在上一節(jié)《Active Directory 回收站功能介紹一》和《Active Directory 回收站功能介紹二》里，我們對(duì)Active Directory 回收站中出現(xiàn)的更改進(jìn)行了簡(jiǎn)要概述。今天，我們要了解如何使用Active Directory 回收站。

將AD功能級(jí)別升級(jí)到Windows Server 2008 R2

在使用回收站之前，必須提升AD的功能級(jí)別?；旧希覀儽仨氃诹旨軜?gòu)主機(jī)上運(yùn)行ADPREP/FORESTPREP，然后再基礎(chǔ)結(jié)構(gòu)主機(jī)上運(yùn)行ADPREP/DOMAINPREP，而且要使用Windows Server 2008 R2安裝盤(pán)中的ADPREP版本。這里推薦大家參看本網(wǎng)站文章《如何將Active Directory 域的功能級(jí)別提升到Server 2008 R2》。

啟用AD回收站

僅僅是提升AD功能級(jí)別，還不足以啟用AD回收站?；厥照镜墓δ芤鞔_啟用才可以。注意：這一進(jìn)程是不可逆的。一旦我們啟用了AD回收站，就不能禁用該功能。由于這一步驟會(huì)影響我們的備份策略，所以我們要在使用該功能前，完全了解回收站的工作原理。

有兩種方法可以啟用回收站功能。我們可以使用PowerShell或者Ldp.exe，后者是一個(gè)管理輕量級(jí)目錄訪(fǎng)問(wèn)協(xié)議(LDAP)的GUI工具。使用Ldp.exe的過(guò)程有些繁雜;因此推薦大家選用PowerShell：

Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional 
 
Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,  
 
DC=domain,DC=com’ –Scope ForestOrConfigurationSet –Target ‘domain.com’  
 

我們可以復(fù)制這一命令，然后按自己的需要替換域名。要將該命令輸入用于Windows PowerShell的AD模塊中，我們能在Windows Server 2008 R2域控制器的“開(kāi)始”菜單中的管理工具文件夾下找到這一模塊。記住要以管理員身份啟動(dòng)Shell。

通過(guò)回收站恢復(fù)AD對(duì)象

微軟也對(duì)通過(guò)回收站恢復(fù)AD對(duì)象的兩種方法進(jìn)行了描述(PowerShell和Ldp.exe)。可是，個(gè)人感覺(jué)這兩種方法都不方便。如果用戶(hù)希望快速恢復(fù)一個(gè)被意外刪除的AD對(duì)象，那么用戶(hù)肯定不想輸入一長(zhǎng)串PowerShell命令。而使用Ldp.exe GUI也不見(jiàn)得多便利。因?yàn)?，用這一方法恢復(fù)一個(gè)對(duì)象就要完成七個(gè)步驟，且要輸入大量信息。如果用戶(hù)要恢復(fù)多個(gè)對(duì)象，肯定會(huì)覺(jué)得這個(gè)方法太麻煩。

幸好，有比這兩種方法都容易的方法可用來(lái)恢復(fù)回收站中的AD對(duì)象。我們可以使用免費(fèi)工具來(lái)恢復(fù)AD對(duì)象，如：Quest Object Restore for Active Directory或是ADRestore.NET。這兩個(gè)工具過(guò)去用來(lái)恢復(fù)Tombstone對(duì)象，但是它們對(duì)Windows Server 2008 R2域中被刪除的對(duì)象同樣有用。如果用戶(hù)在未啟用回收站的Server 2008 R2域，或是此前的域中使用這兩個(gè)工具，就只能恢復(fù)Tombstone對(duì)象，也就是，那些喪失了大部分屬性的對(duì)象。但是，在啟用了回收站的AD中，它們將恢復(fù)被刪除對(duì)象的所有屬性。這兩個(gè)工具的功能相似。

如果用戶(hù)想恢復(fù)大量對(duì)象，則PowerShell比較適用。微軟TechNet提供了一些示范腳本。但是，如果用戶(hù)只需要恢復(fù)幾個(gè)對(duì)象，那么使用上面介紹的兩種工具，會(huì)更快。

更改已刪除對(duì)象的使用期限

用戶(hù)只能在已刪除對(duì)象的有效期內(nèi)恢復(fù)這些對(duì)象，而此默認(rèn)的有效期是180天。通常情況下，這一期限對(duì)于那些被意外刪除的對(duì)象足夠了。但是已刪除對(duì)象的有效期同樣決定了我們從備份中恢復(fù)AD對(duì)象的期限。在某些環(huán)境下，180天可能有點(diǎn)短。

許多備份策略都支持一年的備份。如果用戶(hù)想要恢復(fù)特定對(duì)象，而且已刪除對(duì)象的有效期只有180天，那么這些備份基本是沒(méi)用的。盡管，我們可以更改對(duì)象的有效期，雖然，此過(guò)程有些繁雜，但考慮到只需要做一次這樣的操作，所以也就無(wú)關(guān)緊要。

筆者認(rèn)為，新的Active回收站功能是Windows Server 2008 R2中的一大改進(jìn)。意外刪除AD對(duì)象可能導(dǎo)致一些麻煩，因?yàn)檫@些對(duì)象的恢復(fù)過(guò)程不像恢復(fù)文件那樣簡(jiǎn)單。個(gè)人認(rèn)為，回收站功能就足夠成為我們升級(jí)到Server 2008 R2功能層級(jí)的理由。

遺憾的是，回收站功能不支持第三方AD恢復(fù)工具，如Blackbird Recovery或Quest Recovery Manager。而回收站也缺乏災(zāi)難恢復(fù)，屬性恢復(fù)，GPO恢復(fù)等功能。

希望本系列Active Directory 回收站功能介紹能夠?qū)ψx者有所幫助。

【編輯推薦】

1. Active Directory之目錄服務(wù)
2. 準(zhǔn)備 Active Directory 和域
3. Active Directory遷移工具ADMT
4. 利用Active Directory標(biāo)識(shí)和跟蹤虛擬機(jī)
5. 如何打開(kāi) Active Directory 用戶(hù)和計(jì)算機(jī)