WindowsServer2008R2-AD维护

冯亮系统工程师上海淘米网络科技有限公司维护三部曲一.RecycleBinRecycleBin的概念及相关基础知识RecycleBin与其他方法的比较如何使用RecycleBin及注意事项二.DisasterRecovery规划AD灾难恢复如何备份AD如何还原AD三.Dailytasks1.如何监控AD可靠性及性能2.如何监视AD复制3.在线及离线碎片整理4.实用工具使用介绍及部分AD排错知识RecycleBin的概念及相关基础知识RecycleBin与其他方法的比较如何使用RecycleBin及注意事项场景设想身为域控管理员的您或者您的同事是否有过不小心出现的误删除操作,又或者一些其他情况场景设想身为域控管理员的您或者您的同事是否有过不小心出现的误删除操作,又或者一些其他情况发生在点击”删除”AD用户/组背后的事逻辑删除(logicallydeletion)遍历检查对象属性中的一些特定值；删除不必要的对象属性，只保留一些指定的以及架构中定义的那些属性；对象的相对可分辨名称(RDN)更改为CN=oldRDN\0ADEL:objectGUID；lastKnownParent属性被设置为对象父容器的可分辨名称(DN)；isDeleted属性被设置为TRUE。随后，ActiveDirectory删除对象中的所有前向和后向链接属性；最后，如果该对象的systemFlag属性不具有“disallowmoveondelete”位集，那么ActiveDirectory会将对象移动到NC的CN=DeletedObjects容器中。之前的ADo生命周期墓碑对象(Tombstoneobjects)墓碑生存时间(Tombstonelifetime)垃圾收集(Garbage-collect)之前的复活墓碑对象去除isDeleted属性更改DN值lastKnownParentobjectClassobjectCategory更改RDN并将该对象写入新的父OU/容器使用LDP工具恢复逻辑删除查找墓碑对象恢复墓碑对象使用AdRestore工具恢复逻辑删除查找墓碑对象恢复墓碑对象思考:对于一种机制/两种方法:共同的最大缺陷灵活性是否足够带来的改变已删除对象(Deletedobjects)已回收对象(Recycledobjects)已删除对象生存时间(Deletedobjectlifetime)已回收对象生存时间(Recycledobjectlifetime)开启RecycleBin的先决条件已经正确地扩展了域林架构adprep/forestprepadprep/domainprep/gpprepadprep/rodcprep确保林中所有域控都使用了Windowsserver2008R2操作系统将活动目录林功能级别提升到了Windowsserver2008R2PowerShellSet-ADForestMode–Identitynorthwind.com-ForestModeWindows2008R2ForestLdp.exe开启RecycleBinEnable-ADOptionalFeatureActiveDirectorymodulecmdlet(推荐方法)Ldp.exe确认RecycleBin是否启用PowerShellAdsiedit.msc查找已删除ADoLdp.exeGet-ADObjectExample1:C:\PSGet-ADObject–Filter{(isDeleted–eq$true)–and(isRecycled–ne$true)–and(name–ne“DeletedObjects”)}-IncludeDeletedObjectsExample2:C:\PS$changeDate=New-ObjectSystem.DateTime(2011,3,31)C:\PSGet-ADObject–Filter{(whenChanged–gt$changeDate)–and(isDeleted–eq$true)–and(isRecycled–ne$true)–and(lastKnownParent–eq“OU=Finance,DC=northwind,DC=com”)}-IncludeDeletedObjects还原已删除ADoLdp.exeRestore-ADObject习惯配合管道符与Get-ADObject结合使用Example:C:\PSGet-ADObject–Filter{displayname–eq“jack”}–IncludeDeletedObjects|Restore-ADObject还原多个已删除ADo(1)思考:如果Finance这个OU对象被删除,如何进行还原?还原多个已删除ADo(2)一个基本原则:自顶向下组织单元用户用户组织单元用户OU=FinanceCN=JoyeCN=TomCN=ElaineOU=Audit还原多个已删除ADO(3)首先要还原最高级别的OU:Get-ADObject-ldapFilter:(msDS-LastKnownRDN=Finance)–IncludeDeletedObjects|Restore-ADObject检索OU中的对象,结合实际情况进行还原:Get-ADObject-SearchBaseCN=DeletedObjects,DC=northwind,DC=com-Filter{lastKnownParent-eqOU=Finance,DC=northwind,DC=com}-IncludeDeletedObjects|Restore-ADObject的一些注意事项当启用RecycleBin时，之前删除的所有对象（即所有逻辑删除对象）都将成为回收对象。“已删除对象”容器中将不再显示这些对象，并且使用RecycleBin无法将其恢复可以手动回收已删除Ado,加速被回收过程,节省系统资源配合ADDS审核机制效果更佳可选用第三方的图形化工具进行操作贴心的设计:防止ADo被意外删除一例很有趣的现象参考书目及学习资源Technet官方网站:(WS.10).aspx产品组和各个技术大牛的BLOG例如:各大知名技术论坛 & Answer如需提出问题，请在此区域输入文字，并单击“问题和解答”右上方的“提问”按钮即可。获取更多TechNet资源访问TechNet的官方网站注册TechNet快报加入到中文在线论坛成为TechNet的订户TechNetIT经理参考参与到更多的TechNet活动中或者在线了解://您的潜力，我们的动力！