如何查看AD域账号的删除记录

转载 2017年11月15日 13:52:35
       **如何查看AD域账号删除记录及恢复**

在日常AD域管理中,有时候我们不小心删除了域账号,或者我们想查看这个域账号是什么时候创建并删除的,那怎么办?是否可以恢复?其实微软本身已经为我们的账号信息做了备份机制,活动目录对象如果被删除,系统并没有直接将其彻底删除,而是放在了一个不可见的 CN 中,这个 CN就是 Delete Objects 。被删除的账户会在里面待保存180 天(默认)。
查看域账号的删除记录
1. 用域管理员登录域控服务器
2. 开始-运行ldp.exe
这里写图片描述
3. 连接->连接,服务器填写DC的ip地址,此DC为非全局编录服务器,点击确定
这里写图片描述
4. 连接(Bind)->确定
这里写图片描述
5. 选项->控制,在预定义加载选项中选择Return deleted objects,确定。
这里写图片描述
6.查看->树,填写BaseDN,确定;
这里写图片描述
7. 展开左边区域中的DN,找到CN=Deleted Objects,DC=hipad,DC=com这个目录并展开(存在tombstone记录中的对象)
这里写图片描述
8. 在列表中找到您之前删除的用户,双击打开列表
9. 找到该删除账户的DN,如CN=jason\0ADEL:e0272381-ecc9-4391-86e7-4afc9e73b4fe,CN=Deleted Objects,DC=ibm,DC=com,复制下来
10. 开始运行 cmd
11. 运行repadmin /showmeta “CN=jason\0ADEL:e0272381-ecc9-4391-86e7-4afc9e73b4fe,CN=Deleted Objects,DC=ibm,DC=com” 回车后您会看到下面的信息
这里写图片描述
在Ver Attribute这个属性下,你可以找到isDeleted这个属性,该属性对应的信息就是用户帐号的删除时间和操作的服务器信息您看到的文章来自活动目录

*恢复域账号
一、准备实验环境
  本实验将首先删除一个用户帐户,然后再使用LDP工具进行恢复。该帐户的DN(distinguishedName)为:CN=PatColeman,OU=employees,OU=User Accounts,DC=contoso,DC=com
  其它信息如下:
这里写图片描述
这里写图片描述
这里写图片描述
二、启用LDP
1. 在DC服务器上打开“命令提示符”,输入:LDP
2. 绑定一个帐户。
  若要连接并绑定到承载 AD DS 环境的林根域的服务器,请单击“连接”下的“连接”,然后单击“绑定”。
这里写图片描述
这里写图片描述

  1. 加载控件
      在“选项”菜单中,单击“控制”。
    这里写图片描述

      在“控制”对话框中,展开“预定义加载”下拉菜单,单击“返回已删除对象(Return deleted objects)”,然后单击“确定”。
    这里写图片描述

  2. 查看AD树。
      依次单击“查看”、“树”。
    这里写图片描述

      在 BaseDN 中从下拉列表中选择或者键入 DC=,DC=,其中 和 表示 AD DS 环境对应的林根域名
    这里写图片描述

三、恢复
1. 修改属性
  在控制台树中,双击根的可分辨名称(也称为 DN),并找到 CN=Deleted Objects, DC=,DC= 容器。
  在Deleted Objects这个OU中,找到并右键单击需要还原的已删除 Active Directory 对象,然后单击“修改”。。
这里写图片描述

  1. 输入第一个属性值。该值表示将该帐户的“已删除”的属性删除掉。
    这里写图片描述

  2. 输入第二个属性值。该值表示该帐户恢复之后存放在哪一个OU里面。
    这里写图片描述

  3. 运行
    这里写图片描述

备注:
  在删除或使用链接值属性恢复 Active Directory 对象时,AD DS 必须处理对象的链接值表,才能对链接属性的值维护参考完整性。因为删除或恢复 Active Directory 对象将导致对象链接值表的修改,所以,如果在处理链接值表期间尝试删除或恢复对象,系统会阻止该操作。
  例如,如果在删除带有大量链接值属性的对象(例如,一个有 1000 万用户的组对象)后立即(或在其链接值表处理过程中的任何时间)使用 Active Directory 回收站恢复此被删除的对象,则系统会阻止恢复该对象。(如果使用 Ldp.exe 执行恢复,可能会看到以下错误消息:“错误 0x2093,由于正在删除对象,操作无法继续。”)

四、验证
  打开“Active Directory 用户和计算机”。找到对应的OU。可以看到,该帐户的密码被清空,因此该帐户目前已被禁用。
  再检查该帐户的其它属性,可以看到都被清空。
这里写图片描述

参考:《还原已删除的 Active Directory 对象》 http://technet.microsoft.com/zh-cn/library/dd379509

相关文章推荐

使用java连接AD域,验证账号密码是否正确

web项目中有时候客户要求我们使用ad域进行身份确认,不再另外做一套用户管理系统。其实客户就是只要一套账号可以访问所有的OA,CRM等办公系统。 这就是第三方验证。一般有AD域,Ldap,Radius...
  • ycb1689
  • ycb1689
  • 2015年07月07日 17:44
  • 1066

使用java连接AD域,验证账号密码是否正确

web项目中有时候客户要求我们使用ad域进行身份确认,不再另外做一套用户管理系统。其实客户就是只要一套账号可以访问所有的OA,CRM等办公系统。 这就是第三方验证。一般有AD域,Ldap,Radiu...

VisualSVN Server设置AD域账号自动验证登录

默认VisualSVN安装完成之后权限是默认使用本地svn验证的,也就是所有的用户名/密码都需要手动建立,如果是在域环境下就非常不方便了(不过启用域验证后,因为 AD域里边的分组与SVN业务的分组不一...

AD域批量的导入导出账号

  • 2016年06月05日 12:35
  • 333KB
  • 下载

在sharepoint2010中如何让AD域账号跟sharepoint账号同步

将AD中的数据导入SharePoint 2010   2011-05-04 14:43:07|  分类:Moss |字号 订阅 操作环境(多服务器环境): SharePoint...
  • postfxj
  • postfxj
  • 2013年06月22日 09:26
  • 5581

PowerShell 批量创建AD用户账号

它是一个单独的命令行,即导入一个 CSV 文件并使用其中的信息创建数十甚至数百个新的 Active Directory 用户: Import-CSV 'C:\provision1.csv' |ForE...

redmine与AD集成实现账号统一认证

redmine有一个ladp认证,具体用管理账号登陆系统----管理----LDAP 认证 第一步: •新建LDAP认证    在LDAP认证页面, 点击右上角的 新建认证模式 链接, ...

AD账号登入SSO简单设定

1. 先在Active Directory使用者及计算机,去找你要的登入账号,在Users右键,如下图      2. 在名称内,输入administrator,按下,找到你要的完整名称 ...

Python 修改AD账号密码(一)- 启用域控LDAPS

启用LDAP over SSL 原文地址:https://gist.github.com/magnetikonline/0ccdabfec58eb1929c997d22e7341e45实验环境 A...

Sharepoint中修改AD账号密码webpart

  • 2014年06月13日 09:07
  • 51KB
  • 下载
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:如何查看AD域账号的删除记录
举报原因:
原因补充:

(最多只允许输入30个字)