版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。 http://xingyi.blog.51cto.com/20896/155363

还原单域环境中已删除的用户帐户

 
在域的管理中,可能会出现误删用户、组、OU等对象的情况,通过一些方法我们可以恢复这些对象。
    如 果是多域环境时,因为域控之间会定时复制AD数据,所以可以通过在非全局编录角色所在域控中还原系统状态备份,并通过ntdsutil命令进行授权还原的 方法进行恢复;但是如果是单域环境时,如果通过还原系统状态备份进行对象的恢复,则会出现当还原系统状态备份后,在所恢复的备份系统状态制作点之后所做的 一些操作会丢失(如添加了用户、组等对象),因此不适合使用还原系统状态备份的方法进行恢复
在2000和2003时代,当我们从AD中删除某个对象时,其实AD并非将此对象直接删除,而是将此对象标记为墓碑对象。并且,墓碑对象会在活动目录中再保存180天时间(2000和2003是60天,2003打了SP1之后是180天),这个时间即墓碑生存时间 ,所以在此墓碑生存时间期限内可以通过微软提供的 AdRestore 工具进行直接还原。
注: 墓碑生存时间(tombstoneLifetime)是指:从在AD中删除某对象开始,到该对象真正被删除的时间间隔,默认值为180天,这样做是为了保 证:这种删除操作被复制到域中其它的DC。恢复DC的“系统状态数据”备份是有时间限制的,不能从比墓碑默认的180天生存时间更旧的系统状态数据的备份 中,恢复活动目录。活动目录对象如果被删除,并不直接消失,而是放入一个不可见的CN,名字叫deleted object,里面存放180天(默认), 在这180天内,可以进行恢复,在域控制器上,每24小时执行一次名叫“垃圾收集”的进程,将超过180天的被删除记录真正的删除。那只能通过备份加以恢 复了。在这里讨论的是在180天之内的情况。
下面我以域用户“t1”的恢复演示域对象的删除恢复。
1、 删除“t1”用户 ,我们可以从下图中看出此域用户已经被删除;
2、 从命令提示符进入 AdRestore 工具所在的目录,通过运行命令“adrestore t1”可以查看要恢复的域用户“t1”的情况,如果能检索到此用户的相关信息,则表示可以进行恢复操作,否则无法通过此工具恢复;
通过命令可以看到此用户现在在“Deleted Objects”的CN中,表示没有达到180天(默认),可以进行恢复;
3、 运行命令“adrestore -r t1”进行此域用户的恢复,使用此工具进行恢复,会自动根据检索到的信息恢复到原容器中,而不必手动提供信息;
从上图可以看到已经成功执行了恢复操作;
4、 现在我们就可以在“AD用户和计算机”中对“t1”用户进行维护;
5、 查看恢复的“t1”用户“帐户”属性页可以看到“用户登录名”
中为空,这里要重新进行设置,而且“帐户选项”栏中的“帐户已禁用”项被启用;
6、 如果现在我们就对上面的两项进行设置后应用,会弹出一个错误提示框,提示无法更新密码,这是因为在此之前需要先对恢复的域用户进行密码的更改之后才能进行其它的操作;
7、 在进行密码修改后,就可以正常对此域用户进行各种操作了;
现在,我们可以看到被删除的域用户“t1”已经恢复正常并可以使用了。
 
组、OU也可以通过此方法进行恢复,而且通过“ AdRestore  -r <对象名>”进行恢复后,就可以正常使用。
意事项:
1、 当域控是全局编录服务器时,不要在此服务器上进行目录还原操作;
2、 还原系统状态备份之前所进行的任何更改都会回滚到备份完成时的值。对于用户帐户、计算机帐户和安全组,这种回滚可能意味着要丢失对密码、主目录、配置文件路径、位置、联系人信息、组成员身份以及这些对象和属性上定义的任何安全描述符所做的最新更改 ,因此操作之前先作好系统状态备份以利于在出错时进行恢复;
 
 
 
 
 
   李政
2009-05-05

本文出自 “心意” 博客,请务必保留此出处http://xingyi.blog.51cto.com/20896/155363


附件下载:
AdRestore 1.1 版