当管理员意外重置用户或计算机密码时,可以通过Veeam备份服务器进行安全恢复。此方法涉及将备份的应急DC恢复到临时Veeam服务器,然后将所需用户和计算机信息恢复到生产环境DC。前提是有最近的AD备份或虚拟机快照,且不超过一周,以确保密码对应。注意,大部分备份软件无法恢复密码,但Veeam支持对象属性级恢复。
在某些场景下,管理员可能意外大批量重置了用户密码或计算机密码,比如直接删除了只读域控计算机账户且忽略了删除警告(如下图),导致在此RODC上缓存的用户和计算机的密码被重置。
如果是用户,可以手动重置这些用户密码并要求下次登录更改密码来快速解决,但计算机就麻烦了,因为需要退域再加域的方法进行处理,这需要到每台客户端处理,如果有大量计算机密码被重置,这工作量难以想像。
针对这种情况,如果有备份,可以进入目录服务还原模式 (DSRM) 模式下进行相应计算机和用户的权威还原,但这个操作非常繁琐,为了避免其间的误操作导致整个域出现问题,多半你不敢也不会采用这种方式,这里介绍一种已验证过的可以安全应对这种灾难场景的方法,一切都在图形界面下完成,安全,不用担心对域产生二次伤害。
基本思路是利用临时的veeam备份服务器作为摆渡,先把从备份完整恢复的应急隔离DC备份到veeam备份服务器,然后veeam备份服务器与此应急DC断开,接入生产环境,把相应的用户和计算机恢复到生产环境DC。
这种方法的前提要求是:有最近的AD备份或AD虚拟机快照也行,最好是头一天的,不要超过一周,因为默认情况下计算机密码会周期性更新,备份太旧,恢复的密码与客户端的密码也对应不上(除非之前应用了禁止计算机更改密码策略),恢复也没用。
注意:大部分备份软件可以进行AD对象属性级的恢复,比如恢复用户的电话号码,但不能恢复密码,有些号称可以恢复密码的实际是利用AD回收站功能,也就是这些对象删除后才有用,上面我们说的这种情况对象密码重置前该对象并没有被删除,所以恢复无效,不然也用不着veeam来进行摆渡。
这里说的大部分备份软件不包括veeam,如果你碰巧用的veeam备份AD,那直接采用2.4节的方法应急恢复即可。
更多内容请扫描下图。
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
