公仔箱論壇 - Powered by Discuz! Board

標題: [軟件動態] 實戰 Windows 帳戶管理：如何救回被誤刪的 Active Directory 帳戶？ [打印本頁]

作者: nt1972 時間: 2015-10-9 04:08 PM 標題: 實戰 Windows 帳戶管理：如何救回被誤刪的 Active Directory 帳戶？

對於一位身為掌管數以千計人員帳戶的網域管理員而言，最害怕遭遇的倒楣事就是誤刪某個組織容器、群組或是人員帳戶。因為即使您在誤刪後趕緊建立一個同樣命名的網域帳戶，此帳戶對於 Active Directory 而言只是一個全新帳戶而非原來的帳戶，這是因為作業系統本身識別的是該帳戶的安全識別碼，而不是帳戶名稱或顯示名稱。如此一來所有屬於原人員帳戶的各種權限(例如：網域內所有伺服器的檔案共用設定)，都需要全新設定一遍才能夠讓該人員正常存取。

為了防範像這樣的倒楣事持續發生在管理人員的身上，從 Windows Server 2008 R2 開始便推出了防止誤刪組織容器的功能，以及提供了 Active Directory 專屬的資源回收桶功能。不過此功能在當時只能使用 Windows PowerShell 的 Restore-ADObject 命令，搭配相關參數的使用來進行個別的物件還原，或是進一步結合 Get-ADObject 命令的使用，來完成指定組織容器下所有已刪除物件的還原。不過在 Windows Server 2012 以後的版本，管理員只要在[Active Directory 管理中心]介面中，就可以從如圖 43 所示的[工作]窗格內，找到[啟用資源回收桶]功能。

請注意！Active Directory 的樹系功能等級，必須先提高到 Windows Server 2008 R2 以上版本，才能夠開始使用資源回收桶功能。

圖 43 Active Directory 管理中心

點選後將會出現如圖 44 所示的警示訊息，這表示一旦啟用之後就無法再停用此功能，而這背後所代表的意義，就是當您所管理的網域帳戶有數以萬計以上時，只要完成刪除就會被保存在[已刪除物件(Deleted Objects)]的儲存容器之中。完成啟用之後請重新開啟[Active Directory 管理中心]。

圖 44 啟用資源回收桶功能

接下來您可以嘗試透過任何方式來刪除現行的使用者帳戶、群組或是組織容器，緊接著便可以在[已刪除物件]的儲存容器之中，像如圖 45 所示一樣找到所有已被刪除的物件，然後對於所有想要還原的物件，在連續選取之後點選[工作]窗格之中的[還原]或[還原到]即可。

圖 45 已刪除物件管理
如圖 46 所示便是執行[還原到]功能時所開啟的視窗，在此您可以挑選當物件還原時所要存放的組織容器。

圖 46 還原到指定容器

如何修改誤刪物件的保存期限？
在系統預設的狀態下已刪除物件的保存期限為 180 天，您可以透過[Windows PowerShell 的 Active Directory 模組]介面中執行下列命令範例的修改，來自訂想要的保存期限天數，例如：365 天。您只要將範例中的網域資訊修改成實際環境中所使用的即可。

Set-ADObject -Identity “CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com” –Partition “CN=Configuration,DC=contoso,DC=com” –Replace:@{“msDS-DeletedObjectLifetime” = 365}

結論
藉由本系列文章，用戶可以明白到以 Active Directory 作為企業 IT 營運的基礎建設，是一項明智的絕佳選擇，主要原因是它不僅簡化了電腦與人員帳戶的集中控管需要，更是為接下來一連串的資訊安全管理需求，奠定了一個穩固的安全作業平台，在未來只要各項應用系統的導入，都能夠與 Active Directory 做到無縫整合之應用，那麼幾乎沒有什麼資訊安全管理的需求是無法解決的。不過話又說回來，既然以人為根本的政策落實，是資訊安全管理中最重要的基礎，那麼順應人性化的員工管理政策，相信也會是每一位企業老闆首要修習的一門課題。

歡迎光臨公仔箱論壇 (http://5.39.217.77:8898/)