hogyan lehet engedélyezni az Active Directory Lomtárat?

az Active Directory Lomtár lehetővé teszi a tartományi rendszergazdák számára, hogy helyreállítsák a törölt Active Directory-objektumokat (Felhasználó, számítógép, HIRDETÉSBIZTONSÁGI csoport stb.). Az Active Directory Lomtár először a Windows Server 2008 R2 rendszerben került bevezetésre. Ebben a verzióban csak a Lomtárat kezelheti és visszaállíthatja a hirdetési objektumokat a PowerShell cli-n keresztül. A Windows Server 2012 bevezette az AD Lomtár és a távoli objektumok kezelését az Active Directory felügyeleti központ grafikus felhasználói felületéről. Ebben a cikkben megmutatjuk, hogyan engedélyezheti a hirdetési lomtárat a Windows Server 2016 rendszeren, és visszaállíthatja a törölt felhasználói objektumot.

alapértelmezés szerint a tartományban lévő hirdetés-Lomtár nincs engedélyezve a Windows Server összes verziójában. A Lomtár állapotát az Active Directory for Windows PowerShell modul parancsmagjával ellenőrizheti.

Get-ADOptionalFeature "Recycle Bin Feature" | select-object name, EnabledScopes

esetünkben az EnabledScopes érték üres, ami azt jelenti, hogy az AD Lomtár nincs engedélyezve.

active directory Lomtár engedélyezése

az AD Lomtár engedélyezéséhez minden tartományvezérlőnek Windows Server 2008 R2 (vagy újabb) rendszert kell futtatnia, az erdő működési szintjét pedig Windows Server 2008 R2 vagy újabb rendszert kell beállítani.

az AD-erdő működési szintjét a következő paranccsal ellenőrizheti:

Get-ADForest | select-object ForestMode|fl

hirdetés-Lomtár engedélyezése

ha a ForestMode szintje alacsonyabb, mint a Windows2008R2Forest, frissítenie kell az erdő működési szintjét.

a PowerShell paranccsal engedélyezheti az Active Directory lomtárat a Windows Server 2016 rendszerben:

Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target theitbros.com

jegyzet. A hirdetési Lomtár engedélyezése visszafordíthatatlan! A bekapcsolás után nem tilthatja le.

a hirdetés-Lomtárat az Active Directory felügyeleti központ beépülő modulból is engedélyezheti.

indítsa el az ADAC programot, kattintson a jobb gombbal a domain névre, és válassza a “Lomtár engedélyezése” lehetőséget.

active directory Lomtár

erősítse meg az AD Lomtár engedélyezését a riasztási ablakban: “Lomtár megerősítésének engedélyezése. Biztos benne, hogy végre akarja hajtani ezt a műveletet? Miután a Lomtár engedélyezte, nem lehet letiltani.”

ad Lomtár engedélyezése 2012 R2

miután engedélyezte az Active Directory Lomtárat az Active Directory felügyeleti központjában, megjelenik egy új törölt objektumok tárolója. Az összes törölt Active Directory-objektum automatikusan ebbe a tárolóba kerül.

active directory Lomtár 2012 r2

ebben a tárolóban megtalálja az összes törölt hirdetési objektumot; megtekintheti azok tulajdonságait, és visszaállíthatja őket eredeti OU rendeltetési helyükre vagy bármely más helyre.

töröljük a teszt felhasználói fiókot, és próbáljuk meg visszaállítani.

kapcsolja be a Lomtárat

fontos! Az AD objektum összes kapcsolódó és nem kapcsolódó attribútuma az AD Lomtárba kerül. Ez azt jelenti, hogy visszaállíthat egy objektumot az összes attribútummal együtt.

a logikailag eltávolítottként megjelölt AD objektum az eltávolított objektum élettartama alatt tárolódik. Ezt az értéket a CN=Directory Service, CN=Windows NT, CN=Services, CN=Configuration, DC=theitbros fájlokban található msDS-DeletedObjectLifetime attribútum határozza meg, alapértelmezés szerint nincs meghatározva. Ebben az esetben az objektum a sírkövön megadott idő szerint tárolódikéletidő (alapértelmezés szerint 180 nap).

az AD userobject visszaállításához kattintson rá, majd válassza a visszaállítás vagy visszaállítás ide lehetőséget. Itt is megtekintheti a törölt felhasználói tulajdonságokat.

 active directory Lomtár 2012

a törölt felhasználót a PowerShell használatával is megtalálhatja, majd visszaállíthatja a hirdetés Lomtárából:

Get-ADObject -filter {displayname -eq "testuser1"} -Filter 'isDeleted -eq $true' –includedeletedobjects | Restore-ADObject

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.

More: