08R2 新功能之 AD 回收站 对于绝大多数 ADDS(活动目录域服务)及 AD LDS(活动目录轻量型目录服务)的用户而言,经常会出现误操作进而删除 AD中某些对象的情况,例如:OU, 组 , 用 户 等 。 处 理 这 些 被意 外 删 除 的 对 象, 可 以 使 用 Ntdsutil Authoritative Restore命令将对象标记为权威(对象版本号相对最高),以确保在整个域中能顺利复制所还原的数据。授权还原方案的缺点在于必须在目录服务还原模式下执行。在 DSRM(目录服务还原模式)过程中,被还原的 DC(域控制器)必须保持脱机状态(停止正常的 AD数据库的通信)。因此,此时的 DC是无法处理来自任何客户端的请求的。而且通过学习 我 们 了 解 到 在 Windows 2003及 Windows 2008中,不 会立 即 以物 理的方式彻 底 的删除那 些已 删除的AD中的对象。相反 ,这些对象的 DN(可分 辨 名 称 )会损 坏 ,绝大多数对象的未 链 接 值 属 性 被清 除。对象的所有 链 接 值 属 性 被物 理删除,并 且对象被移 动到 对象的命名 上 下文 中的特 殊 容 器(称 之 为“已 删除对象”)中。该对象现在称 为Tombstone(逻辑删除),对于一般目录操作不 可见,逻辑删除的对象对一般目录操作不 可见。在逻辑删除的生存期间内可随时恢复逻辑删除,并 使其再次成为活动的 AD数据库中的对象。逻辑删除对象的生存周期又被称 之 为“墓碑记录”。在 Windows 2003 SP1时为默认为 60天,而在 Windows 2003 SP2及Windows 2008中默认为 180天。可以使用逻辑删除用于恢复已 删除的对象,而不 需使 DC或 AD LDS实例脱机。但需要注意的是,恢复项目的已 物 理删除的链 接 值 属 性 ,例如:用户帐户隶属 于哪个组等,及已 清 除的未 链 接 值 属 性 不 会 恢 复 。 因 此 , 企 业 管 理 员 无 法 依 靠 逻 辑 删 除 恢 复 作 为 意 外 删 除 的 最 终 解 决 方 案 。 AD回 收 站 是 Windows Server 2008 R2的 新 功 能 之 一 。 它 构 建 于 现 有 的逻 辑 删 除 恢 复 基 础 结 构 之 上 ,帮 助 用 户 增 强 保 存 和 恢 复 意 外 删 除 的 AD中 有 关 对象 的 能 力 。 Windows Server 2008 R2中 的 AD回 收 站 使 目 录 服 务 中 断 时 间 降至...
