阅读完整系列：备份域控制器第2章-如何恢复域控制器Ch.3-重新激活Active Directory逻辑删除对象Ch.4-利用Active Directory回收站 这篇文章是本系列文章的第四部分，在这个系列文章中，我讨论了活动目录对象的细粒度恢复，以及用于此类操作的不同场景和工具。在上一篇文章中，我描述了管理员使用在windowsserver2003和windowsserver2008功能级别上运行activedirectory的域控制器的情况。我详细介绍了他们使用LDP和veeamexplorerformicrosoftactivedirectory实用程序重新激活tombstone对象的步骤。今天，我将转到启用了ActiveDirectory回收站功能的较新系统。在Windows Server 2008 R2中，Microsoft实现了一个等待已久的Active Directory回收站。这延长了活动目录对象的标准生命周期，并改变了对象删除的逻辑。启用此功能后，对象在删除后立即开始转到"已删除对象"容器，它将在已删除对象的生存期内（默认情况下等于"回收对象生存期"）。最重要的是，系统能够在相同的生存期内保留对象的所有链接值和非链接值属性。这意味着您可以在这段时间内轻松恢复具有这些属性的对象。生命周期结束后，系统将对象状态更改为"回收"，并删除其大部分属性。此外，对象在逻辑上与WindowsServer2003和WindowsServer2008中的逻辑相同。唯一的区别是现在不能恢复或重新激活回收的对象。垃圾回收器会在回收对象的生存期过期（默认为180天）后自动将其删除。图1。启用Active Directory回收站的Active Directory对象生命周期启用Active Directory回收站到目前为止，在任何Windows服务器操作系统上，默认情况下都没有启用activedirectory回收站。若要使用此工具，应准备环境，确保林中的每个DC都运行Windows Server 2008 R2及更高版本，并将林功能级别设置为Windows 2008 R2或更高版本。注意：启用Active Directory回收站以及对Active Directory（或其他生产系统）的任何其他实质性更改可能是一项艰巨的任务。您可以使用Veeam虚拟实验室技术来测试模式升级或任何其他可能有影响的更改，然后再投入生产。此外，虚拟实验室还可以容纳其他重要的虚拟机，这样它们就可以进行更改，并在更改后测试多层应用程序的兼容性。虚拟实验室可以从备份、副本甚至存储快照（取决于配置）运行。这样，生产就不会有什么意外。在使用Active Directory回收站之前，请记住：启用Active Directory回收站会将所有当前的逻辑删除对象更改为回收对象，因此一旦启用完成，您将无法还原它们。恢复多个依赖对象的过程可能很困难，因为它要求从位置较高的对象开始执行严格的恢复顺序。在Windows Server 2008 R2中，与Active Directory回收站相关的每个操作都应通过PowerShell cmdlet完成，而不提供GUI。Windows Server 2012及更高版本引入了Active Directory管理中心（ADAC），所有回收站操作都可以通过GUI执行。如果一个回收站在一个备份目录中没有任何东西被破坏，那么它就不会有任何帮助。图2。通过ADAC在Windows Server 2012中启用Active Directory回收站Active Directory回收站的利弊当您启用Active Directory回收站时，您将注意到一个新的"已删除对象"容器可通过Active Directory管理中心看到。通过浏览此容器，可以查看所有已删除但未回收的对象，检查其属性并将其还原到默认位置或自定义位置。图3。在Active Directory回收站中的"已删除对象"容器中导航尽管使用此功能执行细粒度恢复操作看起来比使用LDP实用程序或执行域控制器的授权还原要容易得多，但它也有一些考虑因素。下面，我概述了在启用回收站功能的情况下使用ActiveDirectory的利弊。赞成的意见：用于Windows Server 2008 R2功能级别（或更高版本）域的通用方法大生存期（对于大多数情况，默认为180天就足够了）对象属性保留一个生存期恢复不需要重新启动DCWindows Server 2012及更高版本的GUI欺骗：不适用于Windows Server 2008功能级别（或更早版本）的域不适用于已更改的对象（如果对象已删除，则可以还原，而不是更改）回收率受生命周期值的限制不能防止DC本身的问题（永远不能作为备份副本）没有层次结构恢复的自动化第二个缺点是最令人不安的。如果对象没有被删除，但偶尔会被更改，并且错误在一段时间后被发现呢？不幸的是，回收站在这里没有帮助，你有一个问题要解决。使用Veeam解决回收站限制考虑到回收站的缺点，它们可能不会成为你们中的一些人的交易破坏者。然而，那些想要最终解决方案的人应该去别的地方看看。这里是Veeam，它为ActiveDirectory提供了相同的Veeam Explorer，这是前面讨论过的。此工具简单地消除了ActiveDirectory回收站的限制。使用此实用程序，只要保留备份，您的Active Directory对象就会受到保护。它适用于林功能级别为Windows Server 2003及更高版本的域控制器。最重要的是，它是Veeam备份和复制的一部分，并包含在免费版本中。结合Veeam备份与复制和Veeam Explorer for Active Directory，您可以一次恢复整个DC并恢复单个Active Directory对象：OU、计算机和用户帐户及其密码、GPO、DNS记录等。除此之外，启动资源管理器并将备份副本中的对象与生产中的活动对象进行比较，以注意差异和更改的对象属性。在下面的示例中，用户在一个帐户中被要求恢复属性的情况。图4：恢复更改的Active Directory对象不管怎样，事先考虑一下可能发生的Active Directory灾难，并测试不同的工具来预防和修复这些灾难，都会帮助你在晚上睡得更香。希望这一系列的文章能激发你的思想，让你重新审视你的Active Directory保护策略。请随时联系我在评论中讨论更多。有用的资源使用Veeam的Active Directory备份和恢复-免费白皮书还原已删除的Active Directory对象的方案概述广告回收站：理解、实施、最佳实践和故障排除活动目录对象的精确恢复VN:F[1.9.22_1171]请评价这篇文章对您的评级有多大帮助：5.0/5（3票投票）利用Active Directory回收站：广告保护的最佳实践（第4部分），5.0/5（基于3个评级）