ADDS中刪除物件
在 AD中物件(例如使用者、群組、電腦、OU)刪除後並不是立刻從資料庫消失, 而是進入刪除物件狀態(Deleted Objects)
1. 刪除後的狀態流程:
。Deleted Object(已刪除物件): 物件會標記為已刪除並移動到 Deleted Objects容器, 保留一段刪除生命週期(tombstone lifetime), 預設大約 180天
。Garbage Collection(垃圾收集): 刪除生命週期結束後, 物件會被 AD徹底清除
2. 刪除物件的影響:
。使用者無法登入、電腦無法加入網域、OU結構消失
。沒有資源回收筒的環境下, 只能用 Authoritative Restore(權威性還原)來復原
ADDS中還原物件
還原方式取決於是否有啟用 AD Recycle Bin(AD資源回收筒)
1. 未啟用資源回收筒:
Authoritative Restore(權威性還原):
。需要將網域控制站開機進入 Directory Services Restore Mode(DSRM)
。使用 ntdsutil指令還原指定物件或 OU w-studio.idv.tw
。適合在「沒有啟用資源回收筒」或「需要還原很久之前刪除的物件」的情況
。缺點: 作業複雜, 需要從備份還原並會影響複寫
2. 已啟用資源回收筒
。物件刪除後會進入 Deleted Object狀態, 但在生命週期內可以直接完整還原(含屬性與群組成員資格)
。優點: 不需要進入 DSRM, 不需從備份回復, 完整保留物件關聯性
AD資源回收筒(Recycle Bin)
1. 啟用條件
。網域功能層級(Domain Functional Level, DFL)必須至少為 Windows Server 2008 R2
。一旦啟用無法停用
2. 還原方式
透過 ADAC → Deleted Objects → 右鍵 → 還原/還原到特定位置, 或用 PowerShell 的 Restore-ADObject
沒有留言:
張貼留言