**如何查看AD域账号删除记录及恢复**
在日常AD域管理中,有时候我们不小心删除了域账号,或者我们想查看这个域账号是什么时候创建并删除的,那怎么办?是否可以恢复?其实微软本身已经为我们的账号信息做了备份机制,活动目录对象如果被删除,系统并没有直接将其彻底删除,而是放在了一个不可见的 CN 中,这个 CN就是 Delete Objects 。被删除的账户会在里面待保存180 天(默认)。
查看域账号的删除记录
1. 用域管理员登录域控服务器
2. 开始-运行ldp.exe
3. 连接->连接,服务器填写DC的ip地址,此DC为非全局编录服务器,点击确定
4. 连接(Bind)->确定
5. 选项->控制,在预定义加载选项中选择Return deleted objects,确定。
6.查看->树,填写BaseDN,确定;
7. 展开左边区域中的DN,找到CN=Deleted Objects,DC=hipad,DC=com这个目录并展开(存在tombstone记录中的对象)
8. 在列表中找到您之前删除的用户,双击打开列表
9. 找到该删除账户的DN,如CN=jason\0ADEL:e0272381-ecc9-4391-86e7-4afc9e73b4fe,CN=Deleted Objects,DC=ibm,DC=com,复制下来
10. 开始运行 cmd
11. 运行repadmin /showmeta “CN=jason\0ADEL:e0272381-ecc9-4391-86e7-4afc9e73b4fe,CN=Deleted Objects,DC=ibm,DC=com” 回车后您会看到下面的信息
在Ver Attribute这个属性下,你可以找到isDeleted这个属性,该属性对应的信息就是用户帐号的删除时间和操作的服务器信息您看到的文章来自活动目录
*恢复域账号
一、准备实验环境
本实验将首先删除一个用户帐户,然后再使用LDP工具进行恢复。该帐户的DN(distinguishedName)为:CN=PatColeman,OU=employees,OU=User Accounts,DC=contoso,DC=com
其它信息如下:
二、启用LDP
1. 在DC服务器上打开“命令提示符”,输入:LDP
2. 绑定一个帐户。
若要连接并绑定到承载 AD DS 环境的林根域的服务器,请单击“连接”下的“连接”,然后单击“绑定”。
加载控件
在“选项”菜单中,单击“控制”。
在“控制”对话框中,展开“预定义加载”下拉菜单,单击“返回已删除对象(Return deleted objects)”,然后单击“确定”。
查看AD树。
依次单击“查看”、“树”。
在 BaseDN 中从下拉列表中选择或者键入 DC=,DC=,其中 和 表示 AD DS 环境对应的林根域名
三、恢复
1. 修改属性
在控制台树中,双击根的可分辨名称(也称为 DN),并找到 CN=Deleted Objects, DC=,DC= 容器。
在Deleted Objects这个OU中,找到并右键单击需要还原的已删除 Active Directory 对象,然后单击“修改”。。
输入第一个属性值。该值表示将该帐户的“已删除”的属性删除掉。
输入第二个属性值。该值表示该帐户恢复之后存放在哪一个OU里面。
运行
备注:
在删除或使用链接值属性恢复 Active Directory 对象时,AD DS 必须处理对象的链接值表,才能对链接属性的值维护参考完整性。因为删除或恢复 Active Directory 对象将导致对象链接值表的修改,所以,如果在处理链接值表期间尝试删除或恢复对象,系统会阻止该操作。
例如,如果在删除带有大量链接值属性的对象(例如,一个有 1000 万用户的组对象)后立即(或在其链接值表处理过程中的任何时间)使用 Active Directory 回收站恢复此被删除的对象,则系统会阻止恢复该对象。(如果使用 Ldp.exe 执行恢复,可能会看到以下错误消息:“错误 0x2093,由于正在删除对象,操作无法继续。”)
四、验证
打开“Active Directory 用户和计算机”。找到对应的OU。可以看到,该帐户的密码被清空,因此该帐户目前已被禁用。
再检查该帐户的其它属性,可以看到都被清空。
参考:《还原已删除的 Active Directory 对象》 http://technet.microsoft.com/zh-cn/library/dd379509
