Відновлення віддалених облікових записів користувачів у Active Directory How to restore deleted

віддалених

Ось я зіткнувся з необхідністю відновити віддалений обліковий запис користувача. Хтось із колег випадково видалив службовий облік, під яким підключалася бухгалтерія з FTP. Для цього обліку були роздані права на файловій і простому "створенні з нуля" справі не допоможеш - буде не той SID. Тому й довелося відновлювати.

Тут не будуть розглянуті способи резервного копіювання та відновлення Active Directory, а лише спосіб відновлення з корзини об'єктів AD.

Кошик для віддалених об'єктів AD є не лише у Windows 2008

У Active Directory Windows 2000/2003/2008 є "кошик". При видаленні об'єкти не зникнуть відразу, а чекатимуть певний час (tombstoneLifetime ) у контейнеріDeleted Objects.

Подивитися/змінити параметр tombstoneLifetime можна за допомогою консоліADSI EditConnection Point прописуємоCN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC = rublin ,DC= local ):

записів

Далі у властивостях введеного шляху бачимо параметр і можемо його змінювати:

віддалених

Відновлення віддаленого об'єкта Active Directory

Для початку потрібно знайти об'єкт у контейнеріDeleted Objects. Для цього зручно використовувати утилітуADExplorer із Sysinternals Suite:

віддалених

Переконавшись, що об'єкт є в "кошику", можна приступати до відновлення. Для цього використовуємо утилітуAdRestore з того ж Sysinternals Suite (AdRestore [-r] [searchfilter]):

віддалених

З параметром -r я використовував SID облікового запису для відновлення, але можна і просто ім'я (у моєму випадку з такимім'ям було два облікові записи, тому і використовував SID). УтилітаAdRestore без -r покаже всі доступні для відновлення об'єкти. Так що можна обійтися і без ADExplorer, але не так зручно.

Після відновлення об'єкт з'явиться в оригінальній OU і буде заблокований. Потрібно змінити пароль, перевірити та змінити атрибути та активувати – відновлення завершено.

Ще почитати про відновлення можна на офсайті і тут