AD恢復（1）使用LDP

在刪除 active directory 物件時，這些物件會被存放在「已刪除物件」容器中。預設情況下，不顯示 cn=deleted objects 容器。可以使用 active directory 域服務 (ad ds) 中的 ldp.exe 管理工具來顯示「已刪除物件」容器。

domain admins中的成員身份或同等身份是完成此過程所需的最低要求。

一、準備實驗環境

本實驗將首先刪除乙個使用者帳戶，然後再使用ldp工具進行恢復。該帳戶的dn（distinguishedname）為：cn=patcoleman,ou=employees,ou=user accounts,dc=contoso,dc=com

其它資訊如下：

二、啟用ldp

1. 在dc伺服器上開啟「命令提示符」，輸入：ldp

2. 繫結乙個帳戶。

若要連線並繫結到承載 ad ds 環境的林根域的伺服器，請單擊「連線」下的「連線」，然後單擊「繫結」。

3. 載入控制項

在「選項」選單中，單擊「控制」。

在「控制」對話方塊中，展開「預定義載入」下拉列表，單擊「返回已刪除物件（return deleted objects）」，然後單擊「確定」。

4. 檢視ad樹。

依次單擊「檢視」、「樹」。

在basedn中從下拉列表中選擇或者鍵入dc=,dc=，其中和表示 ad ds 環境對應的林根網域名稱

三、恢復

1. 修改屬性

在控制台樹中，雙擊根的可分辨名稱（也稱為 dn），並找到cn=deleted objects, dc=,dc=容器。

在deleted objects這個ou中，找到並右鍵單擊需要還原的已刪除 active directory 物件，然後單擊「修改」。。

2. 輸入第乙個屬性值。該值表示將該帳戶的「已刪除」的屬性刪除掉。

3. 輸入第二個屬性值。該值表示該帳戶恢復之後存放在哪乙個ou裡面。

4. 執行

備註：

在刪除或使用鏈結值屬性恢復 active directory 物件時，ad ds 必須處理物件的鏈結值表，才能對鏈結屬性的值維護參考完整性。因為刪除或恢復 active directory 物件將導致物件鏈結值表的修改，所以，如果在處理鏈結值表期間嘗試刪除或恢復物件，系統會阻止該操作。

四、驗證

開啟「active directory 使用者和計算機」。找到對應的ou。可以看到，該帳戶的密碼被清空，因此該帳戶目前已被禁用。

再檢查該帳戶的其它屬性，可以看到都被清空。

參考：《還原已刪除的 active directory 物件》