原文来自:http://searchwindowsserver.techtarget.com/tip/When-is-a-Recycle-Bin-Not-a-Recycle-Bin-When-its-in-Active-Directory?asrc=EM_NLN_14422016&track=NL-463&ad=840235
当人们谈到Windows操作系统中的回收站功能时,都会不约而同地想到桌面上的回收站图标。通过简单地双击,就可以看到被删除的文件夹和文件。
在Windows 2008R2中,微软在Active Directory中推出了回收站Active Directory Recycle Bin (ADRB)功能,非常多的技术人员都期盼这一功能应该是某种图形化的界面,可以非常容易地拖拽。然而不幸地是,并没有这种万众期盼的功能。活动目录中的回收站功能,并不是大家熟知的文件管理器中的回收站。从某方面说,它是一种非常有用的恢复工具,只是需要注意它的功能和使用限制。
在没有ADRB之前,管理员仍可以恢复被删除的AD对象,但是需要非常熟练地掌握Active Directory的相关知识,例如:需要将域控制器置于离线模式,在经过授权的情况下执行域控制器恢复,以及相关的操作步骤。如果需要恢复最近删除的Active Directory对象,亦可以使用类似ADSIEdit的命令行工具,直接修改对象的tombstone属性值,使其不再显示为“已删除”。但是,即使成功恢复该对象,仍然还有很多的属性值丢失。因此而不得不从内存、或者从备份中恢复先前的版本。总的来说,恢复单个已删除的Active Directory始终是一件很头痛的事。
针对以上情况,微软推出ADRB,旨在提高管理员的效率,降低难度。如何使用ADRB呢?首先,ADRB功能必须在Windows Server 2008 R2级别的域上启用,这也意味着所有的域控制器必须使用对应版本的Windows系统。其次,必须通过PowerShell命令行启用ADRB功能。这里还有一些限制。第一,ADRB只能恢复整个被删除的对象,不能够恢复对象的单个发生。第二,当试图恢复整个被删除的OU时,情况变得比较复杂:必须先恢复container(容器),然后搜索并恢复该容器中的对象。
目前,ADRB并不是一个很好的恢复方案,但是明显地好于以前版本的Windows Server操作系统。部署Activ Directory的企业组织可能还是会优先选择第三方的Active Directory恢复工具,可以非常方便地使用图形化界面的拖拽功能,支持单个属性恢复,以及更多的高级功能。
近期评论