在恢复已删除对象的情况下需要使用授权还原。如：当删除一个OU、计算机、用户等AD对象时，如果还原后重启域控制器，会与网络中其他域控制器进行复制同步，这样该域控制器就会接受到OU已经从其他复制伙伴删除的信息，打开Active Directory用户与计算机时，发现还原后的AD对象会再次被删除。

在这种情况下，就必须使用授权还原，以保证还原的AD对象能够复制到其他域控制器。要对 Active Directory 数据执行授权还原，在还原系统状态数据完成之后重新启动服务器之前，必须运行 Ntdsutil 实用程序。使用 Ntdsutil 实用程序，可以 Active Directory 对象标记为授权还原。如果对象标记为授权还原，将会对其更新序列号进行更改，使它比 Active Directory 复制系统中的所有其他更新序列号大。这样，将保证所有还原的已复制或已分发数据在本组织内得到正确的复制或分发。默认情况下，在执行授权还原时，被还原对象的USN将增加100000，这样被还原对象就成为整个域的授权副本。

实验环境：

clip_image001

DC01：域中第一台域控制器，宿主五个操作主机。

DC02：额外域控制器。

Client01：客户端，用于验证还原是否成功。

1.准备系统状态备份，使用之前的备份即可。使用Windows Server Backup备份系统状态步骤请参考：http://labixiaoniu.blog.51cto.com/695063/1293867。

2.模拟误删除对象。将客户端计算机帐号Client01和用户user1、wfax0425删除。删除计算机帐号后，客户端提示失去信任，无法登陆。

image

image

3.将DC01重启后，按F8，选择“目录服务修复模式”。

image

2.目录还原模式是不能登录到域的，使用 .\administrator 登陆到本地。

image

3.打开Windows Server Backup对系统状态进行还原。这个还原步骤不是实验的重点，上一篇中也详细介绍了还原方法，这里就不重复介绍。只截图几个关键步骤。

image

image

4.还原完成后不要选择重启，否则与其他域控制器一同步又会被删除。使用ntdsutil进行授权还原。打开CMD，输入：ntdsutil，然后设置活动实例输入：activate instance ntds 。

image

5.在ntdsutil中输入：authoriatative restore 。可以输入：？查看相应命令的使用方法，使用restore object “DN”进行授权还原。

image

6.在authoriatative restore下输入：restore object “cn=wfax0425,ou=it,ou=users,ou=long,dc=lab,dc=com”,对用户帐号wfax0425进行授权还原。计算机帐号的还原方式也是一样，输入：“cn=client01,ou=it,ou=users,ou=long,dc=lab,dc=com”,对计算机帐号进行授权还原。

注意：计算机帐号也是有密码的，此密码用于维持计算机和域之间的信任关系，由服务器进行维护。默认情况下这个密码每30天改变一次。所以进行还原时的备份如果是30天前的，则还原后的计算机帐号还是会和域失去信任。可以通过重新加域来重建信任。

image

image

7.授权还原完成后，重启这台服务器DC01。打开“Active Directory用户和计算机”工具可以看到，wfax0425、Client01这2个帐号已经成功还原，与DC02同步后也没有被删除，而没有进行授权还原的帐号user1同步后还是被删除了。在DC02查看这2个帐号也同步过去了。

image

image

8.使用客户端Client01进行登录测试，也可以成功登陆。

image

 

总结：在实际生产环境中，一般用户帐号及计算机帐号都会用来对资源权限分配，如果删除来这些帐号则会照成权限的永久丢失，因为新建一个一样的帐号，由于SID不同还是需要重新分配权限。这种情况则可以使用备份对误删除的对象做授权还原。但是在Windows Server 2012中还原误删除的对象有更好的解决方法，那就是AD回收站。相比2008 R2，2012中的AD回收站带有图形界面，操作更简单。在生产环境如果DC是Windows Server 2012，建议开启AD回收站，这样出现误删除的时候还原非常方便。