 定位父级 - 显示删除前对象所在的容器。选择此选项可在使用还原或还原到之前了解对象的原始位置。
• 属性 - 显示对象的属性，例如名称、对象类别、USN 等。

右键单击“已删除对象”容器中的对象，然后单击恢复。

我们看到使用恢复选项将用户帐户恢复到原始位置。

使用 PowerShell 还原 Active Directory 删除的对象

要将已删除的对象恢复到原始位置，请使用 PowerShell 命令。

Get-ADObject -ldapFilter:"(msDS-LastKnownRDN=*)" -IncludeDeletedObjects | Restore-ADObject

什么是 Active Directory 回收站功能？

AD 回收站可帮助恢复意外删除的目录对象，而无需使用系统状态备份。

我可以禁用 AD 回收站功能吗？

不可以，一旦启用 AD 回收站，就无法禁用它。

查找谁使用回收站删除了对象？

回收站不会告诉您谁删除了您的用户、群组和计算机。

Active Directory 会将已删除的对象保留多长时间？

180 天。