如何创建AD DC快照和回收站,演示创建过程,验证过程,并解释此功能的作用和意义,.
本帖最后由 sunshine_8205 于 2025-9-25 13:37 编辑如何创建AD DC快照和回收站,演示创建过程,验证过程,并解释此功能的作用和意义,以及使用场景?
以下内容基于 Windows Server 2012 R2 及以上版本(含 2016/2019/2022),演示全程在实验域 CONTOSO 中完成。
操作均使用内置工具,无需三方软件,严格遵守中国网络安全与数据保护规范。
一、功能速览
功能 作用 默认启用 粒度 恢复时间
AD 快照(Volume Shadow Copy,ntdsutil) 对整台 DC 的 NTDS.dit 做“只读时间点”克隆 否 整颗目录树 分钟级
AD 回收站(AD Recycle Bin) 把删除的对象先放进“回收站”,可一键还原属性、组链、密码 否(林功能级≥2008R2 可开) 单对象/OU 秒级
二、实验拓扑
林功能级:Windows Server 2012 R2
域名:contoso.com
角色:
– DC01(主 DC,持有 PDC/Schema Master)
– 客户端 Win10(验证)
三、演示 1:创建 AD 快照
1.以域管理员登录 DC01,打开“管理员命令提示符”
>_CMD
1 # 创建快照
2 ntdsutil
3 snapshot
4 activate instance ntds
5 create
6 # 系统返回 GUID,例如 {8c0d2f9b-5e3c-4b1e-8f3a-9e5b2c1d4e6f}
7 quit
8 quit
2.查看已有快照
>_CMD
1 ntdsutil
2 snapshot
3 list all
4 # 输出示例:
5 # 1: 2024/06/19:09:35{8c0d2f9b...}
6 # 2: 2024/06/18:22:10{a1b2c3d4...}
7 quit
8 quit
3.自动每日快照(可选)
任务计划程序 → 新建基本任务 → 每天 02:00 运行:
>_CMD
1 ntdsutil snapshot "activate instance ntds" create quit quit quit
四、演示 2:挂载快照并做“对象级”验证
1.挂载
>_CMD
1 ntdsutil
2 snapshot
3 mount {8c0d2f9b...}
4 # 系统返回挂载路径:C:\$SNAP_202406190935$\Windows\NTDS
5 quit
6 quit
2.用 dsamain 把快照当“只读 DC”打开
>_CMD
1 dsamain /dbpath:"C:\$SNAP_202406190935$\Windows\NTDS\ntds.dit" /ldapport 51389 /allowupgrade
3.在 Win10 打开“Active Directory 用户和计算机”→ 更改域控制器 → 输入
dc01.contoso.com:51389
即可浏览到“过去的 OU/用户”,确认对象存在即代表快照有效。
4.卸载
>_CMD
1 ntdsutil
2 snapshot
3 unmount {8c0d2f9b...}
4 quit
5 quit
五、演示 3:启用 AD 回收站
1.检查林功能级
</>POWERSHELL
1 Get-ADForest | fl Name,ForestMode
2 # 必须 ≥ Windows2008R2Forest
2.启用回收站(不可逆,需 Schema Admin)
</>POWERSHELL
1 Enable-ADOptionalFeature -Identity "CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com"
2 -Scope ForestOrConfigurationSet -Target contoso.com -Confirm:$false
3.验证状态
</>POWERSHELL
1 (Get-ADOptionalFeature -Filter {name -like "Recycle*"}).EnabledScopes
2 # 返回 contoso.com 即成功
六、演示 4:删除→回收站→还原
1.新建测试 OU:Sales,再建用户 ZhangSan
2.删除 OU(连同用户一起删)
3.立即查看回收站
</>POWERSHELL
1 Get-ADObject -Filter {isDeleted -eq $true -and Name -like "*Sales*"} -IncludeDeletedObjects -Properties LastKnownParent
4.一键还原(保留原 SID、组、密码)
</>POWERSHELL
1 Restore-ADObject -Identity <objectGUID> -NewParentOU "OU=Departments,DC=contoso,DC=com"
5.验证
用户重新出现在 OU
组成员身份、手机、邮箱字段全部回归
无需重置密码即可登录
七、意义与适用场景
1.误删 OU/用户/计算机账号——传统需“权威还原+重启 DC”,现在秒级还原,零停机。
2.勒索软件或内部运维误操作——可结合快照做“整林”对比,定位被篡改对象。
3.合规审计——保留 180 天内所有删除记录,满足等保/ISO27001 可追溯要求。
4.实验室/生产变更前——先打快照,补丁、Schema 扩展失败可秒回退。
5.回收站+快照组合:
– 单对象误删 → 回收站秒还原;
– 大批量或林级损坏 → 快照+权威还原。
八、日常运维建议
*快照保留策略:自动创建后 30 天自动删,防止占用 C 盘;可用 diskshadow 脚本+任务计划。
*回收站 Tombstone 生存时间默认 180 天,可在 msDS-deletedObjectLifetime 调整。
*定期演练:每季度随机删除测试账号,验证还原流程并记录 RTO/RPO。
*快照≠备份,仍需离线备份(WBAdmin/Azure Backup)到异机/异地,满足“3-2-1”原则。
一句话总结
AD 快照是“整本目录照相机”,AD 回收站是“单页碎纸机复原器”;
两者互补,5 条命令即可启用,误删对象秒级找回,彻底告别“重启 DC 进目录还原模式”的黑暗时代。
页:
[1]