在上一节《Active Directory 回收站功能介绍一》和《Active Directory 回收站功能介绍二》里,我们对Active Directory 回收站中出现的更改进行了简要概述。今天,我们要了解如何使用Active Directory 回收站。
将AD功能级别升级到Windows Server 2008 R2
在使用回收站之前,必须提升AD的功能级别。基本上,我们必须在林架构主机上运行ADPREP/FORESTPREP,然后再基础结构主机上运行ADPREP/DOMAINPREP,而且要使用Windows Server 2008 R2安装盘中的ADPREP版本。这里推荐大家参看本网站文章《如何将Active Directory 域的功能级别提升到Server 2008 R2》。
启用AD回收站
仅仅是提升AD功能级别,还不足以启用AD回收站。回收站的功能要明确启用才可以。注意:这一进程是不可逆的。一旦我们启用了AD回收站,就不能禁用该功能。由于这一步骤会影响我们的备份策略,所以我们要在使用该功能前,完全了解回收站的工作原理。
有两种方法可以启用回收站功能。我们可以使用PowerShell或者Ldp.exe,后者是一个管理轻量级目录访问协议(LDAP)的GUI工具。使用Ldp.exe的过程有些繁杂;因此推荐大家选用PowerShell:
- Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional
- Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,
- DC=domain,DC=com’ –Scope ForestOrConfigurationSet –Target ‘domain.com’
我们可以复制这一命令,然后按自己的需要替换域名。要将该命令输入用于Windows PowerShell的AD模块中,我们能在Windows Server 2008 R2域控制器的“开始”菜单中的管理工具文件夹下找到这一模块。记住要以管理员身份启动Shell。
通过回收站恢复AD对象
微软也对通过回收站恢复AD对象的两种方法进行了描述(PowerShell和Ldp.exe)。可是,个人感觉这两种方法都不方便。如果用户希望快速恢复一个被意外删除的AD对象,那么用户肯定不想输入一长串PowerShell命令。而使用Ldp.exe GUI也不见得多便利。因为,用这一方法恢复一个对象就要完成七个步骤,且要输入大量信息。如果用户要恢复多个对象,肯定会觉得这个方法太麻烦。
幸好,有比这两种方法都容易的方法可用来恢复回收站中的AD对象。我们可以使用免费工具来恢复AD对象,如:Quest Object Restore for Active Directory或是ADRestore.NET。这两个工具过去用来恢复Tombstone对象,但是它们对Windows Server 2008 R2域中被删除的对象同样有用。如果用户在未启用回收站的Server 2008 R2域,或是此前的域中使用这两个工具,就只能恢复Tombstone对象,也就是,那些丧失了大部分属性的对象。但是,在启用了回收站的AD中,它们将恢复被删除对象的所有属性。这两个工具的功能相似。
如果用户想恢复大量对象,则PowerShell比较适用。微软TechNet提供了一些示范脚本。但是,如果用户只需要恢复几个对象,那么使用上面介绍的两种工具,会更快。
更改已删除对象的使用期限
用户只能在已删除对象的有效期内恢复这些对象,而此默认的有效期是180天。通常情况下,这一期限对于那些被意外删除的对象足够了。但是已删除对象的有效期同样决定了我们从备份中恢复AD对象的期限。在某些环境下,180天可能有点短。
许多备份策略都支持一年的备份。如果用户想要恢复特定对象,而且已删除对象的有效期只有180天,那么这些备份基本是没用的。尽管,我们可以更改对象的有效期,虽然,此过程有些繁杂,但考虑到只需要做一次这样的操作,所以也就无关紧要。
笔者认为,新的Active回收站功能是Windows Server 2008 R2中的一大改进。意外删除AD对象可能导致一些麻烦,因为这些对象的恢复过程不像恢复文件那样简单。个人认为,回收站功能就足够成为我们升级到Server 2008 R2功能层级的理由。
遗憾的是,回收站功能不支持第三方AD恢复工具,如Blackbird Recovery或Quest Recovery Manager。而回收站也缺乏灾难恢复,属性恢复,GPO恢复等功能。
希望本系列Active Directory 回收站功能介绍能够对读者有所帮助。
【编辑推荐】