如何创建AD DC快照和回收站，演示创建过程，验证过程，并解释此功能的作用和意义，.

sunshine_8205

如何创建AD DC快照和回收站，演示创建过程，验证过程，并解释此功能的作用和意义，以及使用场景？


以下内容基于 Windows Server 2012 R2 及以上版本（含 2016/2019/2022），演示全程在实验域 CONTOSO 中完成。
操作均使用内置工具，无需三方软件，严格遵守中国网络安全与数据保护规范。

一、功能速览
功能                                                                        作用                                                                                            默认启用                                        粒度                          恢复时间
AD 快照（Volume Shadow Copy，ntdsutil）                对整台 DC 的 NTDS.dit 做“只读时间点”克隆                                      否                                           整颗目录树                   分钟级
AD 回收站（AD Recycle Bin）                                把删除的对象先放进“回收站”，可一键还原属性、组链、密码                  否（林功能级≥2008R2 可开）   单对象/OU                   秒级

二、实验拓扑
林功能级：Windows Server 2012 R2
域名：contoso.com
角色：
– DC01（主 DC，持有 PDC/Schema Master）
– 客户端 Win10（验证）

三、演示 1：创建 AD 快照
1.以域管理员登录 DC01，打开“管理员命令提示符”

1. >_CMD
   
2. 1 # 创建快照
   
3. 2 ntdsutil
   
4. 3 snapshot
   
5. 4 activate instance ntds
   
6. 5 create
   
7. 6 # 系统返回 GUID，例如 {8c0d2f9b-5e3c-4b1e-8f3a-9e5b2c1d4e6f}
   
8. 7 quit
   
9. 8 quit

复制代码

2.查看已有快照

1. >_CMD
   
2. 1 ntdsutil
   
3. 2 snapshot
   
4. 3 list all
   
5. 4 # 输出示例：
   
6. 5 # 1: 2024/06/19:09:35  {8c0d2f9b...}
   
7. 6 # 2: 2024/06/18:22:10  {a1b2c3d4...}
   
8. 7 quit
   
9. 8 quit

复制代码

3.自动每日快照（可选）
任务计划程序 → 新建基本任务 → 每天 02:00 运行：

1. >_CMD
   
2. 1 ntdsutil snapshot "activate instance ntds" create quit quit quit
   

复制代码

四、演示 2：挂载快照并做“对象级”验证
1.挂载

1. >_CMD
   
2. 1 ntdsutil
   
3. 2 snapshot
   
4. 3 mount {8c0d2f9b...}
   
5. 4 # 系统返回挂载路径：C:\$SNAP_202406190935$\Windows\NTDS
   
6. 5 quit
   
7. 6 quit

复制代码

2.用 dsamain 把快照当“只读 DC”打开

1. >_CMD
   
2. 1 dsamain /dbpath:"C:\$SNAP_202406190935$\Windows\NTDS\ntds.dit" /ldapport 51389 /allowupgrade

复制代码

3.在 Win10 打开“Active Directory 用户和计算机”→ 更改域控制器 → 输入
dc01.contoso.com:51389
即可浏览到“过去的 OU/用户”，确认对象存在即代表快照有效。
4.卸载

1. >_CMD
   
2. 1 ntdsutil
   
3. 2 snapshot
   
4. 3 unmount {8c0d2f9b...}
   
5. 4 quit
   
6. 5 quit

复制代码

五、演示 3：启用 AD 回收站
1.检查林功能级

1. </>POWERSHELL
   
2. 1 Get-ADForest | fl Name,ForestMode
   
3. 2 # 必须 ≥ Windows2008R2Forest

复制代码

2.启用回收站（不可逆，需 Schema Admin）

1. </>POWERSHELL
   
2. 1 Enable-ADOptionalFeature -Identity "CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com"
   
3. 2 -Scope ForestOrConfigurationSet -Target contoso.com -Confirm:$false

复制代码

3.验证状态

1. </>POWERSHELL
   
2. 1 (Get-ADOptionalFeature -Filter {name -like "Recycle*"}).EnabledScopes
   
3. 2 # 返回 contoso.com 即成功
   

复制代码

六、演示 4：删除→回收站→还原
1.新建测试 OU：Sales，再建用户 ZhangSan
2.删除 OU（连同用户一起删）
3.立即查看回收站

1. </>POWERSHELL
   
2. 1 Get-ADObject -Filter {isDeleted -eq $true -and Name -like "*Sales*"} -IncludeDeletedObjects -Properties LastKnownParent

复制代码

4.一键还原（保留原 SID、组、密码）

1. </>POWERSHELL
   
2. 1 Restore-ADObject -Identity <objectGUID> -NewParentOU "OU=Departments,DC=contoso,DC=com"
   
3. 5.验证

复制代码

  用户重新出现在 OU
  组成员身份、手机、邮箱字段全部回归
  无需重置密码即可登录

七、意义与适用场景
1.误删 OU/用户/计算机账号——传统需“权威还原+重启 DC”，现在秒级还原，零停机。
2.勒索软件或内部运维误操作——可结合快照做“整林”对比，定位被篡改对象。
3.合规审计——保留 180 天内所有删除记录，满足等保/ISO27001 可追溯要求。
4.实验室/生产变更前——先打快照，补丁、Schema 扩展失败可秒回退。
5.回收站+快照组合：
– 单对象误删 → 回收站秒还原；
– 大批量或林级损坏 → 快照+权威还原。

八、日常运维建议
*快照保留策略：自动创建后 30 天自动删，防止占用 C 盘；可用 diskshadow 脚本+任务计划。
*回收站 Tombstone 生存时间默认 180 天，可在 msDS-deletedObjectLifetime 调整。
*定期演练：每季度随机删除测试账号，验证还原流程并记录 RTO/RPO。
*快照≠备份，仍需离线备份（WBAdmin/Azure Backup）到异机/异地，满足“3-2-1”原则。

一句话总结
AD 快照是“整本目录照相机”，AD 回收站是“单页碎纸机复原器”；
两者互补，5 条命令即可启用，误删对象秒级找回，彻底告别“重启 DC 进目录还原模式”的黑暗时代。