Каковы последствия включения функции корзины в Active Directory?

17

Администратор случайно удалил неправильную OU и удалил несколько учетных записей и компьютерных объектов. Дополнительная функция корзины не была включена. Мы использовали adrestore от sysinternals, чтобы вернуть аккаунты.

Чтобы гарантировать, что этот процесс станет проще, в следующий раз мы хотели включить дополнительную функцию корзины, которая легко выполняется в соответствии с инструкциями и с помощью TechNetEnable-ADOptionalFeature через PowerShell.

В PowerShell и вышеупомянутой ссылке упоминается следующее.

В этом выпуске Windows Server 2008 R2 процесс включения корзины Active Directory необратим. После включения корзины Active Directory в вашей среде ее нельзя отключить.

В теории я всегда хотел бы оставить это включенным, но я колебался, пока не понял смысл того, что должно произойти. У меня есть один доменный лес, если это имеет значение.

Что означает включение этой функции? Это должно относиться к тому, почему он не включен по умолчанию.

Matt
источник
1
Запустите AD DS BPA. Вызывает эту конкретную проблему (объекты не защищены от случайного удаления). Затем используйте результаты, чтобы «защитить» остальные ваши подразделения.
Joeqwerty

Ответы:

14

Я думаю, что единственная причина, по которой он не включен по умолчанию, заключается в том, что для его использования необходимо повысить уровень функции AD Forest (минимум 2008 R2), и именно эта часть администрирования требует всей подготовки - то есть, если Например, домен был создан в NT или 2003, и вы не сможете его включить, пока уровень функций леса не достигнет 2008

По этой причине он не включен «из коробки» - то же самое для 2012 года, он не включен «из коробки», поскольку вы устанавливаете контроллер домена, не настраивая лес, также необходимо учитывать следующее:

При включении корзины Active Directory все объекты, которые были удалены до включения корзины Active Directory, становятся объектами вторичной переработки и больше не отображаются в контейнере удаленных объектов. Вы не сможете восстановить их с помощью корзины Active Directory. Единственный способ восстановить эти объекты - использовать принудительное восстановление из резервной копии AD DS, которая была выполнена до включения корзины Active Directory.

Вы можете включить корзину с PowerShell

Enable-ADOptionalFeature "Recycle Bin Feature" -server `
((Get-ADForest -Current LocalComputer).DomainNamingMaster) `
-Scope ForestOrConfigurationSet `
-Target (Get-ADForest -Current LocalComputer)
Sum1sAdmin
источник