При удалении пользователей или компьютеров из активного каталога на самом деле они просто помечаются как "объекты-памятники" (tombstone) и перемещаются в скрытый раздел. При этом у объектов удаляется большая часть атрибутов. Поэтому после восстановления необходимо заново задать аккаунту пароль, включить его и восстановить руками членство в необходимых группах, а так же заполнить ряд дополнительной описательной информации(адреса,телефоны и тп). Окончательно из AD объекты удаляются по истечении атрибута Tombstone Lifetime, который по умолчанию составляет 60 дней(Microsoft рекомендует 120).
Значение этого атрибута может быть изменено с использованием ADSIEdit. Перейдите к CN=Directory Service,CN=WindowsNT,CN=Services,CN=Configuration,DC=mycompany,DC=com (заменив DC=mycompany,DC=com на данные вашего домена). Кликните правой кнопкой мыши на контейнере CN=Directory Service и выберите Properties. Найдите Tombstone Lifetime в списке атрибутов, нажмите кнопку Edit и введите количество дней, необходимое для хранения удаленных объектов.
Для восстановление нам понадобятся права администратора домена и утилита ldp.exe, которая, при отсутствии, устанавливается вместе с Support Tools. Запустив ldp.exe, выбираем из меню Connections команду Connect. В появившемся окне указываем имя контроллера домена и порт LDAP, по умолчанию – 389. Далее выбрав из того же меню Connections команду Bind, авторизуемся на контроллере.Тут возможны варианты: под текущим пользователем или можно задать другого пользователя и пароль. Далее, необходимо разрешить отображение скрытого каталога Deleted Objects, для этого в меню Options выбираем команду Controls. В открывшемся окне в поле Load Predefined из выпадающего списка выбираем Return deleted objects. Далее выбираем в меню View пункт Tree, для отображения дерева контейнеров в левой панели. В окне Tree view в поле BaseDN выбираем корень леса, например DC=mycompany,DC=com.
Дважды щелкнув на корне дерева получаем список контейнеров, в котором ищем контейнер CN=Deleted Objects,DC=mycompany,DC=com. Раскрываем контейнер и находим в нем удаленный объект, который необходимо восстановить. К примеру удаленного пользователя звали myuser:
CN=myuserADEL:41057e80-84fd-4c96-8e54-26886519b6e8,CN=Deleted Objects,DC=mycompany,DC=com
Далее выделяем объект в левой панели. Правым кликом вызываем контекстное меню, выбираем в нем пункт Modify. В разделе Edit Entry, в поле Attribute вводим isDeleted, в панели Operation выбираем Delete, затем жмем Enter. В результате в поле Entry List появляется строка [Delete]isDeleted. Далее, не предпринимая действий по применению внесенных изменений меняем distiguishedName. Для этого:
- В разделе Edit Entry, в поле Attribute вводим имя атрибута, т.е. distiguishedName,
- В разделе Edit Entry, в поле Values вводим значение атрибута lastKnownParent, которое берем в правой панели, в списке атрибутов объекта. В нашем случае OU=MyOU,DC=mycompany,DC=com, где MyOU - подразделение в котором находился удаленный пользователь,
- В самом начале значения добавляем имя объекта: CN=myuser,
- В итоге получаем значение атрибута CN=myuser,OU=MyOU,DC=mycompany,DC=com,
- В разделе Operation, выбираем Replace, жмем кнопку Enter.
В поле Entry List появляется вторая строка, со значением: [Replace]distinguishedName:CN=myuser,OU=MyOU,DC=mycompany,DC=com.
Далее, убедившись, что выбраны флаги Synchronous и Extended, нажимаем кнопку Run.
Анализируем правую панель окна на наличие ошибок. Если все прошло успешно, в подразделении MyOU появится наш ранее удаленный пользователь myuser в отключенном состоянии.
Значение этого атрибута может быть изменено с использованием ADSIEdit. Перейдите к CN=Directory Service,CN=WindowsNT,CN=Services,CN=Configuration,DC=mycompany,DC=com (заменив DC=mycompany,DC=com на данные вашего домена). Кликните правой кнопкой мыши на контейнере CN=Directory Service и выберите Properties. Найдите Tombstone Lifetime в списке атрибутов, нажмите кнопку Edit и введите количество дней, необходимое для хранения удаленных объектов.
Для восстановление нам понадобятся права администратора домена и утилита ldp.exe, которая, при отсутствии, устанавливается вместе с Support Tools. Запустив ldp.exe, выбираем из меню Connections команду Connect. В появившемся окне указываем имя контроллера домена и порт LDAP, по умолчанию – 389. Далее выбрав из того же меню Connections команду Bind, авторизуемся на контроллере.Тут возможны варианты: под текущим пользователем или можно задать другого пользователя и пароль. Далее, необходимо разрешить отображение скрытого каталога Deleted Objects, для этого в меню Options выбираем команду Controls. В открывшемся окне в поле Load Predefined из выпадающего списка выбираем Return deleted objects. Далее выбираем в меню View пункт Tree, для отображения дерева контейнеров в левой панели. В окне Tree view в поле BaseDN выбираем корень леса, например DC=mycompany,DC=com.
Дважды щелкнув на корне дерева получаем список контейнеров, в котором ищем контейнер CN=Deleted Objects,DC=mycompany,DC=com. Раскрываем контейнер и находим в нем удаленный объект, который необходимо восстановить. К примеру удаленного пользователя звали myuser:
CN=myuserADEL:41057e80-84fd-4c96-8e54-26886519b6e8,CN=Deleted Objects,DC=mycompany,DC=com
Далее выделяем объект в левой панели. Правым кликом вызываем контекстное меню, выбираем в нем пункт Modify. В разделе Edit Entry, в поле Attribute вводим isDeleted, в панели Operation выбираем Delete, затем жмем Enter. В результате в поле Entry List появляется строка [Delete]isDeleted. Далее, не предпринимая действий по применению внесенных изменений меняем distiguishedName. Для этого:
- В разделе Edit Entry, в поле Attribute вводим имя атрибута, т.е. distiguishedName,
- В разделе Edit Entry, в поле Values вводим значение атрибута lastKnownParent, которое берем в правой панели, в списке атрибутов объекта. В нашем случае OU=MyOU,DC=mycompany,DC=com, где MyOU - подразделение в котором находился удаленный пользователь,
- В самом начале значения добавляем имя объекта: CN=myuser,
- В итоге получаем значение атрибута CN=myuser,OU=MyOU,DC=mycompany,DC=com,
- В разделе Operation, выбираем Replace, жмем кнопку Enter.
В поле Entry List появляется вторая строка, со значением: [Replace]distinguishedName:CN=myuser,OU=MyOU,DC=mycompany,DC=com.
Далее, убедившись, что выбраны флаги Synchronous и Extended, нажимаем кнопку Run.
Анализируем правую панель окна на наличие ошибок. Если все прошло успешно, в подразделении MyOU появится наш ранее удаленный пользователь myuser в отключенном состоянии.
Комментариев нет:
Отправить комментарий