引言：在Windows Server 2003/2008等老版本中，在对域环境中的Active Directory数据库进行维护时，如果操作失误，很可能将某个Active Directory对象删除（例如用户等），恢复起来比较麻烦。虽然可以通过目录还原模式找回误删的对象，但不仅会浪费时间，而且进入目录服务还原模式后，域控制器就会暂时停止运作。本文为您介绍找回误删除账户的方法。

在Windows Server 2003/2008等老版本中，在对域环境中的Active Directory数据库进行维护时，如果操作失误，很可能将某个Active Directory对象删除（例如用户等），恢复起来就比较麻烦。特别是将某个组织单元删除的话，存储在其中的所有对象都会“消失”。这给实际的维护工作带来很大的困扰。虽然可以通过目录还原模式找回误删的对象，不过这不仅会浪费时间，而且进入目录服务还原模式后，域控制器就会暂时停止运作，无法为局域网中的用户提供服务。

防止误删账户

在Windows Server 2008 R2中，已经误删除账户情况采取了对应的解决方法。一种方法是在新建用户或组织单元等对象时，提供了防止意外删除功能。特别在创建组织单元时，默认会自动激活防止意外删除功能。这样，就可以有效避免误删除的情况发生。

例如，点击“开始→管理工具→Active Directory管理中心”项，在弹出窗口左侧点击对应的域名，在右键菜单上点击“新建→组织单元”项，创建名为“市场部”的组织单元。在该OU项的右键菜单上点击“新建→用户”项，在弹出窗口中输入名称、密码等信息，勾选“防止意外删除”项，点击“确定”，完成账户的创建操作。

用回收站找回误删的账户

Active Directory回收站功能，让管理员无需进入目录还原模式，就可以快捷地恢复误删的对象。当然，必须在命令行中完成。Active Directory回收站功能要求林功能级别必须是Windows Server 2008 R2，林 中 的 域控制器必须使用Windows Server 2008 R2，所 有域的域功能级别必须为Windows Server 2008 R2。操作方法是，点击“开始→管理工具→Active Directory管理中心”项，在弹出窗口左侧选择对应的域名，在右侧点击“提高林功能级别”或者“提高域功能级别”链接来实现。

如果当前的林功能或者域功能级别提高后，就无法再改回原来的级别。不同的级别模式，其拥有的功能存在差异。不同的域级别，对于验证机制保证、上次交互式登录信息、高级加密服务、更改域控制器主机名、通用组、组嵌套、SID历史文件等特色功能上，不同的域级别模式存在很大的不同。不同的林功能级别，在Active Directory回收站，全局编录的复制优化，不同林之间的信任关系、更改域名、只读域控制器、链接值复制等功能上就存在差异。

用命令行恢复误删账户

利 用Windows PowerShell的Active Directory模块提供的cmdlet命令，可以激活Active Directory回收站。但是，一旦启用之后就无法禁用Active Directory回收站功能，而且域和林的功能级别也无法降级。使用系统管理员账户，在某台可写域控制器上登录系统。点击“开始→管理工具→用于Windos PowerShell的Active Directory模块”程序项，在命令提示符窗口中执行“Enable-ADOptionalFeature′Recycle Bin Feature′ -scope ForestOrConfigurationSet-Target ′xxx.com′” 命令，来启用Active Directory回收站。假设域名为“xxx.com”。 在 本 例 中，如果管理员在使用Active Directory管理中心，对活动目录数据库进行维护时，误删了某个账户（例如位于“市场部”OU中的名为“zhanghu”用户），就可以采用两种方式进行恢复。

以系统管理员身份登录域控制器，点击“开始→管理工具→用于Windos PowerShell的Active Directory模 块”程序项，在CMD窗口中 执 行“Get-ADObject-ldapFilter： "(msDSLastKnownRDN=*)"-IncludeDeletedObject”命令。显示被删除的对象信息，在其中的“Deleted”栏中显示“True”项，表示发现被删除的对象。在“Name”栏中显示被删除的对象名以及其全局标识符。在“DistinguishedName”栏中显示该对象的属性信息，包括所属的域名等。

了解了以上信息后，执 行“Get-ADObject-Filter {displayName-eq "zhanghu"}IncludeDeletedObject |Restore-ADObject”命 令，就可以将恢复指定的误删除的账户，其中的“-eq”参数后面跟随需要恢复的账户名。之后进入Active Directory管理中心，可以看到该账户已经恢复如初了。

用图形界面找回误删账户

可 以 使 用“ldp.exe”程序，执行恢复操作。以管理员身份登录域控制器，点击“Win+R”键，执行“ldp.exe”程 序，在 弹出窗口中点击“连接→连接”项，在连接窗口中输入林根域内的域控制器主机名 称（例 如“Server”），点击“确定”。点击“连接→绑定”项，在弹出窗口中点击“确定”。点 击“查看→树”项，输入林根域域名（例 如“xxx.com”）。 点击“确定”。点击“选项→控制”项，在控制窗口右下角的“预定义加载”列表中 选 择“Return deleted objects”项，点击“确定”，在窗口左侧的分析列表中的打开“CN=Deleted Objects，DC=xxx ，DC=com”节点下，可以看到误删除的账户名信息。

在误删除项的右键菜单上点击“修改”项，选择“属性”，输入“isDeletd”，在“操作”栏中选择“删除”项，点击“输入”按钮。完成输入操作后，在“属性”栏中输入“distinguishedName”，在“值” 栏 中 输 入“cn=zhanghu，ou= 市 场部 ，dc=xxx，dc=com”，这里采用的是假设的账户名，组织单元名和域名，您可以根据实际情况加以更改。在窗口左下角选择“扩展”和“同步”项，在“操作”栏中选择“替换”项，点击“输入”按钮，完成恢复信息的输入操作。最后，点击“运行”按钮，就可以恢复误删除的账户了。比较上述方法，前者的操作最为简单，后者虽然较为复杂，但是拥有直观的图形界面。