**如何檢視AD域賬號刪除記錄及恢復**

在日常AD域管理中，有時候我們不小心刪除了域賬號，或者我們想檢視這個域賬號是什麼時候建立並刪除的，那怎麼辦？是否可以恢復？其實微軟本身已經為我們的賬號資訊做了備份機制，活動目錄物件如果被刪除，系統並沒有直接將其徹底刪除，而是放在了一個不可見的 CN 中，這個 CN就是 Delete Objects 。被刪除的賬戶會在裡面待儲存180 天（預設）。
檢視域賬號的刪除記錄
1. 用域管理員登入域控伺服器
2. 開始－執行ldp.exe

3. 連線－>連線，伺服器填寫DC的ip地址，此DC為非全域性編錄伺服器，點選確定

4. 連線（Bind）－>確定

5. 選項－>控制，在預定義載入選項中選擇Return deleted objects，確定。

6.檢視->樹，填寫BaseDN，確定；

7. 展開左邊區域中的DN，找到CN=Deleted Objects,DC=hipad,DC=com這個目錄並展開（存在tombstone記錄中的物件）

8. 在列表中找到您之前刪除的使用者，雙擊開啟列表
9. 找到該刪除賬戶的DN，如CN=jason\0ADEL:e0272381-ecc9-4391-86e7-4afc9e73b4fe,CN=Deleted Objects,DC=ibm,DC=com，複製下來
10. 開始執行 cmd
11. 執行repadmin /showmeta “CN=jason\0ADEL:e0272381-ecc9-4391-86e7-4afc9e73b4fe,CN=Deleted Objects,DC=ibm,DC=com” 回車後您會看到下面的資訊

在Ver Attribute這個屬性下，你可以找到isDeleted這個屬性，該屬性對應的資訊就是使用者帳號的刪除時間和操作的伺服器資訊您看到的文章來自活動目錄

*恢復域賬號
一、準備實驗環境
　　本實驗將首先刪除一個使用者帳戶，然後再使用LDP工具進行恢復。該帳戶的DN（distinguishedName）為：CN=PatColeman,OU=employees,OU=User Accounts,DC=contoso,DC=com
　　其它資訊如下：



二、啟用LDP
1. 在DC伺服器上開啟“命令提示符”，輸入：LDP
2. 繫結一個帳戶。
　　若要連線並繫結到承載 AD DS 環境的林根域的伺服器，請單擊“連線”下的“連線”，然後單擊“繫結”。

1. 載入控制元件
   　　在“選項”選單中，單擊“控制”。
   

   　　在“控制”對話方塊中，展開“預定義載入”下拉選單，單擊“返回已刪除物件（Return deleted objects）”，然後單擊“確定”。
   

2. 檢視AD樹。
   　　依次單擊“檢視”、“樹”。
   

   　　在 BaseDN 中從下拉列表中選擇或者鍵入 DC=,DC=，其中 和 表示 AD DS 環境對應的林根域名
   

三、恢復
1. 修改屬性
　　在控制檯樹中，雙擊根的可分辨名稱（也稱為 DN），並找到 CN=Deleted Objects, DC=,DC= 容器。
　　在Deleted Objects這個OU中，找到並右鍵單擊需要還原的已刪除 Active Directory 物件，然後單擊“修改”。。

1. 輸入第一個屬性值。該值表示將該帳戶的“已刪除”的屬性刪除掉。
   

2. 輸入第二個屬性值。該值表示該帳戶恢復之後存放在哪一個OU裡面。
   

3. 執行
   

備註：
　　在刪除或使用連結值屬性恢復 Active Directory 物件時，AD DS 必須處理物件的連結值表，才能對連結屬性的值維護參考完整性。因為刪除或恢復 Active Directory 物件將導致物件連結值表的修改，所以，如果在處理連結值表期間嘗試刪除或恢復物件，系統會阻止該操作。
　　例如，如果在刪除帶有大量連結值屬性的物件（例如，一個有 1000 萬用戶的組物件）後立即（或在其連結值表處理過程中的任何時間）使用 Active Directory 回收站恢復此被刪除的物件，則系統會阻止恢復該物件。（如果使用 Ldp.exe 執行恢復，可能會看到以下錯誤訊息：“錯誤 0x2093，由於正在刪除物件，操作無法繼續。”）

四、驗證
　　開啟“Active Directory 使用者和計算機”。找到對應的OU。可以看到，該帳戶的密碼被清空，因此該帳戶目前已被禁用。
　　再檢查該帳戶的其它屬性，可以看到都被清空。