NAKIVO > Blog > Multiplatform

Cách khôi phục các đối tượng Active Directory đã bị xóa: Hướng dẫn toàn diện

Updated: Tháng Năm 26, 2026

Tác giả:: Đội ngũ NAKIVO

Với tư cách là một dịch vụ thư mục xác thực toàn cầu cung cấp khả năng quản lý tập trung các tài nguyên cơ sở hạ tầng CNTT, Active Directory (AD) là một trong những ứng dụng kinh doanh quan trọng nhất. Điều này có nghĩa là trong trường hợp xảy ra sự cố, việc khôi phục nhanh chóng là yếu tố thiết yếu để giảm thiểu thời gian ngừng hoạt động của dịch vụ. AD thường chứa rất nhiều đối tượng được tổ chức theo cấu trúc phân cấp, trong đó một số đối tượng phụ thuộc vào các đối tượng khác. Quá trình khôi phục có thể tốn nhiều thời gian vì bạn cần khôi phục một cấu trúc phân cấp phức tạp và tạo lại một số dữ liệu theo cách thủ công. Bài viết này giải thích cách khôi phục các đối tượng Active Directory đã bị xóa.

Cơ bản về khôi phục đối tượng Active Directory

Bạn có thể bắt đầu quá trình khôi phục AD bằng công cụ sao lưu tích hợp của Windows Server hoặc một công cụ của bên thứ ba được hỗ trợ. Active Directory cung cấp hai phương pháp khôi phục chính:

  • Non-Authoritative Recovery là phương pháp mặc định để khôi phục Active Directory. Phương pháp này đơn giản là đưa miền trở lại trạng thái tại thời điểm sao lưu được thực hiện và cho phép quá trình sao chép thông thường ghi đè lên bất kỳ thay đổi nào đối với đối tượng và container được thực hiện sau đó.
  • Authoritative Recovery gồm hai phần: khôi phục không có thẩm quyền từ bản sao lưu tiếp theo là khôi phục có thẩm quyền. Sự khác biệt chính là phương pháp này có thể thực hiện các thay đổi có thẩm quyền đối với các đối tượng và thuộc tính của chúng trong toàn bộ thư mục. Loại khôi phục này có thể ảnh hưởng đến tài khoản máy tính, mối quan hệ tin cậy và thành viên nhóm.

Để chọn phương pháp khôi phục AD phù hợp, hãy xem xét các yếu tố sau:

  • The cause of the failure: Nguyên nhân là do xóa hoặc sửa đổi đối tượng một cách vô tình hay cố ý, đã được sao chép đến tất cả các máy chủ miền, hay do sự cố hoàn toàn của toàn bộ máy ảo? Nếu là xóa/sửa đổi, bạn cần khôi phục có thẩm quyền.
  • Roles and functions của máy chủ Active Directory bị lỗi.

Công cụ tích hợp để khôi phục các đối tượng AD bị xóa

Các đối tượng AD bị xóa không phải lúc nào cũng hiển thị trong Active Directory Users and Computers snap-in. Bạn có thể xem Deleted Objects thùng chứa các đối tượng AD bị xóa và khôi phục chúng chỉ bằng các công cụ đặc biệt.

Có hai cách tiếp cận để khôi phục các đối tượng đã xóa trong Active Directory (AD) bằng cách sử dụng các công cụ gốc của Microsoft, bao gồm các công cụ tích hợp sẵn trong Windows Server: có sử dụng Thùng rác Active Directory và không sử dụng. Có sự khác biệt lớn giữa hai cách tiếp cận này.

Khôi phục mà không cần Thùng rác AD

Khi AD Recycle Bin is disabled, quy trình xóa và khôi phục các đối tượng AD diễn ra như sau:

  1. Khi một đối tượng bị xóa, đối tượng này sẽ trở thành một tombstone.
  2. Đối tượng tombstone được lưu trữ trong Deleted Objects thùng chứa trong khoảng thời gian được thiết lập tại tombstoneLifetime cho miền hiện tại. Hầu hết các thuộc tính sẽ bị mất khi đối tượng trở thành “tombstone”, còn được gọi là đối tượng đã xóa.
  3. Trong thời gian tồn tại của “tombstone”, bạn có thể khôi phục đối tượng AD nhưng không có thông tin bổ sung nào được ghi lại trong các thuộc tính của nó.
  4. Khi thời gian tồn tại của “tombstone” hết hạn, đối tượng sẽ bị xóa vĩnh viễn mà không thể khôi phục lại.

Vòng đời của đối tượng Active Directory được thể hiện trong sơ đồ dưới đây để minh họa nguyên tắc khôi phục các đối tượng AD mà không cần Thùng rác AD.

The lifecycle of a deleted Active Directory object when the AD Recycle Bin is disabled

Khôi phục từ Thùng rác AD

Tình huống sẽ thay đổi khi bạn turn on Active Directory Recycle Bin:

  1. Khi một đối tượng AD bị xóa, trạng thái của đối tượng sẽ được thay đổi thành trạng thái “bị xóa về mặt logic”. Các thuộc tính của đối tượng được lưu giữ trong khoảng thời gian được đặt trong Thời gian tồn tại của đối tượng đã xóa thuộc tính ( msDS-deletedObjectLifetime ), bằng với Thời gian tồn tại của đối tượng đã tái chế khoảng thời gian mặc định (180 ngày). Bạn có thể khôi phục các đối tượng đã xóa trong Active Directory trong khoảng thời gian này.
  2. Thuộc tính isDeleted được đặt thành True . Thuộc tính isRecycled False .
  3. Sau khi khoảng thời gian Deleted Object Lifetime hết hạn, trạng thái của đối tượng sẽ thay đổi từ logically deleted sang recycled object . Đối tượng tái chế tương tự như đối tượng tombstone khi Thùng rác AD bị vô hiệu hóa.
  4. Đối tượng tái chế này vẫn nằm trong Đối tượng đã xóa cho đến khi Thời gian tồn tại của đối tượng tái chế được định nghĩa trong thuộc tính tombstoneLifetime hết hạn. Theo mặc định, khoảng thời gian này là 180 ngày. Thuộc tính isRecycled được đặt thành True . Hầu hết các thuộc tính của đối tượng, vốn vẫn được giữ lại trong trạng thái xóa logic, sẽ bị xóa.
  5. Khi Thời gian tồn tại của đối tượng tái chế ( tombstoneLifetime ) hết hạn, cơ chế dọn dẹp rác của Active Directory sẽ dọn dẹp hoàn toàn đối tượng tái chế, và đối tượng này sẽ bị xóa vĩnh viễn. Việc khôi phục đối tượng hiện không thể thực hiện được.

The lifecycle of a deleted Active Directory object when the AD Recycle Bin is enabled

Thùng rác Active Directory: những điều bạn cần biết

Thùng rác Active Directory lần đầu tiên được giới thiệu trong Windows Server 2008 R2 và chỉ có thể sử dụng qua PowerShell. Giao diện người dùng đồ họa (GUI) cho Thùng rác AD đã có sẵn kể từ Windows Server 2012. Theo mặc định, Thùng rác AD bị tắt.

Lưu ý những điều sau trước khi bật Thùng rác Active Directory:

  • Khi bạn bật Thùng rác Active Directory, tất cả các tombstone trong rừng miền sẽ bị xóa. Điều này có nghĩa là nếu bạn xóa các đối tượng Active Directory rồi mới bật Thùng rác AD, sẽ không thể khôi phục lại các đối tượng đó. Để khôi phục các đối tượng Active Directory đã xóa, hãy sử dụng các phương pháp khác mà không dựa vào Thùng rác và chỉ sau đó mới bật Thùng rác.
  • Việc bật Thùng rác AD cho phép bạn khôi phục các đối tượng AD bị xóa sau khi Thùng rác AD được bật. Bật Thùng rác AD before bạn xóa các đối tượng AD.
  • Một khi Thùng rác AD đã được bật, bạn không thể tắt nó. Tùy chọn này là không thể đảo ngược. Sao lưu máy chủ miền AD của bạn trước khi bật Thùng rác AD nếu bạn không chắc chắn rằng mình cần tính năng này vĩnh viễn.
  • Việc bật Thùng rác AD sẽ thay đổi lược đồ Active Directory.
  • Active Directory sẽ tăng kích thước vì các đối tượng cùng các thuộc tính của chúng được lưu giữ tạm thời trong Active Directory sau khi thay đổi trạng thái.

Cách khôi phục các đối tượng AD đã xóa bằng các công cụ gốc

Chúng ta sẽ xóa các đối tượng trong Active Directory và sau đó xem xét cách khôi phục chúng với và không có Thùng rác AD. Chúng ta sẽ tìm hiểu 4 phương pháp tích hợp sẵn:

  • Ví dụ 1: Sử dụng PowerShell
  • Ví dụ 2: Sử dụng ADRestore
  • Ví dụ 3: Sử dụng Ldp.exe
  • Ví dụ 4: Khôi phục từ Thùng rác Active Directory

Ba ví dụ đầu tiên liên quan đến việc khôi phục các đối tượng AD mà không sử dụng Thùng rác Active Directory. Trong ví dụ thứ tư, chúng ta cần bật Thùng rác Active Directory, xóa một số đối tượng và sau đó khôi phục chúng.

The environment used in the examples:

  • Một máy chủ miền chạy trên Windows Server 2019 là máy chủ miền duy nhất trong rừng miền.
  • Tên miền là ID.TEST
  • Chúng ta có nhiều người dùng – user1 , user2 , user3 , v.v. là các thành viên của Group-A trong miền AD này.

Lưu ý rằng các phương pháp gốc được giải thích dưới đây không yêu cầu tắt máy chủ miền và đặt nó ở chế độ ngoại tuyến để khôi phục người dùng AD đã bị xóa.

Ví dụ 1: Khôi phục các đối tượng AD trong PowerShell (Restore-ADObject)

Hãy xóa user1 trong Active Directory và sau đó thử khôi phục user1 đối tượng. Chúng ta thực hiện các thao tác này trên máy chủ miền.

How to delete and restore deleted AD account

Thực hiện các bước sau để khôi phục người dùng AD đã xóa:

  1. Mở PowerShell với quyền quản trị (PowerShell nâng cao).
  2. Các đối tượng đã xóa nằm trong container DeletedObjects và có cờ isDeleted . Xem các đối tượng AD đã xóa bằng lệnh:

Get-ADObject -IncludeDeletedObjects -Filter {IsDeleted -eq $true}

  1. Để khôi phục một đối tượng, chúng ta cần xóa cờ isDeleted khỏi đối tượng này. Chúng ta cần khôi phục user1 . Nhập lệnh để hiển thị tất cả các đối tượng có tên bắt đầu bằng user . Để thực hiện điều này, chúng ta thêm các tùy chọn sau vào bộ lọc: {Isdeleted -eq $true -and Name -like “user*“}

Lệnh sau đây áp dụng để hiển thị các người dùng khác như user2 , user3 , v.v., nếu họ đã bị xóa:

Get-ADObject -IncludeDeletedObjects -Filter {Isdeleted -eq $true -and Name -like "user*"}

How to view information about a deleted AD user in PowerShell

  1. Lưu ý ObjectGUID hoặc DistinguishedName của đối tượng cần thiết. Chúng tôi sử dụng ObjectGUID cho user1 trong trường hợp của chúng tôi:

4c723d90-5a05-47c3-9482-c05dc3c6201c

  1. Để khôi phục đối tượng đã xóa, hãy chạy lệnh như sau:

Restore-ADObject -Identity "GUID or DistingushedName here" -NewName "new_restore_name"

Trong trường hợp của chúng tôi:

Restore-ADObject -Identity "4c723d90-5a05-47c3-9482-c05dc3c6201c" -NewName "user1-restored"

  1. Tùy chọn, bạn có thể định nghĩa một vị trí thay thế để khôi phục đối tượng hiện tại bằng cách sử dụng khóa -TargetPath và đặt tên phân biệt (DN) cho vị trí mới, ví dụ:

CN=Users,DC=domain,DC=net

Sau khi chạy lệnh và khôi phục đối tượng Active Directory, chúng ta không thấy user1 trong danh mục Users và trong Group-A nơi người dùng này từng ở trước đó.

If you recover deleted AD accounts without the Recycle Bin, group membership is not restored

Điều này là do hầu hết các thuộc tính của đối tượng đều bị mất sau khi xóa một đối tượng Active Directory mà không sử dụng Thùng rác AD, ngay cả khi chính đối tượng đó đã được khôi phục.

We restore deleted AD accounts and can find the accounts in Domain Users

Chúng ta có thể tìm thấy đối tượng AD đã khôi phục user1-restored trong nhóm Domain Users . Tên đăng nhập của người dùng chỉ được lưu ở định dạng trước Windows 2000. Tài khoản user1-restored hiện đang ở trạng thái bị vô hiệu hóa. Điểm quan trọng là SID gốc được giữ nguyên, và mọi quyền NTFS đối với các tệp và thư mục liên quan đến người dùng này vẫn còn hiệu lực.

Only the pre-Windows 2000 logon name is preserved after restoring an AD user

Lưu ý: Nếu bạn tạo lại một đối tượng AD mới thay vì khôi phục một đối tượng đã xóa từ bản ghi tombstone, thì các giá trị mới cho các thuộc tính objectGUID objectSID sẽ được gán, và các tham chiếu đến đối tượng này cần được cập nhật.

Chúng ta cần chỉnh sửa tên đăng nhập, kích hoạt tài khoản, cập nhật mật khẩu và thêm người dùng này vào Group-A . Có rất nhiều công việc thủ công cần thực hiện để khôi phục chính xác tất cả các thuộc tính và tư cách thành viên.

Ví dụ 2: Sử dụng ADRestore để khôi phục người dùng AD đã xóa

Thùng rác Active Directory vẫn bị vô hiệu hóa trong ví dụ thứ hai của chúng tôi.

User2 , là thành viên của Group-A , đã bị xóa.

Chúng ta sẽ sử dụng công cụ miễn phí ADRestore để khôi phục các đối tượng bị xóa trong Active Directory. Công cụ này có sẵn trên trang web của Microsoft:

https://docs.microsoft.com/en-us/sysinternals/downloads/adrestore

  1. Tải xuống công cụ và giải nén nội dung từ tệp zip vào một thư mục cụ thể, ví dụ: C:programsadrestore
  2. Truy cập thư mục này trong PowerShell:

cd c:programsadrestore

Chúng ta chạy PowerShell với quyền quản trị viên.

  1. Xem thông tin về người dùng đã xóa user2 bằng cách chỉ định tên người dùng chính xác trong PowerShell với quyền quản trị:

Get-ADObject -Filter 'SAMAccountName -eq "user2"' -IncludeDeletedObjects

Viewing the information about the deleted user in PowerShell

Deleted: True xác nhận rằng người dùng này đã bị xóa.

CN=Deleted Objects có nghĩa là đối tượng (tài khoản người dùng) đã được di chuyển đến Deleted Objects container.

  1. Ghi lại ObjectGUID của user2 :

c6c121a3-d664-4d71-a6ef-9ad26b833fe6

  1. Nhập lệnh để khôi phục đối tượng bằng adrestore bằng cách chỉ định ObjectGUID của người dùng cần khôi phục:

.adrestore -r c6c121a3-d664-4d71-a6ef-9ad26b833fe6

Nhập y và nhấn Enter để xác nhận và tiếp tục.

How to restore Active Directory object with ADRestore in PowerShell

  1. Sau khi đối tượng đã xóa ( user2 ) được khôi phục, hãy kiểm tra người dùng này trong cửa sổ Active Directory Users and Computers .

Kết quả tương tự như trong ví dụ đầu tiên. Người dùng user2 được khôi phục mà không kèm theo dữ liệu bổ sung như thuộc tính và thành viên nhóm.

AD recovery – the user is restored

Ví dụ 3:

Khôi phục người dùng AD đã xóa bằng Ldp.exe
Phương pháp thứ ba trong hướng dẫn của chúng tôi để khôi phục người dùng AD đã xóa ldp.exe

  1. 3 Start > Run không yêu cầu Thùng rác AD. Trong phương pháp này, chúng tôi sử dụng một tiện ích LDAP miễn phí Win+R

    Công cụ Ldp là một công cụ gốc của Microsoft đi kèm với các hệ điều hành Windows Server như Windows Server 2008, 2012, v.v. Công cụ này là một máy khách LDAP nhẹ với giao diện người dùng đồ họa (GUI) theo phong cách Windows Explorer, cho phép bạn xem và chỉnh sửa các mục Active Directory.

  2. Nhấp vào ldp (hoặc nhấn ).
    Enter Nhập

    3. vào hộp thoại Run

và nhấn Running the Ldp tool for restoring AD objects after deleting.

  1. Connection > Connect

Nhấp vào Connecting to a server in the Ldp.exe utility trong cửa sổ chính của Ldp.


  1.

    2. Đặt các thông số cần thiết trong cửa sổ Connect

.
Server:
 Nhập địa chỉ IP hoặc tên máy chủ AD DC của bạn.Port:

389 hoặc 636 được sử dụng theo mặc định.OK

Nhấp vào Setting up the connection parameters in the Ldp tool.

  1. Connection > Bind

    2. Nhấp vào

trong cửa sổ chính của Ldp.Binding to Active Directory in the LDP.exe tool

Vì chúng ta đã đăng nhập với tư cách quản trị viên miền trên máy chủ miền, chúng ta chọn tùy chọn đầu tiên:

  • Bind as currently logged on user

.

 Bạn có thể sử dụng tùy chọn thứ hai ( Kết nối bằng thông tin đăng nhập ) và thiết lập tên người dùng, mật khẩu và miền mà bạn muốn kết nối.OK

Nhấn Selecting binding options để tiếp tục.

  1. Options > Controls

    2. Nhấp vào

trong cửa sổ Ldp chính.

Trong PowerShell với quyền quản trị, bạn có thể chạy lệnh để xem thông tin về người dùng đã xóa.Get-ADObject -Filter 'SAMAccountName -eq "user3"' -IncludeDeletedObjects

Đối tượng objectGUI của user3 là:17ede5dc-b527-4ae4-ba5b-3ed50855be80

Return deleted objects

Chọn trong menu thả xuống Load Predefined của cửa sổ Controls . Nhấn OK.

Selecting Return deleted objects in Controls to restore deleted AD objects

  1. Nhấp vào View > Tree trong cửa sổ Ldp chính.

Nhập BaseDN . Tên miền của chúng tôi là ID.TEST BaseDN DC=ID,DC=TEST

Nhấn OK để tiếp tục.

Entering a baseDN when using Ldp.exe

  1. Điều hướng trong cây đến đối tượng đã xóa mà bạn cần khôi phục ( user3 là đối tượng mà chúng tôi muốn khôi phục từ Thùng rác AD trong trường hợp của chúng tôi). Mở rộng một miền và mở rộng Deleted Objects container.
Tên người dùng của chúng tôi là user3 . ObjectGUID của đối tượng này được hiển thị trong cửa sổ Ldp với chế độ xem cây được bật. Như bạn có thể thấy, ObjectGUID này cho user3 giống hệt như được hiển thị trong PowerShell ở trên.

Lưu ý: Bạn có thể xem kết quả của các thao tác đã thực hiện ở khung bên phải của cửa sổ.

Selecting a deleted AD user in the window of the LDP tool

  1. Nhấp chuột phải vào đối tượng ( user3 trong trường hợp của chúng ta) và nhấp vào Modify trong menu ngữ cảnh.

There is the need to modify some values to restore AD account in the Ldp tool

  1. DN đã được chọn tự động.

Nhập isDeleted vào trường Edit Entry Attribute .

Chọn Delete trong các tùy chọn Operation .

Nhấp vào nút Enter trong cửa sổ này.

Selecting the isDeleted attribute to delete for the AD object we want to recover

  1. Nhập distinguishedName vào trường Values .

Nhập các giá trị để khôi phục đối tượng, ví dụ: CN=user3,OU=Users,DC=ID,DC=test

Bạn có thể nhập các giá trị cho vị trí DN tùy chỉnh để khôi phục.

Chọn thao tác Replace .

Nhấp vào nút Enter trong giao diện của cửa sổ Modify này.

Chọn hộp kiểm SynchronousExtended . Sau đó nhấp vào Run.

Entering values and selecting the Replace operation

Sau khi khôi phục đối tượng AD đến vị trí đã chọn bằng phương pháp này sử dụng công cụ Ldp (LDAP), dữ liệu bổ sung có thuộc tính sẽ không được khôi phục (mật khẩu, thành viên nhóm, v.v.). Bạn cần cấu hình các thông số này thủ công.

Nhìn chung, kết quả tương tự như kết quả đạt được với hai phương pháp còn lại, vốn cũng không sử dụng Thùng rác Active Directory.

Hãy kích hoạt Thùng rác Active Directory và xem kết quả khác biệt khi khôi phục các đối tượng đã xóa trong Active Directory.

Ví dụ 4: Cách khôi phục từ Thùng rác Active Directory

Trước khi tiến hành khôi phục, hãy xem cách kích hoạt Thùng rác Active Directory.

Cách kích hoạt Thùng rác Active Directory

Bạn nên Sao lưu Active Directory máy chủ miền trước khi kích hoạt Thùng rác AD. Điều này cho phép bạn quay lại trạng thái ban đầu (với Thùng rác AD bị vô hiệu hóa và các bản ghi tombstone hiện có) nếu cần thiết.

Chạy lệnh để kiểm tra xem Thùng rác Active Directory đã được kích hoạt chưa:

Get-ADOptionalFeature "Recycle Bin Feature" | select-object name,EnabledScopes

Nếu bạn thấy dấu ngoặc trống {} trong kết quả, Thùng rác AD đang bị vô hiệu hóa.

How to view AD Recycle Bin status (enabled or disabled) in PowerShell

Dưới đây là các yêu cầu để kích hoạt Thùng rác AD.

  • Bạn phải đăng nhập vào Windows Server với tư cách quản trị viên miền hoặc người dùng thuộc nhóm Enterprise Admins hoặc Schema Admins.
  • Mức chức năng của rừng phải là Windows Server 2008 trở lên để kích hoạt Thùng rác Active Directory.

Có hai phương pháp chính để kích hoạt Thùng rác AD: trong PowerShell và trong Server Manager.

1. Enabling AD Recycle Bin in PowerShell

Chạy các lệnh sau để bật Thùng rác Active Directory trong PowerShell với quyền quản trị:

Import-Module ActiveDirectory

Thông thường, lệnh để kích hoạt Thùng rác Active Directory có dạng như sau:

Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target

Trong trường hợp của chúng tôi, lệnh chính xác với tên miền được chỉ định là:

Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=ConfigurationDC=id,DC=test' -Scope ForestOrConfigurationSet -Target 'id.test'

Nhập tên miền của bạn thay cho id.test được sử dụng trong ví dụ của chúng tôi.

2. Enabling AD Recycle Bin in Server Manager

  1. Mở Server Manager. Nhấp vào Start và nhập server manager hoặc nhấn Win+R. Trong cửa sổ Run , nhập dsac.exe và nhấn Enter.
  2. Đi đến Tools > Active Directory Administrative Center trong cửa sổ Server Manager .

Opening the Active Directory Administrative Center

  1. Chọn miền gốc của rừng trong khung bên trái. Trong trường hợp của chúng tôi, chúng tôi chọn ID (local) .
  2. Nhấp vào Enable Recycle Bin trong khung bên phải.

How to enable Active Directory Recycle Bin in the AD Administrative Center

  1. Đọc cảnh báo và nhấp vào OK trong cửa sổ Xác nhận Kích hoạt Thùng rác để tiếp tục.

Refresh AD Administrative Center after you turn on AD Recycle Bin

  1. Bạn cần làm mới cửa sổ Trung tâm Quản trị Active Directory. Nhấp vào nút Refresh ở góc trên bên phải của cửa sổ Trung tâm Quản trị.
  2. Sau đó, tùy chọn Enable Recycle Bin sẽ bị mờ đi (không hoạt động).
  3. Thùng rác Active Directory ( Deleted Objects ) sẽ xuất hiện trong menu khi bạn nhấp vào miền của mình để mở rộng nội dung.

Locating an object to restore from AD Recycle Bin

  1. Đảm bảo rằng Thùng rác Active Directory đã được bật bằng cách chạy lệnh trong PowerShell:

Get-ADOptionalFeature "Recycle Bin Feature" | select-object name,EnabledScopes

Để xem thêm thông tin về các tính năng, hãy sử dụng lệnh này:

Get-ADOptionalFeature -filter *

How to check that the AD Recycle Bin in enabled in PowerShell

Khôi phục người dùng từ Thùng rác Active Directory

Hãy xóa người dùng user4 , người là thành viên của nhóm Group-A trong miền id.test của chúng ta, giống như chúng ta đã làm trong các ví dụ trước với các người dùng khác.

Deleting a user in Active Directory

Mở Thùng rác AD tại Server Manager > Active Directory Administrative Center và chọn một người dùng đã bị xóa. User4 là đối tượng mà chúng ta muốn khôi phục từ Thùng rác Active Directory trong trường hợp này.

Có bốn tùy chọn chính cho một đối tượng Active Directory đã bị xóa trong Thùng rác:

  • Restore – khôi phục các đối tượng AD đã xóa về đơn vị tổ chức ban đầu
  • Restore To – chọn một đơn vị tổ chức khác làm đích để khôi phục đối tượng AD đã xóa
  • Locate Parent – mở đơn vị tổ chức ban đầu nơi đối tượng đã xóa được lưu trữ
  • Properties – xem một số thuộc tính của đối tượng đã xóa như Ngày tạo , Đã sửa đổi , Tên chuẩn , Lớp đối tượng hoặc Số thứ tự cập nhật

Để khôi phục người dùng về vị trí ban đầu, nhấp vào Restore trong menu ở bên trái cửa sổ.

User4 is the object we need to restore from AD Recycle Bin

User4 đã được khôi phục dưới dạng đối tượng Active Directory về cùng vị trí với tất cả dữ liệu và thuộc tính liên quan được giữ nguyên. Thành viên nhóm được giữ nguyên, và user4 là thành viên của Group-A sau khi được khôi phục.

A user has been restored with attributes and group membership

Lệnh để khôi phục người dùng AD đã xóa từ Thùng rác Active Directory trong PowerShell như sau:

Get-ADObject -Filter {displayName -eq "user4"} -IncludeDeletedObjects | Restore-ADObject

Thay đổi user4 thành đối tượng bạn muốn khôi phục trên máy chủ của mình.

Do đó, Thùng rác Active Directory rất hữu ích nếu bạn không thực hiện Sao lưu Active Directory.

Cách thay đổi thời gian lưu trữ trong Thùng rác AD

Bạn có thể thay đổi một số cài đặt của Thùng rác Active Directory để có thể khôi phục các đối tượng đã xóa trong Active Directory trong thời gian dài hơn. Chúng ta sẽ tìm hiểu cách thay đổi hai thiết lập sau:

  1. Thời gian tồn tại của Tombstone ( tombstoneLifetime )
  1. Thời gian tồn tại của đối tượng đã xóa ( msDS-DeletedObjectLifetime )

Lưu ý: Việc tăng giá trị cho hai tham số này có thể ảnh hưởng đến hiệu suất của Active Directory.

Cách kiểm tra thời gian tồn tại hiện tại của Tombstone trong PowerShell

Xem thời gian tồn tại hiện tại của Tombstone trong PowerShell với quyền quản trị bằng bộ lệnh sau:

Import-Module ActiveDirectory

$ADForestconfigurationNamingContext = (Get-ADRootDSE).configurationNamingContext

$DirectoryServicesConfigPartition = Get-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,$ADForestconfigurationNamingContext" -Partition $ADForestconfigurationNamingContext -Properties *

$TombstoneLifetime = $DirectoryServicesConfigPartition.tombstoneLifetime

Write-Output "Active Directory’s Tombstone Lifetime is set to $TombstoneLifetime days `r "

How to view AD Recycle Bin tombstone lifetime in PowerShell

  1. Mở Chỉnh sửa ADSI công cụ này là công cụ tiêu chuẩn được cài đặt sẵn trong Windows Server 2019.

Bạn có thể tìm thấy công cụ này tại

C:ProgramDataMicrosoftWindowsStart MenuProgramsAdministrative Tools

hoặc bằng cách sử dụng đường dẫn này:

%SystemRoot%system32adsiedit.msc

Bạn có thể nhấp vào Start và nhập ASDI Edit để chạy công cụ nhanh chóng.

How to open ADSi Edit in Windows

  1. Nhấp chuột phải vào ADSI Edit trong cửa sổ và nhấp vào Connect to trong menu ngữ cảnh.

Connecting to an Active Directory domain controller in ADSI Edit

  1. Trong cửa sổ Cài đặt kết nối , hãy thiết lập các thông số sau:
  • Tên: Configuration
  • Điểm kết nối : Select a well known Naming Context > Configuration
  • Máy tính: Default

Nhấp vào OK để áp dụng các cài đặt này.

ADSI connection settings

  1. Cây cấu hình Active Directory hiện được hiển thị trong cửa sổ chính của công cụ ADSI Edit .
  2. Chuyển đến Configuration > CN=Configuration > CN=Services > CN=Windows NT > CN=Directory Service
  3. Nhấp chuột phải vào CN=Directory Service và trong menu ngữ cảnh, nhấp vào Properties.

Opening properties for Directory Service

  1. Cuộn xuống danh sách các thuộc tính và tìm tombstoneLifetime. Như chúng ta đã kiểm tra trước đó, giá trị mặc định là 180 ngày.
  2. Nhấp đúp vào tombstoneLifetime để chỉnh sửa giá trị đã đặt.

How to change Tombstone Lifetime

  1. Nhập giá trị mới, ví dụ: 365 và nhấn OK để lưu cài đặt.

Changing tombstoneLifetime

Lưu ý: Nếu bạn đặt giá trị thành null <not set>, thì thời gian tồn tại của tombstone sẽ tự động được đặt thành 60 ngày vì khoảng thời gian này được mã hóa cứng trong cấu hình hệ thống cho giá trị null.

  1. Giá trị mới đã được đặt.

Tombstone Lifetime is changed

  1. Nhấp vào OK để lưu cài đặt và đóng cửa sổ Properties .

Bạn có thể kiểm tra xem giá trị đã được thiết lập trong PowerShell bằng cách sử dụng bộ lệnh được giải thích ở trên.

Checking a new Tombstone Lifetime value in PowerShell

Cách chỉnh sửa thời gian tồn tại của tombstone trong PowerShell

Mở PowerShell với quyền quản trị viên.

Chạy bộ lệnh để thiết lập giá trị thời gian tồn tại mới của tombstone trong PowerShell với quyền quản trị viên:

Import-Module ActiveDirectory

$ADForestconfigurationNamingContext = (Get-ADRootDSE).configurationNamingContext

Set-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,$ADForestconfigurationNamingContext" -Partition $ADForestconfigurationNamingContext -Replace @{tombstonelifetime='366'}

Kiểm tra thời gian tồn tại của tombstone đã được cập nhật bằng cách sử dụng bộ lệnh phù hợp được giải thích trong phần trước.

How to change tombstone lifetime for AD recovery in PowerShell

Cách thay đổi thời gian tồn tại của đối tượng đã xóa

Thuộc tính msDS-deletedObjectLifetime xác định thời gian tồn tại của đối tượng đã xóa. Bạn có thể chỉnh sửa tham số này bằng công cụ ASDI Edit giống như khi chỉnh sửa tham số thời gian tồn tại của tombstone.

Truy cập:

Configuration > CN=Configuration,DC=ID,DC=TEST > CN=Services > CN = Windows NT > CN=Directory Service

Trong CN=Directory Service, tìm thuộc tính msDS-deletedObjectLifetime và chỉnh sửa giá trị. Giá trị mặc định là null . Điều này có nghĩa là thời gian tồn tại của đối tượng đã xóa bằng với thời gian tồn tại của tombstone.

Giá trị tối thiểu bạn có thể đặt là 2 (tức là 2 ngày).

How to change the Deleted Object lifetime

Những hạn chế của các công cụ khôi phục AD gốc

Hãy tổng kết những hạn chế khi sử dụng các công cụ và phương pháp khôi phục AD gốc:

  • Có rất nhiều công việc thủ công cần thực hiện, chẳng hạn như chạy các lệnh hoặc cấu hình các tham số cần thiết trong giao diện người dùng (GUI) của các tiện ích được cung cấp.
  • Quá trình tìm kiếm và khôi phục có thể tốn nhiều thời gian.
  • Mật khẩu người dùng sẽ không được giữ nguyên sau khi khôi phục. Bạn cần đặt lại mật khẩu cho từng người dùng.
  • Bạn cần thêm một số đối tượng hoặc thuộc tính cho các đối tượng đã khôi phục theo cách thủ công.
  • Thùng rác Active Directory (Active Directory Recycle Bin) cải thiện quy trình khôi phục các đối tượng AD và khôi phục hầu hết các thuộc tính của đối tượng. Tuy nhiên, tính năng này không có tác dụng nếu không được bật trước khi các đối tượng bị xóa.
  • Khi bạn bật Thùng rác Active Directory, kích thước của Cây thông tin thư mục (DIT) sẽ tăng lên.
  • Bạn không thể khôi phục các đối tượng Active Directory đã xóa nếu thời gian kể từ khi xóa vượt quá thời gian tồn tại của tombstone.

May mắn thay, bạn có thể bỏ qua các giới hạn thời gian của Thùng rác Active Directory bằng cách sao lưu Active Directory.

Khôi phục các đối tượng AD từ bản sao lưu

Khôi phục các đối tượng Active Directory đã xóa từ bản sao lưu là phương pháp đáng tin cậy nhất và cho phép bạn khôi phục các đối tượng AD đã xóa bất kể Thùng rác Active Directory có được bật hay không. Phương pháp sao lưu bao gồm việc sao lưu Active Directory hoặc toàn bộ máy chủ miền đang chạy trên máy chủ vật lý hoặc máy ảo.

Chúng tôi sẽ giải thích cách khôi phục các đối tượng Active Directory đã xóa từ bản sao lưu bằng giải pháp bảo vệ dữ liệu toàn diện NAKIVO Backup & Replication:

  • Chúng tôi đã thực hiện sao lưu máy chủ miền Active Directory. Trong ví dụ này, máy chủ miền được cài đặt trên một máy ảo (VM) trong VMware vSphere, và chúng tôi đã sao lưu toàn bộ VM.
  • Hệ điều hành là Windows Server 2019, giống như trong các ví dụ trước trong bài viết này.
  • Tên miền là domain1.local trong ví dụ này, nhưng các cài đặt còn lại cho miền này giống hệt với ví dụ trước.

Yêu cầu

Các yêu cầu đối với máy chủ mà bạn khôi phục các đối tượng AD đã xóa là:

  • Phải cài đặt Visual C++ Redistributable cho Visual Studio 2015. vc_redist.x86.exeTrình cài đặt

    • (phiên bản 2015) có sẵn trên trang web của Microsoft.

    • Dịch vụ iSCSI Initiator phải được khởi động.

    • Cổng TCP 5000 phải được mở.

    • Mô-đun Active Directory cho PowerShell phải được cài đặt.

Xóa các đối tượng AD
Hãy xóa đơn vị tổ chức unit1 trong miền của chúng ta, đó là domain1.local . Đơn vị tổ chức này chứa ba người dùng: user1 , user2 user3 Deleting users in Active Directory.

Khôi phục các đối tượng AD đã xóa từ bản sao lưu Recover
Mở giao diện web của giải pháp sao lưu NAKIVO.

Chọn tác vụ sao lưu máy ảo VMware vSphere chứa bản sao lưu máy chủ miền Active Directory.

Nhấp vào >Microsoft Active Directory objects Starting to recover deleted AD objects.

    Trình hướng dẫn khôi phục đối tượng cho máy chủ Microsoft AD sẽ mở ra.

  1. Backup. Chọn máy ảo cần thiết từ bản sao lưu đã chọn. Sau đó chọn điểm khôi phục. Trong trường hợp của chúng tôi, bản sao lưu chứa một máy ảo có máy chủ AD (tên máy ảo là Blog-Win19-DC

    2. ) và chúng tôi chọn điểm khôi phục mới nhất.


Next Nhấp vào ở mỗi bước để tiếp tục.Selecting a backup and recovery point from which to recover Active Directory objects

  1. Recovery Server

    2. . Chọn cài đặt máy chủ khôi phục:

  • Recovery Server

    • : Chọn máy chủ khôi phục làm đích để khôi phục các đối tượng AD đã xóa. Chúng tôi khôi phục các đối tượng này vào cùng một máy ảo. Bạn có thể mở rộng danh sách và chọn máy chủ hoặc máy ảo từ kho của mình.

  • Server hostname or IP

    • : Nhập tên máy chủ hoặc địa chỉ IP của máy ảo hoặc máy chủ đã chọn.

  • Username: Nhập tên người dùng của quản trị viên miền hoặc các người dùng khác có quyền thích hợp trong miền. Trong ví dụ của chúng tôi, tên người dùng là domain1administrator
  • Password

    • : Nhập mật khẩu của người dùng đã định nghĩa.

Selecting a recovery server for AD recovery

Test Connection Nhấp vào Next. Nếu bạn đã vượt qua bài kiểm tra, hãy nhấp vào .Configuring recovery server settings and testing the connection

Lưu ý: Đảm bảo dịch vụ iSCSI Initiator đang chạy trên máy chủ Windows Server đích (nơi bạn khôi phục các đối tượng AD). Nếu không, bạn sẽ nhận được lỗi: Dịch vụ “iSCSI Initiator” không đang chạy trên máy chủ khôi phục . Kiểm tra kết nối sẽ thất bại trong trường hợp này.

Bạn có thể khởi động dịch vụ Microsoft iSCSI Initiator trong cửa sổ Quản lý Máy tính (Computer Management > Services and Applications > Services).

How to start the iSCSI initiator service in Windows

Ngoài ra, bạn có thể khởi động dịch vụ trong PowerShell:

  1. Kiểm tra trạng thái dịch vụ iSCSI Initiator:

Get-Service -Name MSiSCSI

  1. Khởi động dịch vụ iSCSI:

Start-Service msiscsi

  1. Đặt loại khởi động dịch vụ thành tự động:

Set-Service -Name MSiSCSI -StartupType Automatic

  1. Kiểm tra xem dịch vụ iSCSI Initiator đã được khởi động chưa:

Get-Service -Name MSiSCSI

How to start the iSCSI initiator service in PowerShell

  1. Objects. Chọn các đối tượng AD mà bạn muốn khôi phục. Có thể khôi phục nhiều đối tượng cùng lúc với mức độ tự động hóa cao. Chúng tôi muốn khôi phục các tài khoản AD đã bị xóa.
Trong khung bên trái, duyệt qua cây các đối tượng Active Directory có sẵn trong bản sao lưu. Sau khi chọn đối tượng cha, chọn các đối tượng cần khôi phục trong khung bên phải. Trong trường hợp của chúng tôi, chúng tôi duyệt qua unit1 và chọn ba người dùng ( user1 , user2 user3 ) nằm trong đơn vị tổ chức này để khôi phục.

Select and restore deleted AD users

Lưu ý: Bạn có thể thấy thông báo Không thể tải điểm khôi phục nếu dịch vụ iSCSI chưa được khởi động. Để khởi động dịch vụ iSCSI trên máy Linux, ví dụ như trên máy có kho lưu trữ sao lưu hoặc Transporter, hãy chạy lệnh:

/etc/init.d/iscsid start

  1. Options. Chọn các tùy chọn khôi phục AD tại bước này. Tất cả các tùy chọn có thể có được liệt kê bên dưới.
  • Recovery type:
  • Khôi phục về vị trí ban đầu
  • Xuất
  • Recovery of user object:
  • Người dùng sẽ bị vô hiệu hóa
  • Người dùng phải thay đổi mật khẩu khi đăng nhập lần tiếp theo
  • Overwrite behavior:
  • Đổi tên mục đã khôi phục nếu mục đó tồn tại
  • Bỏ qua mục đã khôi phục nếu mục đó tồn tại
  • Ghi đè lên mục gốc nếu mục đó tồn tại

Trong ví dụ khôi phục AD này, chúng tôi đang khôi phục các mục về vị trí ban đầu và chọn các tùy chọn, như bạn có thể thấy trong ảnh chụp màn hình bên dưới.

Options to recover deleted AD objects

Nhấp vào Recover, đọc thông báo và nhấn Proceed.

Restoring AD objects – a notification about attributes

  1. Finish. Quá trình khôi phục đối tượng Active Directory đã bắt đầu. Hãy đợi cho đến khi quá trình khôi phục hoàn tất.

Sau khi quá trình khôi phục các đối tượng AD bằng phương pháp này hoàn tất, chúng ta có thể mở Active Directory Users and Computers trên máy chủ Windows Server 2019 của mình và kiểm tra xem đơn vị tổ chức AD đã bị xóa ( unit1 ) có được khôi phục cùng với các đối tượng con hay không.

Như bạn có thể thấy trong ảnh chụp màn hình bên dưới, tất cả người dùng được lưu trữ trong unit1 đã được khôi phục. Hầu hết các thuộc tính của họ, bao gồm cả tư cách thành viên nhóm, đều được giữ nguyên. Chúng ta chỉ cần đặt lại mật khẩu và kích hoạt các tài khoản người dùng này.

AD recovery has finished – checking the data of the recovered users

Khôi phục AD nâng cao từ bản sao lưu

Bạn có thể cần thực hiện khôi phục Active Directory nâng cao và khôi phục các đối tượng Active Directory đã xóa từ bản sao lưu với các cài đặt tùy chỉnh cao. Ví dụ: bạn có thể xuất các đối tượng AD từ bản sao lưu sang một máy chủ tùy chỉnh, chỉnh sửa các tham số của chúng và nhập chúng vào vị trí cần thiết.

Giải pháp bảo vệ dữ liệu toàn diện của NAKIVO cho phép bạn thực hiện các tác vụ như vậy. Hãy xem một ví dụ.

Xuất các đối tượng AD từ bản sao lưu

Các bước đầu tiên của quy trình làm việc trong giao diện web giống như đã giải thích trong phần trước của bài viết này. Hãy chuyển thẳng đến bước thứ ba của trình hướng dẫn khôi phục đối tượng. Sự khác biệt trong quy trình khôi phục AD nâng cao bắt đầu từ bước này.

  1. Objects. Hãy chọn các đối tượng Active Directory khác để khôi phục trong ví dụ này. Chúng ta muốn khôi phục các người dùng AD đã bị xóa. Hãy duyệt để tìm Users và chọn user10 . Chúng ta có thể chọn nhiều đối tượng AD trong thư mục Users để khôi phục từ bản sao lưu.

Active Directory restore deleted users (selecting users to restore)

  1. Options. Chúng ta chọn Xuất các đối tượng Active Directory đã chọn mà chúng ta muốn khôi phục. Chúng ta muốn xuất các đối tượng vào thư mục cục bộ trên máy chủ khôi phục và tất cả cài đặt của chúng ta ở bước này như sau.
  • Recovery type: Xuất
  • Export location: Thư mục cục bộ trên máy chủ khôi phục
  • Local path: C:TempAD-Recovery
  • Overwrite behavior: Đổi tên mục đã khôi phục nếu mục đó tồn tại

Nhấp vào RecoverProceed để tiếp tục.

AD recovery options for export and confirmation to proceed

Chờ cho đến khi tác vụ khôi phục hoàn tất và các đối tượng Active Directory đã chọn được xuất sang vị trí đích.

Sau khi quá trình xuất hoàn tất, chúng ta có thể xem các đối tượng Active Directory của mình trong thư mục C:TempAD-Recovery . Mỗi đối tượng AD được xuất dưới dạng một tệp LDIF riêng biệt. Selected AD objects are exported to LDIF files for recovery

Tệp LDIF là một tệp văn bản có thể chỉnh sửa, chứa thông tin về đối tượng Active Directory đã được xuất. Hãy thử khôi phục người dùng AD đã bị xóa, trong trường hợp của chúng ta là user10 . Bạn có thể xem ví dụ về nội dung tệp LDIF trong ảnh chụp màn hình bên dưới.

The contents of the LDIF file

Ldifde là tiện ích gốc của Windows Server có thể xuất/nhập các đối tượng Active Directory sang/từ các tệp .LDIF . Tuy nhiên, bạn phải đáp ứng một số yêu cầu để sử dụng công cụ này, chẳng hạn như cài đặt vai trò máy chủ Cơ quan Chứng nhận (CA).

Chuẩn bị Windows Server để khôi phục các đối tượng AD

Trước khi bắt đầu, hãy đảm bảo rằng máy chủ Active Directory có vai trò CA. Điều này là cần thiết cho kết nối LDAP an toàn. Bạn có thể kích hoạt vai trò này tại Server Manager bằng cách sử dụng trình hướng dẫn Add roles and features . Quy trình thêm vai trò này là tiêu chuẩn và chúng tôi sẽ tập trung vào các bước chính của việc thêm vai trò này.

Chọn hộp kiểm Active Directory Certificate Services tại bước Server Roles của trình hướng dẫn Thêm vai trò và tính năng .

Installing AD Certificate Services restore deleted AD objects and import them with ldifde

Chọn Certification Authority trong Role Services step.

Installing Certification Authority to recover deleted AD objects

Sau khi hoàn thành tất cả các bước của trình hướng dẫn, bạn cần thực hiện cấu hình sau triển khai cho vai trò đã cài đặt.

Active Directory Certificate Services post-deployment configuration

Thực hiện các bước tiêu chuẩn của trình hướng dẫn cấu hình AD CS:

  1. Thông tin đăng nhập. Nhập thông tin đăng nhập của quản trị viên miền (trong trường hợp của chúng tôi là domain1administrator)
  2. Dịch vụ vai trò. Đảm bảo rằng Certification Authority (Cơ quan chứng nhận) đã được chọn.
  3. Loại thiết lập. Chọn Enterprise CA.
  4. Loại CA. Chọn Root CA.
  5. Khóa riêng. Chọn Tạo khóa riêng mới.
  6. Mật mã. Bạn có thể sử dụng cài đặt mặc định.
  7. Tên CA. Đảm bảo rằng tên CA chính xác cho miền của bạn.
  8. Thời hạn hiệu lực. Đặt thời hạn, ví dụ: 5 năm.
  9. Cơ sở dữ liệu chứng chỉ. Sử dụng cài đặt mặc định.

Active Directory Certificate Services are installed to recover deleted AD objects with ldifde

Khởi động lại máy chủ Windows để các thay đổi có hiệu lực sau khi hoàn tất trình hướng dẫn cấu hình AD CS.

Hoàn tất khôi phục AD

Bây giờ chúng ta có thể sử dụng công cụ dòng lệnh Ldifde trong Windows PowerShell để khôi phục các đối tượng đã xóa trong Active Directory bằng cách nhập chúng. Như bạn còn nhớ, chúng ta đã xuất chúng từ bản sao lưu trước đó.

  1. Mở PowerShell với quyền quản trị viên.
  2. Chuyển đến thư mục chứa các tệp LDIF của các mục đã khôi phục:

cd C:TempAD-Recovery

  1. Lệnh để nhập các đối tượng AD từ tệp LDIF nhằm khôi phục chúng như sau:

ldifde -i -t 636 -f filename.ldif -k -j logfolder

Trong đó filename.ldif là đường dẫn đến tệp LDIF, và logfolder là đường dẫn đến thư mục lưu trữ nhật ký quá trình. Tùy chọn -t 636 có nghĩa là cổng TCP 636 được sử dụng để kết nối an toàn với máy chủ AD. Trong trường hợp của chúng ta, lệnh để khôi phục các đối tượng AD đã xóa bằng cách nhập chúng là:

ldifde -i -t 636 -f NakivoExport-domain1.local.Users.user10.ldif -k -j C:TempAD-RecoveryLog

Chúng ta đang khôi phục user10 . Ví dụ về kết quả đầu ra của PowerShell nếu quá trình nhập thành công được hiển thị trong ảnh chụp màn hình bên dưới.

Restoring AD objects by using ldifde import in PowerShell

Lưu ý: Nếu bạn sử dụng công cụ ldifde để xuất các đối tượng Active Directory theo cách thủ công, hãy sử dụng bộ lọc. Không phải tất cả các thuộc tính của đối tượng AD đều có thể được quản trị viên nhập vào. Một số thuộc tính được bảo vệ và quyền nhập các thuộc tính này chỉ thuộc về hệ thống. Trong trường hợp này, bạn có thể thấy các thông báo lỗi như Thuộc tính này thuộc sở hữu của Security Account Manager (SAM ), vấn đề 5003 (WILL_NOT_PERFORM) và các thông báo khác khi cố gắng nhập đối tượng từ tệp LDIF.

Nếu bạn xuất một đối tượng như người dùng hoặc nhóm kèm theo tất cả các thuộc tính, bạn có thể cần phải xóa thủ công một số thuộc tính như objectGUID , objectSid , sAMAccountType , và các thuộc tính khác trong tệp .LDIF bằng cách xóa các dòng tương ứng trước khi nhập. Nếu không, bạn sẽ không thể nhập đối tượng bằng công cụ ldifde ( ) ( ).

Hãy lưu ý những khía cạnh này khi sử dụng chức năng xuất/nhập của công cụ ldifde để sao lưu và khôi phục mà không có giải pháp sao lưu chuyên dụng. Tốt hơn là nên sử dụng một giải pháp sao lưu chuyên dụng để bảo vệ toàn bộ máy chủ Active Directory hoặc máy ảo với khả năng thực hiện khôi phục toàn bộ và khôi phục chi tiết các đối tượng AD một cách nhanh chóng và dễ dàng.

Kết luận

Cách đáng tin cậy để bảo vệ dữ liệu và ứng dụng, bao gồm Active Directory cùng tất cả các mục chứa trong đó, là thực hiện sao lưu dữ liệu đúng cách thường xuyên và lưu trữ bản sao lưu theo chính sách lưu trữ hợp lý. Một giải pháp sao lưu chuyên dụng sẽ hỗ trợ trong trường hợp này. NAKIVO Backup & Replication là giải pháp bảo vệ dữ liệu toàn diện, có khả năng nhận diện ứng dụng và hỗ trợ khôi phục toàn bộ cũng như khôi phục chi tiết các tệp và đối tượng, bao gồm cả trong Active Directory.

Hãy thử NAKIVO Backup & Replication

Hãy thử NAKIVO Backup & Replication

Đăng ký dùng thử miễn phí để khám phá toàn bộ các tính năng bảo vệ dữ liệu của giải pháp. 15 ngày miễn phí. Không có bất kỳ giới hạn nào về tính năng hay dung lượng. Không cần thẻ tín dụng.

Dùng thử miễn phí

People also read

Picture
Tăng cường khả năng duy trì hoạt động kinh doanh thông qua Đạo luật về Khả năng phục hồi hoạt động số (DORA)
Picture
Cách sử dụng và truy cập Trung tâm quản trị Office 365: Hướng dẫn chi tiết
Picture
Các rủi ro về bảo mật lưu trữ đám mây đối với các tổ chức