找回誤刪除賬戶

引言：在Windows Server 2003/2008等老版本中，在對域環境中的Active Directory數據庫進行維護時，如果操作失誤，很可能將某個Active Directory對象刪除（例如用戶等），恢復起來比較麻煩。雖然可以通過目錄還原模式找回誤刪的對象，但不僅會浪費時間，而且進入目錄服務還原模式后，域控制器就會暫時停止運作。本文為您介紹找回誤刪除賬戶的方法。

在Windows Server 2003/2008等老版本中，在對域環境中的Active Directory數據庫進行維護時，如果操作失誤，很可能將某個Active Directory對象刪除（例如用戶等），恢復起來就比較麻煩。特別是將某個組織單元刪除的話，存儲在其中的所有對象都會“消失”。這給實際的維護工作帶來很大的困擾。雖然可以通過目錄還原模式找回誤刪的對象，不過這不僅會浪費時間，而且進入目錄服務還原模式后，域控制器就會暫時停止運作，無法為局域網中的用戶提供服務。

防止誤刪賬戶

在Windows Server 2008 R2中，已經誤刪除賬戶情況采取了對應的解決方法。一種方法是在新建用戶或組織單元等對象時，提供了防止意外刪除功能。特別在創建組織單元時，默認會自動激活防止意外刪除功能。這樣，就可以有效避免誤刪除的情況發生。

例如，點擊“開始→管理工具→Active Directory管理中心”項，在彈出窗口左側點擊對應的域名，在右鍵菜單上點擊“新建→組織單元”項，創建名為“市場部”的組織單元。在該OU項的右鍵菜單上點擊“新建→用戶”項，在彈出窗口中輸入名稱、密碼等信息，勾選“防止意外刪除”項，點擊“確定”，完成賬戶的創建操作。

用回收站找回誤刪的賬戶

Active Directory回收站功能，讓管理員無需進入目錄還原模式，就可以快捷地恢復誤刪的對象。當然，必須在命令行中完成。Active Directory回收站功能要求林功能級別必須是Windows Server 2008 R2，林 中 的 域控制器必須使用Windows Server 2008 R2，所 有域的域功能級別必須為Windows Server 2008 R2。操作方法是，點擊“開始→管理工具→Active Directory管理中心”項，在彈出窗口左側選擇對應的域名，在右側點擊“提高林功能級別”或者“提高域功能級別”鏈接來實現。

如果當前的林功能或者域功能級別提高后，就無法再改回原來的級別。不同的級別模式，其擁有的功能存在差異。不同的域級別，對于驗證機制保證、上次交互式登錄信息、高級加密服務、更改域控制器主機名、通用組、組嵌套、SID歷史文件等特色功能上，不同的域級別模式存在很大的不同。不同的林功能級別，在Active Directory回收站，全局編錄的復制優化，不同林之間的信任關系、更改域名、只讀域控制器、鏈接值復制等功能上就存在差異。

用命令行恢復誤刪賬戶

利 用Windows PowerShell的Active Directory模塊提供的cmdlet命令，可以激活Active Directory回收站。但是，一旦啟用之后就無法禁用Active Directory回收站功能，而且域和林的功能級別也無法降級。使用系統管理員賬戶，在某臺可寫域控制器上登錄系統。點擊“開始→管理工具→用于Windos PowerShell的Active Directory模塊”程序項，在命令提示符窗口中執行“Enable-ADOptionalFeature′Recycle Bin Feature′ -scope ForestOrConfigurationSet-Target ′xxx.com′” 命令，來啟用Active Directory回收站。假設域名為“xxx.com”。 在 本 例 中，如果管理員在使用Active Directory管理中心，對活動目錄數據庫進行維護時，誤刪了某個賬戶（例如位于“市場部”OU中的名為“zhanghu”用戶），就可以采用兩種方式進行恢復。

以系統管理員身份登錄域控制器，點擊“開始→管理工具→用于Windos PowerShell的Active Directory模 塊”程序項，在CMD窗口中 執 行“Get-ADObject-ldapFilter： "(msDSLastKnownRDN=*)"-IncludeDeletedObject”命令。顯示被刪除的對象信息，在其中的“Deleted”欄中顯示“True”項，表示發現被刪除的對象。在“Name”欄中顯示被刪除的對象名以及其全局標識符。在“DistinguishedName”欄中顯示該對象的屬性信息，包括所屬的域名等。

了解了以上信息后，執 行“Get-ADObject-Filter {displayName-eq "zhanghu"}IncludeDeletedObject |Restore-ADObject”命 令，就可以將恢復指定的誤刪除的賬戶，其中的“-eq”參數后面跟隨需要恢復的賬戶名。之后進入Active Directory管理中心，可以看到該賬戶已經恢復如初了。

用圖形界面找回誤刪賬戶

可 以 使 用“ldp.exe”程序，執行恢復操作。以管理員身份登錄域控制器，點擊“Win+R”鍵，執行“ldp.exe”程 序，在 彈出窗口中點擊“連接→連接”項，在連接窗口中輸入林根域內的域控制器主機名 稱（例 如“Server”），點擊“確定”。點擊“連接→綁定”項，在彈出窗口中點擊“確定”。點 擊“查看→樹”項，輸入林根域域名（例 如“xxx.com”）。 點擊“確定”。點擊“選項→控制”項，在控制窗口右下角的“預定義加載”列表中 選 擇“Return deleted objects”項，點擊“確定”，在窗口左側的分析列表中的打開“CN=Deleted Objects，DC=xxx ，DC=com”節點下，可以看到誤刪除的賬戶名信息。

在誤刪除項的右鍵菜單上點擊“修改”項，選擇“屬性”，輸入“isDeletd”，在“操作”欄中選擇“刪除”項，點擊“輸入”按鈕。完成輸入操作后，在“屬性”欄中輸入“distinguishedName”，在“值” 欄 中 輸 入“cn=zhanghu，ou= 市 場部 ，dc=xxx，dc=com”，這里采用的是假設的賬戶名，組織單元名和域名，您可以根據實際情況加以更改。在窗口左下角選擇“擴展”和“同步”項，在“操作”欄中選擇“替換”項，點擊“輸入”按鈕，完成恢復信息的輸入操作。最后，點擊“運行”按鈕，就可以恢復誤刪除的賬戶了。比較上述方法，前者的操作最為簡單，后者雖然較為復雜，但是擁有直觀的圖形界面。