Cómo restaurar cuentas de usuario eliminadas y su pertenencia a grupos en Active Directory

Seleccione idioma Seleccione idioma
Id. de artículo: 840001 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

Puede utilizar tres métodos para restaurar eliminada cuentas de usuario, cuentas de equipo y grupos de seguridad. Estos objetos se conocen colectivamente como entidades de seguridad. En los tres métodos restaura de forma autoritaria los objetos eliminados y, a continuación, restaurar la información de pertenencia de grupo de los principales de seguridad eliminados. Al restaurar un objeto eliminado, debe restaurar los valores antiguos de los atributos de miembros y miembro de la entidad de seguridad afectado. Los tres métodos son:
  • Método 1: Restaure las cuentas de usuario eliminadas y, a continuación, agregue los usuarios restaurados de nuevo a su grupo mediante la herramienta de línea de comandos Ntdsutil.exe (Microsoft Windows Server 2003 con Service Pack 1 [SP1] sólo)
  • Método 2: Restaurar las cuentas de usuario eliminadas y, a continuación, agregar los usuarios restaurados nuevos a su grupo
  • Método 3: Restaurar autoritativamente las cuentas de usuario eliminada y los grupos de seguridad de los usuarios eliminados dos veces
Nota: Este artículo no cubre los detalles de la característica de Papelera de reciclaje de AD incluida en Windows Server 2008 R2; examine la sección de referencias para obtener más detalles acerca de esta característica.

Los métodos 1 y 2 ofrecen una mejor experiencia para los administradores y usuarios del dominio porque se conservan las adiciones a grupos de seguridad que se han realizado copias de seguridad entre el momento en el último estado del sistema y el tiempo que se ha producido la eliminación. En el método 3, en vez de hacer ajustes individuales a principales de seguridad, revierte seguridad pertenencias a grupos a su estado en el momento de la última copia de seguridad.

Si no tiene una copia de seguridad válida del estado del sistema y el dominio donde se produjo la eliminación contiene los controladores de dominio de Windows Server 2003, puede manualmente o mediante programación recuperar los objetos eliminados. También puede utilizar la utilidad Repadmin para determinar cuándo y dónde se ha eliminado un usuario.

Más eliminaciones a gran escala son accidentales. Microsoft recomienda seguir varios pasos para evitar que otros usuarios eliminen objetos de forma masiva.

Nota Para evitar la eliminación accidental o movimiento de objetos (unidades organizativas especialmente), se pueden agregar entradas de control de acceso (ACE) de dos denegar al descriptor de seguridad de cada objeto (Denegar "Eliminar" & "Eliminar árbol") y entradas de control de acceso (ACE) de denegar una pueden agregarse al descriptor de seguridad del elemento primario de cada objeto (Denegar "Eliminar secundario"). Para hacer esto en Windows 2000 Server y en Windows Server 2003, utilice usuarios de Active Directory y equipos, LDP, ADSIEdit o la herramienta de línea de comandos DSACLS. También puede cambiar los permisos predeterminados en el esquema de Active Directory para las unidades organizativas para que estas entradas ACE se incluyen de forma predeterminada.

Por ejemplo, para proteger la unidad de organización que se llama a los usuarios en el dominio de AD que se llama CONTOSO.COM accidentalmente se mueva o se eliminan de su unidad organizativa principal que se llama MyCompany, realice la siguiente configuración:

Para la unidad organizativa de MyCompany, añadir ACE de denegación para todos los usuarios a Eliminar secundario con el ámbito sólo este objeto :
DSACLS "OU = MyCompany, DC = CONTOSO, DC = COM" /D "EVERYONE: DC"

Para la unidad organizativa usuarios, agregar ACE de denegación para todos los usuarios a Eliminar árbol y eliminar con el sólo este objeto ámbito:
DSACLS "OU = Users, OU = MyCompany, DC = CONTOSO, DC = COM" /D "EVERYONE: SDDT"

El complemento Usuarios y equipos de usuarios de Active Directory en Windows Server 2008 incluye una casilla de verificación Proteger objeto contra eliminación accidental en la ficha de objeto .

Nota Debe activarse la casilla de verificación de Las características avanzadas para ver la ficha.

Al crear una unidad organizativa mediante el uso de equipos y usuarios de Active Directory en Windows Server 2008, aparece la casilla de verificación contenedor de proteger contra eliminación accidental . De forma predeterminada, la casilla de verificación está activada y puede anular la selección.

Aunque puede configurar todos los objetos de Active Directory mediante el uso de estas entradas ACE, esto es más adecuado para las unidades organizativas. Eliminación o los movimientos de todos los objetos hoja pueden tener un efecto importante. Esta configuración impide que dichas eliminaciones o movimientos. Para realmente eliminar o mover un objeto mediante el uso de esta configuración, debe quitar primero las ACE Denegar.

Más información

En este artículo paso a paso se describe cómo restaurar cuentas de usuario, cuentas de equipo y miembros de su grupo después de que se han eliminado de Active Directory. En las variaciones de este escenario, las cuentas de usuario, cuentas de equipo o grupos de seguridad pueden se eliminaron individualmente o en combinación. En todas se aplican en estos casos, los mismos pasos iniciales--autoritativa, o Restaurar de auth, los objetos que se han eliminado sin darse cuenta. Algunos objetos eliminados requieren más trabajo para restaurarse. Estos objetos incluyen los objetos como cuentas de usuario que contienen atributos de vínculos hacia atrás de los atributos de otros objetos. Dos de estos atributos son managedBy y miembro.

Al agregar entidades principales de seguridad como una cuenta de usuario, un grupo de seguridad o una cuenta de equipo a un grupo de seguridad, realice los siguientes cambios en Active Directory:
  1. Se agrega el nombre de la entidad de seguridad para el atributo de miembro de cada grupo de seguridad.
  2. Para cada grupo de seguridad que el grupo de usuario, el equipo o la seguridad es un miembro de, un vínculo hacia atrás se agrega al atributomemberOf de la entidad de seguridad.
De forma similar, cuando se elimina un usuario, un equipo o un grupo de Active Directory, se producen las siguientes acciones:
  1. La entidad de seguridad eliminados se mueve en el contenedor DeletedObjects de ActiveDirectory.
  2. Un número de valores de atributo, incluido el atributo memberOf , se elimina los securityprincipal eliminado.
  3. Entidades de seguridad eliminados se quitan de los securitygroups que son miembros de. En otras palabras, las securityprincipals eliminados se quitan del atributo de miembro de cada grupo de seguridad.
Cuando recupera las entidades principales de seguridad eliminados y restaurar sus pertenencias a grupos, el punto clave que recordar es que cada entidad de seguridad debe existir en Active Directory antes de restaurar su pertenencia al grupo. (Puede ser el miembro de otro grupo de seguridad, un equipo o un usuario). Para repetir esta regla de forma más general, puede restaurar un objeto que contiene los atributos cuyos valores son atrás vínculos deben existir en Active Directory antes de que el objeto que contiene ese vínculo hacia adelante o modificarse.

Aunque en este artículo se centra en cómo recuperar cuentas de usuario eliminadas y sus pertenencias a grupos de seguridad, los conceptos se aplican por igual a las eliminaciones de otros objetos. Los conceptos de este artículo se aplican por igual a los objetos eliminados cuyos valores de atributo utilizan vínculos hacia adelante y vínculos a otros objetos de Active Directory.

Puede utilizar cualquiera de los tres métodos para recuperar a las entidades de seguridad. Cuando utilice el método 1, deja en su lugar todos los de seguridad principales que se han agregado a cualquier grupo de seguridad a través del bosque y agregar a entidades de seguridad que se eliminaron de sus respectivos dominios a sus grupos de seguridad. Por ejemplo, hacer una copia de seguridad, agregar un usuario a un grupo de seguridad y, a continuación, restaurar la copia de seguridad. Cuando se utilizan métodos de 1 o 2, conservar a todos los usuarios que se han agregado a los grupos de seguridad que contienen usuarios eliminados entre las fechas que se creó la copia de seguridad y la fecha en que se ha restaurado la copia de seguridad. Cuando se utiliza el método 3, revierte seguridad pertenencia a grupos para todos los grupos de seguridad que contienen usuarios eliminados a su estado en el momento en que se realizó la copia de seguridad.

Método 1: Restaure las cuentas de usuario eliminadas y, a continuación, agregue los usuarios restaurados de nuevo a su grupo mediante la herramienta de línea de comandos Ntdsutil.exe (Microsoft Windows Server 2003 con Service Pack 1 [SP1] sólo)

Nota Este método sólo es válido en controladores de dominio que ejecutan Windows Server 2003 con SP1. Si no se ha instalado el Service Pack 1 de Windows Server 2003 en los controladores de dominio que se utiliza para la recuperación, utilice el método 2.

En Windows Server 2003 SP1, se ha agregado funcionalidad para la herramienta de línea de comandos Ntdsutil.exe para ayudar a los administradores más fácil restaurar los vínculos de retroceso de objetos eliminados. Para cada operación de restauración autoritaria, se generan dos archivos. Un archivo contiene una lista de objetos restaurados autoritariamente. El otro archivo es un archivo de .ldf que se utiliza con la utilidad Ldifde.exe. Este archivo se utiliza para restaurar los vínculos de retroceso para los objetos que se restauran. En Windows Server 2003 SP1, una restauración autoritativa de un objeto de usuario también genera archivos LDIF con la pertenencia al grupo. Este método evita una restauración doble.

Cuando se utiliza este método, realice los siguientes pasos de alto nivel:
  1. Comprobar si un catálogo global en el hasnot de dominio del usuario en la eliminación y, a continuación, evitar que fromreplicating un catálogo global. Si no hay ningún catálogo global latente, busque más currentsystem backup de estado de un controlador de dominio de catálogo global en el dominio user'shome eliminados.
  2. AUTH restaurar todas las cuentas de usuario eliminadas y permitend-to-end, a continuación, la replicación de las cuentas de usuario.
  3. Agregar todos los usuarios restaurados a todos los grupos en los dominios de todas las cuentas de usuario fueron miembro de antes de que weredeleted.
Para utilizar el método 1, siga este procedimiento:
  1. Compruebe si hay un domaincontroller catálogo global en el dominio de inicio del usuario eliminado que no ha replicado a cualquier parte de la eliminación.

    Nota Se centran en los catálogos globales que tienen los planes de frequentreplication menos.

    Si existen uno o más de estos catálogos globales, utilice la herramienta de línea de comandos Repadmin.exe para deshabilitar inmediatamente inboundreplication. Para ello, siga estos pasos:
    1. Haga clic en Inicioy, a continuación, haga clic en Ejecutar
    2. Tipo cmd en el cuadro Abrir y a continuación, haga clic en Aceptar.
    3. Escriba el comando siguiente en el símbolo del sistema y, a continuación, presione ENTRAR:
      repadmin/options <recovery dc="" name=""></recovery> + DISABLE_INBOUND_REPL
      Nota: Si no se emite el comando Repadmin inmediatamente, quite toda la conectividad de red en el catálogo global latente hasta que pueda utilizar Repadmin para deshabilitar la replicación entrante y, a continuación, devuelva inmediatamente conectividad de red.
    Este controlador de dominio se denomina el controlador recoverydomain. Si no hay ningún tal catálogo global, vaya al paso 2.
  2. Es aconsejable dejar de realizar cambios en los grupos de seguridad en el bosque si las siguientes afirmaciones son verdaderas:
    • Método 1 a usuarios de restauración eliminado de autenticación o cuentas de equipo está utilizando su ruta de acceso de nombre completo (dn).
    • La eliminación se ha replicado en todos los controladores de dominio en el bosque, excepto el controlador de dominio de recuperación latente.
    • No son auth restaurar grupos de seguridad o sus contenedores principales.
    Si estás auth restaurar grupos de seguridad o contenedores organizationalunit (OU) que alojan las cuentas de usuario, temporarilystop o de grupos de seguridad de todos estos cambios.

    Notificar a los administradores y ayudar a deskadministrators en los dominios correspondientes, además de los usuarios de dominio de MiDominio, donde se ha producido la eliminación de detener estos cambios.
  3. Crear una nueva copia de seguridad del estado de sistema en el dominio donde se produjo la thedeletion. Puede utilizar esta copia de seguridad si tiene que volver a yourchanges.

    Nota Si copias de seguridad son actuales hasta el punto de thedeletion, omita este paso y vaya al paso 4.

    Si ha identificado el controlador de dominio arecovery en el paso 1, respaldar su estado de sistema ahora.

    Ifall que se encuentran los catálogos globales en el dominio donde el occurredreplicated de la eliminación de la eliminación, copia de seguridad del estado del sistema de un catálogo global en midominio donde se produjo la eliminación.

    Cuando se crea una copia de seguridad, volverá el controlador de dominio de recuperación a su estado actual y el plan de recuperación de pilotos otra vez si el primer intento no es correcta.
  4. Si no puede encontrar un domaincontroller latente de catálogo global en el dominio donde se produjo la eliminación del usuario, buscar más recentsystem backup de estado de un controlador de dominio de catálogo global en el dominio. Thissystem copia de seguridad debe contener los objetos eliminados. Utilice este domaincontroller como el controlador de dominio de recuperación.

    Sólo las restauraciones de los controladores de dominio de catálogo global en el dominio del usuario contienen información de pertenencia de grupo global anduniversal de grupos de seguridad que residen en dominios de inexternal. Si no hay ninguna copia de seguridad de un domaincontroller catálogo global en el dominio donde los usuarios se han eliminado, no puede utilizar el atributo memberOf en las cuentas de usuario restaurado para determinar la pertenencia a un grupo global oruniversal o recuperar la pertenencia a dominios externos.Además, es una buena idea para encontrar el controlador de dominio de sistema estado deuna backup catálogo no global más reciente.
  5. Si conoce la contraseña de la administratoraccount sin conexión, iniciar el controlador de dominio de recuperación en modo Dsrepair. Si lo hace nada de la contraseña de la cuenta de administrador sin conexión, restablecer la passwordwhile que el controlador de dominio de recuperación está aún en Directorymode activo normal.

    Puede utilizar la herramienta de línea de comandos setpwd para restablecer la contraseña en el dominio controllersthat está ejecutando Microsoft Windows 2000 Service Pack 2 (SP2) y posterior mientras está en modo en línea de Active Directory.

    NotaMicrosoft ya no es compatible con Windows 2000.

    Para obtener más información acerca de cómo cambiar la contraseña de administrador de la consola de recuperación, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    239803 Cómo cambiar la contraseña de administrador de la consola de recuperación en un controlador de dominio
    Los administradores de Windows Server 2003 domaincontrollers pueden utilizar el comando Establecer contraseña de dsrm en la herramienta de línea de comandos Ntdsutil para restablecer la contraseña de la cuenta offlineadministrator.

    Para obtener más información acerca de cómo restablecer la cuenta de administrador del modo de restauración de servicios de directorio, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    322672 Cómo restablecer la contraseña de cuenta de administrador de modo de restauración de servicios de directorio en Windows Server 2003
  6. Presione F8 durante el proceso de inicio para iniciar el controlador de recoverydomain en modo Dsrepair. Inicie sesión en la consola del controlador de recoverydomain con la cuenta de administrador sin conexión. Si restablece thepassword en el paso 5, utilice la nueva contraseña.

    Si la recuperación domaincontroller es un controlador de dominio de catálogo global latente, no restaure elsistema estado. Vaya al paso 7.

    Si está creando el domaincontroller recuperación mediante el uso de una copia de seguridad, restaurar la copia de seguridad de systemstate más reciente que se ha realizado en el controlador de dominio de recuperación ahora.
  7. AUTH restaurar las cuentas de usuario eliminada, las cuentas de deletedcomputer o los grupos de seguridad eliminados.

    Nota La restauración autoritaria y términos Restaurar de auth consulte el proceso de utilizar el comando de restauración autoritativa en la herramienta de línea de comandos Ntdsutil para incrementar los números de versión de specificobjects o de contenedores específicos y todos sus objetos subordinados. Cuando se produce la replicación asend-to-end pronto, los objetos de destino de la copia local de la domaincontroller recuperación de Active Directory se convierten en autorizado en todos los controladores de MiDominio que comparten esa partición. Isdifferent de una restauración autoritativa de una restauración del estado del sistema. Un populatesthe de restauración de estado de sistema restaura copia local del controlador de dominio de Active Directory con el theversions de los objetos en el momento en que el sistema de estado era de copia de seguridad.

    Para obtener más información acerca de la restauración de un controlador de dominio de autenticación, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    241594 Cómo realizar una restauración autorizada en un controlador de dominio de Windows 2000


    Restauraciones autoritaria están seguir la herramienta de línea de comandos Ntdsutil y hacer referencia a la ruta de acceso (dn) del nombre de dominio de los usuarios de thedeleted o de los contenedores que alojan los usuarios eliminados.

    Restaurar de auth cuando, rutas de nombre (dn) de dominio de uso que están volviendo como baja en el treeas de dominio tienen que ser para evitar que objetos que no están relacionados con thedeletion. Estos objetos pueden incluir objetos que se modificaron después de la copia de seguridad de systemstate.

    Restaurar de AUTH eliminados los usuarios en el followingorder:
    1. AUTH restaurar la ruta de acceso (dn) del nombre de dominio para cada cuenta de usuario eliminada, la cuenta de equipo o el grupo de seguridad.

      Restauraciones autoritaria de determinados objetos tardan más, pero son menos destructivas que las restauraciones autoritaria de un subárbol completo. AUTH restaurar el contenedor primario común más bajo que contiene los objetos eliminados.

      Ntdsutil se utiliza la siguiente sintaxis:
      "authoritative restore" Ntdsutil "restaurar objeto <object dn="" path=""></object>"q q
      Por ejemplo, a auth restaurar el usuario eliminado FulanoDeTal en el Mayberry Unidad organizativa de la Contoso.com dominio, utilice el siguiente comando:
      Ntdsutil "authoritative restore" "restaurar el objeto cn = JuanPérez, ou = Mayberry, dc = contoso, dc = com" q q
      Auth restaurar el grupo de seguridad eliminado ContosoPrintAccess en el Mayberry Unidad organizativa de la Contoso.com dominio, utilice el siguiente comando:
      Ntdsutil "authoritative restore" "restaurar el objeto cn = ContosoPrintAccess, ou = Mayberry, dc = contoso, dc = com" q q


      Importante: Se requiere el uso de ofertas.

      Para cada usuario que va a restaurar, se generan al menos dos archivos. Estos archivos tienen el siguiente formato:

      ar_AAAAMMDD HHMMSS_objects.txt
      Este archivo contiene una lista de los objetos restaurados autoritariamente. Usar este archivo con el comando ntdsutil authoritatative restaurar "Crear fichero ldif desde" en cualquier otro dominio del bosque donde el usuario era miembro de grupos locales de dominio.

      ar_AAAAMMDD HHMMSS_links_usn.loc.ldf
      Si realiza la restauración de la autenticación en un catálogo global, uno de estos archivos se genera para cada dominio del bosque. Este archivo contiene una secuencia de comandos que puede utilizar con la utilidad Ldifde.exe. La secuencia de comandos restaura los vínculos de retroceso para los objetos restaurados. En el dominio del usuario principal, la secuencia de comandos restaura todas las pertenencias a grupos los usuarios restaurados. En todos los demás dominios del bosque que tenga el usuario en la pertenencia a un grupo, la secuencia de comandos restaura pertenencias a grupos globales y universales sólo. La secuencia de comandos no restaura cualquier pertenencia a grupos locales de dominio. Estas pertenencias a grupos no se realiza un seguimiento por un catálogo global.
    2. AUTH restaurar sólo los contenedores de unidad organizativa o nombre común (CN) que alojan las cuentas de usuario eliminadas o grupos.

      Restauraciones autoritaria de un subárbol completo son válidas cuando la unidad organizativa que está dirigida el comando ntdsutil "authoritative restore" contiene la mayoría de los objetos que está intentando restaurar de auth. Idealmente, la unidad organizativa de destino contiene todos los objetos que está intentando restaurar de auth.

      Una restauración autoritativa en un subárbol de unidades Organizativas restaura todos los atributos y los objetos que residen en el contenedor. Los cambios que se han realizado hasta el momento en que se restaura una copia de seguridad se revierten a sus valores en el momento de la copia de seguridad. Con las cuentas de usuario, cuentas de equipo y grupos de seguridad, deshacer la transacción puede significar la pérdida de los cambios más recientes a las contraseñas, en el directorio principal, a la ruta del perfil, ubicación y a la información de contacto, pertenencia a grupos y los descriptores de seguridad que se definen en los objetos y atributos.

      Ntdsutil se utiliza la siguiente sintaxis:
      "authoritative restore" Ntdsutil "restore subtree <container dn="" path=""></container>"q q
      Por ejemplo, para restaurar de auth el Mayberry Unidad organizativa de la Contoso.com dominio, utilice el siguiente comando:
      Ntdsutil "authoritative restore" "restore subtree ou = Mayberry, dc = contoso, dc = com" q q
    Nota Repita este paso para cada interlocutor OU que orgroups de los usuarios eliminados de hosts.

    Importante: Cuando se restaura un objeto subordinado de una unidad organizativa, todos los contenedores de deletedparent de los objetos eliminados subordinados deben ser explícitamente authrestored.

    Para cada unidad organizativa que va a restaurar, al menos se generan twofiles. Estos archivos tienen el siguiente formato:

    ar_AAAAMMDD HHMMSS_objects.txt

    Este archivo contiene una lista de los objetos authoritativelyrestored. Usar este archivo con el comando ntdsutil authoritatative restaurar "Crear fichero ldif desde" en cualquier otro dominio del bosque donde los restoredusers eran miembros de los grupos locales de dominio.

    Para obtener más información, visiteel al siguiente sitio Web de Microsoft:
    http://technet2.Microsoft.com/WindowsServer/en/Library/5ec3a3b1-c4b2-4c74-9d8a-61f7cb555f821033.mspx?mfr=true
    ar_AAAAMMDD HHMMSS_links_usn.loc.ldf
    Este archivo contiene una secuencia de comandos que puede utilizar con la utilidad theLdifde.exe. La secuencia de comandos restaura los vínculos de retroceso para los objetos restaurados.En el dominio del usuario principal, la secuencia de comandos restaura todas las pertenencias a grupos los usuarios restaurados.
  8. Si se han recuperado objetos eliminados en la recuperación domaincontroller debido a una restauración del estado del sistema, quite toda la red cablesthat proporcionar conectividad de red a todos los demás controladores de dominio en el bosque.
  9. Reinicie el controlador de dominio de recuperación en modo normal de Active Directory.
  10. Escriba el siguiente comando para deshabilitar la entrada entre el controlador de dominio de recuperación:
    repadmin/options <recovery dc="" name=""></recovery> + DISABLE_INBOUND_REPL
    Habilitar la conectividad de red a la recuperación se ha restaurado el estado del sistema de dominio controllerwhose.
  11. Objetos de salida replicar el restaurar de auth therecovery controlador de dominio a los controladores de dominio en el dominio y de bosque.

    Cuando se deshabilita la replicación entrante a la controllerremains de dominio de recuperación, escriba el siguiente comando para insertar el textoPara restaurar de auth todos los controladores de dominio de réplica entre sitios en el dominio y en todos los catálogos global en el bosque:
    repadmin /syncall /d /e /P <recovery dc=""> <Naming context=""></Naming></recovery>
    Si las siguientes afirmaciones son verdaderas, linksare de pertenencia al grupo a generar con la restauración y la replicación de las cuentas de usuario eliminadas. Vaya al paso 14.

    Nota Si uno o más de las siguientes afirmaciones no es true, vaya vienes 12.
    • El bosque se ejecuta en el nivel funcional de bosque de Windows Server 2003 o en el nivel funcional de bosque de Windows Server 2003 versión provisional.
    • Se han eliminado las únicas cuentas de usuario o cuentas de equipo y no los grupos de seguridad.
    • Los usuarios eliminados se agregaron a grupos de seguridad en todos los dominios en el bosque después de que el bosque se ha pasado al nivel funcional de bosque de Windows Server 2003.
  12. En la consola del controlador de dominio de recuperación, utilice la utilidad de theLdifde.exe y thear_AAAAMMDD HHMMSS_links_usn.loc.ldf de archivos respecito pertenencias a grupos del usuario. Para ello, siga estos pasos:
    • Haga clic en Inicio, haga clic en Ejecutar, tipo cmd en el cuadro Abrir y a continuación, haga clic en Aceptar.
    • En el símbolo del sistema, escriba el comando siguiente y, a continuación, presione ENTRAR:
      LDIFDE -i ar_ -fAAAAMMDD HHMMSS_links_usn.loc.ldf
    La importación de LDIFDE puede fallar y puede recibir el siguiente mensaje de error:
    Error al agregar en líneaxxx&gt;: Sintaxis no válida del error en el servidor es "el parámetro es incorrecto".
    Si el número de línea problemático en los vínculos.Archivo LDF hace referencia a uno de los tres atributos de las credenciales móviles, msPKIDPAPIMasterKeys, msPKIAccountCredentials o msPKIRoamingTimeStamp, consulte el siguiente artículo de Microsoft Knowledge Base (KB):
    2014074 Error "el parámetro es incorrecto" intentando importar archivo de LDF para Authoritative Restore
    Nota: Este artículo describe los cambios que se requieren para importar correctamente el archivo LDF vínculos.
  13. Habilitar la replicación para la recuperación de domaincontroller usando el siguiente comando:
    repadmin/options <recovery dc="" name=""></recovery> -DISABLE_INBOUND_REPL
  14. Si los usuarios eliminados se agregaron a los grupos locales de externaldomains, siga uno de estos procedimientos:
    • Agregar manualmente los usuarios eliminados a esos grupos.
    • Restaure el estado del sistema y restaurar de auth cada uno de los grupos de seguridad que contiene los usuarios eliminados.
  15. Comprobar la pertenencia a grupos en el controller'sdomain de dominio de recuperación y en los catálogos globales de otros dominios.
  16. Hacer un nuevo estado sistema copias de seguridad de los controladores de dominio en el dominio del controlador de dominio therecovery.
  17. Notificar a todo el bosque administradores, delegatedadministrators, ayudar a los administradores de asistencia al cliente en todo el bosque, y los usuarios de la domainthat la restauración de usuario está completo.

    Ayudar a los administradores de escritorio que se tiene que puede restablece las contraseñas de cuentas de usuario de restaurar de auth y contraseña de dominio de accountswhose equipo cambiado después de la era del sistema restaurada.

    Los usuarios cambiaron sus contraseñas después de la backupwas de estado del sistema realizados encontrarán que su contraseña más reciente ya no funciona. Tener suchusers intenta iniciar sesión con sus contraseñas anteriores si los conocen.De lo contrario, administradores del departamento de ayuda deben restablecer la contraseña y seleccione la casilla de verificaciónusuario debe cambiar la contraseña en el siguiente inicio de sesión , preferablyon un controlador de dominio en el mismo sitio de Active Directory porque el usuario encuentra en.

Método 2: Restaurar las cuentas de usuario eliminadas y, a continuación, agregar los usuarios restaurados nuevos a su grupo

Cuando se utiliza este método, realice los siguientes pasos de alto nivel:
  1. Comprobar si un catálogo global en el hasnot de dominio del usuario en la eliminación y, a continuación, evitar que fromreplicating un catálogo global. Si no hay ningún catálogo global latente, busque más currentsystem backup de estado de un controlador de dominio de catálogo global en el dominio user'shome eliminados.
  2. AUTH restaurar todas las cuentas de usuario eliminadas y permitend-to-end, a continuación, la replicación de las cuentas de usuario.
  3. Agregar todos los usuarios restaurados a todos los grupos en los dominios de todas las cuentas de usuario fueron miembro de antes de que weredeleted.
Para utilizar el método 2, siga este procedimiento:
  1. Compruebe si hay un domaincontroller catálogo global en el dominio de inicio del usuario eliminado que no ha replicado a cualquier parte de la eliminación.

    Nota Se centran en los catálogos globales que tienen los planes de frequentreplication menos.

    Si existen uno o más de estos catálogos globales, utilice la herramienta de línea de comandos Repadmin.exe para deshabilitar inmediatamente inboundreplication. Para ello, siga estos pasos:
    1. Haga clic en Inicioy, a continuación, haga clic en Ejecutar
    2. Tipo cmd en el cuadro Abrir y a continuación, haga clic en Aceptar.
    3. Escriba el comando siguiente en el símbolo del sistema y, a continuación, presione ENTRAR:
      repadmin/options <recovery dc="" name=""></recovery> + DISABLE_INBOUND_REPL
      Nota: Si no se emite el comando Repadmin inmediatamente, quite toda la conectividad de red en el catálogo global latente hasta que pueda utilizar Repadmin para deshabilitar la replicación entrante y, a continuación, devuelva inmediatamente conectividad de red.
    Este controlador de dominio se denomina el controlador recoverydomain. Si no hay ningún tal catálogo global, vaya al paso 2.
  2. Decidir si las adiciones, eliminaciones y cambios en las cuentas de usuario, cuentas de equipo y grupos de seguridad deben ser temporalmente stoppeduntil que se han completado todos los pasos de recuperación.

    Para mantener la ruta de recuperación mostflexible, detener temporalmente la realización de cambios en los elementos siguientes.Los cambios incluyen los restablecimientos de contraseña de los usuarios del dominio, administradores del departamento de ayuda, andadministrators en el dominio donde se produjo la eliminación, además de los cambios groupmembership en grupos los usuarios eliminados. Considere la posibilidad de detener las adiciones, eliminaciones y modificaciones en los elementos siguientes:
    1. Atributos en las cuentas de usuario y cuentas de usuario
    2. Las cuentas de equipo y los atributos en las cuentas de equipo
    3. Cuentas de servicio
    4. Grupos de seguridad
    Es aconsejable dejar de realizar cambios en los grupos de seguridad en el bosque si las siguientes afirmaciones son verdaderas:
    • Método 2 para auth restauración eliminada usuarios o cuentas de equipo está utilizando su ruta de acceso (dn) del nombre de dominio.
    • La eliminación se ha replicado en todos los controladores de dominio en el bosque, excepto el controlador de dominio de recuperación latente.
    • No son auth restaurar grupos de seguridad o sus contenedores principales.
    Si estás auth restaurar grupos de seguridad o contenedores organizationalunit (OU) que alojan las cuentas de usuario, temporarilystop o de grupos de seguridad de todos estos cambios.

    Notificar a los administradores y ayudar a deskadministrators en los dominios correspondientes, además de los usuarios de dominio de MiDominio, donde se ha producido la eliminación de detener estos cambios.
  3. Crear una nueva copia de seguridad del estado de sistema en el dominio donde se produjo la thedeletion. Puede utilizar esta copia de seguridad si tiene que volver a yourchanges.

    Nota Si copias de seguridad son actuales hasta el punto de thedeletion, omita este paso y vaya al paso 4.

    Si ha identificado el controlador de dominio arecovery en el paso 1, respaldar su estado de sistema ahora.

    Ifall que se encuentran los catálogos globales en el dominio donde el occurredreplicated de la eliminación de la eliminación, copia de seguridad del estado del sistema de un catálogo global en midominio donde se produjo la eliminación.

    Cuando se crea una copia de seguridad, volverá el controlador de dominio de recuperación a su estado actual y el plan de recuperación de pilotos otra vez si el primer intento no es correcta.
  4. Si no puede encontrar un domaincontroller latente de catálogo global en el dominio donde se produjo la eliminación del usuario, buscar más recentsystem backup de estado de un controlador de dominio de catálogo global en el dominio. Thissystem copia de seguridad debe contener los objetos eliminados. Utilice este domaincontroller como el controlador de dominio de recuperación.

    Sólo las restauraciones de los controladores de dominio de catálogo global en el dominio del usuario contienen información de pertenencia de grupo global anduniversal de grupos de seguridad que residen en dominios de inexternal. Si no hay ninguna copia de seguridad de un domaincontroller catálogo global en el dominio donde los usuarios se han eliminado, no puede utilizar el atributo memberOf en las cuentas de usuario restaurado para determinar la pertenencia a un grupo global oruniversal o recuperar la pertenencia a dominios externos.Además, es una buena idea para encontrar el controlador de dominio de sistema estado deuna backup catálogo no global más reciente.
  5. Si conoce la contraseña de la administratoraccount sin conexión, iniciar el controlador de dominio de recuperación en modo Dsrepair. Si lo hace nada de la contraseña de la cuenta de administrador sin conexión, restablecer la passwordwhile que el controlador de dominio de recuperación está aún en Directorymode activo normal.

    Puede utilizar la herramienta de línea de comandos setpwd para restablecer la contraseña en el dominio controllersthat está ejecutando Microsoft Windows 2000 Service Pack 2 (SP2) y posterior mientras está en modo en línea de Active Directory.

    NotaMicrosoft ya no es compatible con Windows 2000.

    Para obtener más información acerca de cómo cambiar la contraseña de administrador de la consola de recuperación, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    239803 Cómo cambiar la contraseña de administrador de la consola de recuperación en un controlador de dominio
    Los administradores de Windows Server 2003 domaincontrollers pueden utilizar el comando Establecer contraseña de dsrm en la herramienta de línea de comandos Ntdsutil para restablecer la contraseña de la cuenta offlineadministrator.

    Para obtener más información acerca de cómo restablecer la cuenta de administrador del modo de restauración de servicios de directorio, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    322672 Cómo restablecer la contraseña de cuenta de administrador de modo de restauración de servicios de directorio en Windows Server 2003
  6. Presione F8 durante el proceso de inicio para iniciar el controlador de recoverydomain en modo Dsrepair. Inicie sesión en la consola del controlador de recoverydomain con la cuenta de administrador sin conexión. Si restablece thepassword en el paso 5, utilice la nueva contraseña.

    Si la recuperación domaincontroller es un controlador de dominio de catálogo global latente, no restaure elsistema estado. Vaya al paso 7.

    Si está creando el domaincontroller recuperación mediante el uso de una copia de seguridad, restaurar la copia de seguridad de systemstate más reciente que se ha realizado en el controlador de dominio de recuperación ahora.
  7. AUTH restaurar las cuentas de usuario eliminada, las cuentas de deletedcomputer o los grupos de seguridad eliminados.

    Nota La restauración autoritaria y términos Restaurar de auth consulte el proceso de utilizar el comando de restauración autoritativa en la herramienta de línea de comandos Ntdsutil para incrementar los números de versión de specificobjects o de contenedores específicos y todos sus objetos subordinados. Cuando se produce la replicación asend-to-end pronto, los objetos de destino de la copia local de la domaincontroller recuperación de Active Directory se convierten en autorizado en todos los controladores de MiDominio que comparten esa partición. Isdifferent de una restauración autoritativa de una restauración del estado del sistema. Un populatesthe de restauración de estado de sistema restaura copia local del controlador de dominio de Active Directory con el theversions de los objetos en el momento en que el sistema de estado era de copia de seguridad.

    Para obtener más información acerca de la restauración de un controlador de dominio de autenticación, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    241594 Cómo realizar una restauración autorizada en un controlador de dominio de Windows 2000


    Restauraciones autoritaria están seguir la herramienta de línea de comandos Ntdsutil y hacer referencia a la ruta de acceso (dn) del nombre de dominio de los usuarios de thedeleted o de los contenedores que alojan los usuarios eliminados.

    Restaurar de auth cuando, rutas de nombre (dn) de dominio de uso que están volviendo como baja en el treeas de dominio tienen que ser para evitar que objetos que no están relacionados con thedeletion. Estos objetos pueden incluir objetos que se modificaron después de la copia de seguridad de systemstate.

    Restaurar de AUTH eliminados los usuarios en el followingorder:
    1. AUTH restaurar la ruta de acceso (dn) del nombre de dominio para cada cuenta de usuario eliminada, la cuenta de equipo o el grupo de seguridad.

      Restauraciones autoritaria de determinados objetos tardan más, pero son menos destructivas que las restauraciones autoritaria de un subárbol completo. AUTH restaurar el contenedor primario común más bajo que contiene los objetos eliminados.

      Ntdsutil se utiliza la siguiente sintaxis:
      "authoritative restore" Ntdsutil "restaurar objeto <object dn="" path=""></object>"q q
      Por ejemplo, a auth restaurar el usuario eliminado FulanoDeTal en el Mayberry Unidad organizativa de la Contoso.com dominio, utilice el siguiente comando:
      Ntdsutil "authoritative restore" "restaurar el objeto cn = JuanPérez, ou = Mayberry, dc = contoso, dc = com" q q
      Auth restaurar el grupo de seguridad eliminado ContosoPrintAccess en el Mayberry Unidad organizativa de la Contoso.com dominio, utilice el siguiente comando:
      Ntdsutil "authoritative restore" "restaurar el objeto cn = ContosoPrintAccess, ou = Mayberry, dc = contoso, dc = com" q q


      Importante: Se requiere el uso de ofertas.

      Nota: Esta sintaxis sólo está disponible en Windows Server 2003. La única sintaxis en Windows 2000 es utilizar lo siguiente:
      "authoritative restore" Ntdsutil "restore subtree ruta de acceso del DN del objeto"
      Nota La operación de restauración autoritaria de Ntdsutil no tiene éxito si la ruta de nombre completo (DN) contiene caracteres extendidos o espacios. En orden para la restauración mediante secuencias de comandos tener éxito, el objeto de restauración" <DN path=""></DN>"comando debe pasar como una cadena completa.
      Para evitar este problema, ajuste el DN que contienen caracteres extendidos y espacios con secuencias de escape de barra diagonal inversa-doble-comillas. Éste es un ejemplo:
      Ntdsutil "authoritative restore" "restaurar objeto \"CN=John Pérez, OU = Mayberry, CN, DC = contoso, DC = com\ "" q q

      Nota: El comando debe modificarse aún más si el nombre completo de los objetos que se está restaurando contener comas. Vea el ejemplo siguiente:
      Ntdsutil "authoritative restore" "restaurar el objeto \"CN=Doe\, Juan, OU = Mayberry, CN, DC = contoso, DC = com\ "" q q

      Nota: Si los objetos restaurados desde cinta, marcada autoritaria y la restauración no funcionó como se esperaba y, a continuación, se utiliza la misma cinta para restaurar la base de datos NTDS una vez más, se debe aumentar la versión de USN de objetos para restaurar de forma autoritaria más alta que el valor predeterminado de 100000 o los objetos no se replicará a después de la restauración de la segunda. La sintaxis siguiente es necesario para incluir un número de versión mayor superior a 100000 (por defecto): ntdsutil "authoritative restore" "restaurar el objeto \"CN=Doe\, Juan, OU = Mayberry, CN, DC = contoso, DC = com\ "verinc 150000\" "q q

      Nota: Si la secuencia de comandos le pide confirmación de cada objeto que se está restaurando puede desactivar los avisos. La sintaxis para desactivar preguntar: ntdsutil "de menús emergentes" "authoritative restore" "restaurar objeto \"CN=John Pérez, OU = Mayberry, CN, DC = contoso, DC = com\ "verinc 150000\" "q q
    2. AUTH restaurar sólo los contenedores de unidad organizativa o nombre común (CN) que alojan las cuentas de usuario eliminadas o grupos.

      Restauraciones autoritaria de un subárbol completo son válidas cuando la unidad organizativa que está dirigida el comando ntdsutil "authoritative restore" contiene la mayoría de los objetos que está intentando restaurar de auth. Idealmente, la unidad organizativa de destino contiene todos los objetos que está intentando restaurar de auth.

      Una restauración autoritativa en un subárbol de unidades Organizativas restaura todos los atributos y los objetos que residen en el contenedor. Los cambios que se han realizado hasta el momento en que se restaura una copia de seguridad se revierten a sus valores en el momento de la copia de seguridad. Con las cuentas de usuario, cuentas de equipo y grupos de seguridad, deshacer la transacción puede significar la pérdida de los cambios más recientes a las contraseñas, en el directorio principal, a la ruta del perfil, ubicación y a la información de contacto, pertenencia a grupos y los descriptores de seguridad que se definen en los objetos y atributos.

      Ntdsutil se utiliza la siguiente sintaxis:
      "authoritative restore" Ntdsutil "restore subtree <container dn="" path=""></container>"q q
      Por ejemplo, para restaurar de auth el Mayberry Unidad organizativa de la Contoso.com dominio, utilice el siguiente comando:
      Ntdsutil "authoritative restore" "restore subtree ou = Mayberry, dc = contoso, dc = com" q q
    Nota Repita este paso para cada interlocutor OU que orgroups de los usuarios eliminados de hosts.

    Importante: Cuando se restaura un objeto subordinado de una unidad organizativa, todos los contenedores de deletedparent de los objetos eliminados subordinados deben ser explícitamente authrestored.
  8. Si se han recuperado objetos eliminados en la recuperación domaincontroller debido a una restauración del estado del sistema, quite toda la red cablesthat proporcionar conectividad de red a todos los demás controladores de dominio en el bosque.
  9. Reinicie el controlador de dominio de recuperación en modo normal de Active Directory.
  10. Escriba el siguiente comando para deshabilitar la entrada entre el controlador de dominio de recuperación:
    repadmin/options <recovery dc="" name=""></recovery> + DISABLE_INBOUND_REPL
    Habilitar la conectividad de red a la recuperación se ha restaurado el estado del sistema de dominio controllerwhose.
  11. Objetos de salida replicar el restaurar de auth therecovery controlador de dominio a los controladores de dominio en el dominio y de bosque.

    Cuando se deshabilita la replicación entrante a la controllerremains de dominio de recuperación, escriba el siguiente comando para insertar el textoPara restaurar de auth todos los controladores de dominio de réplica entre sitios en el dominio y en todos los catálogos global en el bosque:
    repadmin /syncall /d /e /P <recovery dc=""> <Naming context=""></Naming></recovery>
    Si las siguientes afirmaciones son verdaderas, linksare de pertenencia al grupo a generar con la restauración y la replicación de las cuentas de usuario eliminadas. Vaya al paso 14.

    Nota Si uno o más de las siguientes afirmaciones no es true, vaya vienes 12.
    • El bosque se ejecuta en el nivel funcional de bosque de Windows Server 2003 o en el nivel funcional de bosque de Windows Server 2003 versión provisional.
    • Se han eliminado las únicas cuentas de usuario o cuentas de equipo y no los grupos de seguridad.
    • Los usuarios eliminados se agregaron a grupos de seguridad en todos los dominios en el bosque después de que el bosque se ha pasado al nivel funcional de bosque de Windows Server 2003.
  12. Determinar qué grupos de seguridad del weremembers de usuarios eliminados de y agréguelos a esos grupos.

    Nota Antes de que se pueden agregar usuarios a grupos, los usuarios que debe authrestored en el paso 7 y que es salida replican en el paso 11 havereplicated a los controladores de dominio en el dominio de referencia de controller'sdomain y a todos los controladores de dominio de catálogo global en el bosque.

    Si ha implementado una herramienta de aprovisionamiento de grupo de pertenencia a grupos de seguridad de rellenar arrancó, utilice dicha utilidad ahora a los usuarios de restoredeleted a los grupos de seguridad que eran miembros de antes de que se weredeleted. Ello después de todo los directo y transitivo controladores de dominio del bosque y servidores de catálogo global tienen replicados entrantes restaurada theauth contenedores de usuarios y cualquier restaurados.

    Si lo hace no tiene una utilidad, la herramienta de línea de comandos de Ldifde.exe y la herramienta de línea de Groupadd.execommand pueden automatizar esta tarea automáticamente cuando se ejecutan en un controlador de dominio therecovery. Estas herramientas están disponibles servicios de Microsoft ProductSupport. En este escenario, se crea un InterchangeFormat de datos LDAP (LDIF) archivo de información que contiene los nombres de usuario cuentas de ysus grupos de seguridad, empezando por un contenedor OU Ldifde.exe que la administratorspecifies. GROUPADD.exe, a continuación, lee el atributo memberOf para cada cuenta de usuario que aparece en el archivo .ldf y genera información de LDIF único y aparte para cada dominio en el bosque. Esta información LDIF contiene los nombres de los grupos de seguridad que tienen los usuarios eliminados para volver a agregar a para que su pertenencia a grupo se puede restaura. Siga estos pasos para esta fase de la recuperación.
    1. Inicie sesión en la consola del controlador de dominio de recuperación mediante el uso de una cuenta de usuario que sea miembro del grupo de seguridad del Administrador de dominio.
    2. Utilice el comando Ldifde para volcar los nombres de las cuentas de usuario anteriormente eliminados y sus atributos de miembro , empezando por la parte superior del contenedor unidad organizativa donde se ha producido la eliminación. El comando Ldifde utiliza la siguiente sintaxis:
      LDIFDE -d <dn path="" of="" container="" that="" hosts="" deleted="" users=""></dn> -r "(objectClass=user)" -l memberof -p subtree -f user_membership_after_restore.ldf
      Si elimina las cuentas se agregaron a grupos de seguridad del equipo, utilice la siguiente sintaxis:
      LDIFDE -d <dn path="" of="" container="" that="" hosts="" deleted="" users=""></dn> -r "(objectClass=computer)" -l memberof -p subtree -f computer_membership_after_restore.ldf
    3. Ejecute el comando de Groupadd para generar más archivos .ldf que contienen los nombres de dominios y los nombres de los grupos de seguridad universal y global que los usuarios eliminados fueron miembro de. El comando de Groupadd utiliza la siguiente sintaxis:
      GROUPADD /after_restore users_membership_after_restore.ldf
      Repita este comando si elimina las cuentas se agregaron a grupos de seguridad del equipo.
    4. Importar cada Groupadd_Fully.Qualified.DomainNamearchivo .ldf que creó en el paso 12c a un controlador de dominio de catálogo global único que se corresponde con el archivo .ldf de cada dominio. Utilice la siguiente sintaxis de Ldifde:
      LDIFDE ? i ? k ? f Groupadd_<fully.qualified.domain.name></fully.qualified.domain.name>ldf
      Ejecute el archivo .ldf para el dominio en el que los usuarios se eliminaron de cualquier controlador de dominio, excepto el controlador de dominio de recuperación.
    5. En la consola de cada controlador de dominio que se utiliza para importar la Groupadd_<fully.qualified.domain.name></fully.qualified.domain.name>archivo .ldf para un dominio determinado, salida replicar las adiciones de pertenencia a grupo para otros controladores de dominio en el dominio y los controladores de dominio de catálogo global en el bosque con el comando siguiente:
      repadmin /syncall /d /e /P <recovery dc=""> <Naming context=""></Naming></recovery>
  13. Para deshabilitar la replicación saliente, escriba el texto siguiente y, a continuación, presione ENTRAR:
    repadmin /options + DISABLE_OUTBOUND_REPL
    Nota Para volver a habilitar la replicación saliente, escriba el siguiente texto, y luego presione ENTRAR:
    repadmin/opciones - DISABLE_OUTBOUND_REPL
  14. Si los usuarios eliminados se agregaron a los grupos locales de externaldomains, siga uno de estos procedimientos:
    • Agregar manualmente los usuarios eliminados a esos grupos.
    • Restaure el estado del sistema y restaurar de auth cada uno de los grupos de seguridad que contiene los usuarios eliminados.
  15. Comprobar la pertenencia a grupos en el controller'sdomain de dominio de recuperación y en los catálogos globales de otros dominios.
  16. Hacer un nuevo estado sistema copias de seguridad de los controladores de dominio en el dominio del controlador de dominio therecovery.
  17. Notificar a todo el bosque administradores, delegatedadministrators, ayudar a los administradores de asistencia al cliente en todo el bosque, y los usuarios de la domainthat la restauración de usuario está completo.

    Ayudar a los administradores de escritorio que se tiene que puede restablece las contraseñas de cuentas de usuario de restaurar de auth y contraseña de dominio de accountswhose equipo cambiado después de la era del sistema restaurada.

    Los usuarios cambiaron sus contraseñas después de la backupwas de estado del sistema realizados encontrarán que su contraseña más reciente ya no funciona. Tener suchusers intenta iniciar sesión con sus contraseñas anteriores si los conocen.De lo contrario, administradores del departamento de ayuda deben restablecer la contraseña y seleccione la casilla de verificaciónusuario debe cambiar la contraseña en el siguiente inicio de sesión , preferablyon un controlador de dominio en el mismo sitio de Active Directory porque el usuario encuentra en.

Método 3: Restaurar de forma autoritaria los usuarios eliminados y los grupos de seguridad de los usuarios eliminados dos veces

Cuando se utiliza este método, realice los siguientes pasos de alto nivel:
  1. Comprobar si un catálogo global en el hasnot de dominio del usuario en la eliminación y evitar que ese dominio controlador frominbound-replicar la eliminación. Si no hay ningún catálogo global latente, rastrear backup de estado de sistema más reciente de un controlador de dominio de catálogo global en el dominio principal del usuario eliminado.
  2. De forma autoritaria todas las cuentas de usuario eliminadas y grupos de allsecurity en el dominio del usuario eliminado.
  3. Espere a que la replicación end-to-end de los usuarios restaurado y los grupos de seguridad para todos los controladores de dominio en la user'sdomain eliminados y los controladores de dominio de catálogo global del bosque.
  4. Repita los grupos de los pasos 2 y 3 para restaurar de forma autoritaria deletedusers y seguridad. (Restaurar el estado del sistema sólo una vez.)
  5. Si los usuarios eliminados eran los miembros de la seguridad de los grupos en otras dominios, de forma autoritaria todos los grupos de seguridad que el deletedusers eran miembros de esos dominios. O bien, si arecurrent copias de seguridad de estado del sistema, restaurar autoritativamente todos los grupos de seguridad de thosedomains.
Para satisfacer el requisito de que se elimina los miembros del grupo debe restaurarse antes de corregir los vínculos de pertenencia a grupo de grupos de seguridad, restaurar, ambos tipos de objeto dos veces en este método. La primera restauración pone todas las cuentas de usuario y cuentas de grupo en su lugar, y la segunda restauración restaura los grupos eliminados y repara la información de pertenencia a grupo, incluida la información de pertenencia de los grupos anidados.

Para utilizar el método 3, siga este procedimiento:
  1. Comprueba si un dominio dominio de inicio de controllerexists en los usuarios eliminados y no se ha replicado en cualquier parte de la eliminación de catálogo global.

    Nota Se centran en los catálogos globales en el dominio que tiene las programaciones de replicación de leastfrequent. Si estos controladores de dominio, utilice la herramienta de línea de comandos theRepadmin.exe para deshabilitar inmediatamente la replicación entrante. Todo esto, siga estos pasos:
    1. Haga clic en Inicioy, a continuación, haga clic en Ejecutar
    2. Tipo comando en el cuadro Abrir y a continuación, haga clic en Aceptar.
    3. Tipo repadmin/options <recovery dc="" name=""></recovery> + DISABLE_INBOUND_REPL en el símbolo del sistema y presione ENTRAR.

      Nota: Si no se emite el comando Repadmin inmediatamente, quite toda la conectividad de red del controlador de dominio hasta que pueda utilizar Repadmin para deshabilitar la replicación entrante y, a continuación, devuelva inmediatamente conectividad de red.
    Este controlador de dominio se denomina el controlador recoverydomain.
  2. Evitar realizar adiciones, eliminaciones y cambios en los elementos siguientes hasta que se han completado todos los pasos de recuperación. Los restablecimientos de contraseña de Changesinclude por los usuarios del dominio, ayudan a los administradores de asistencia al cliente, andadministrators en el dominio donde se produjo la eliminación, además de los cambios groupmembership en grupos los usuarios eliminados.
    1. Atributos en las cuentas de usuario y cuentas de usuario
    2. Las cuentas de equipo y los atributos en las cuentas de equipo
    3. Cuentas de servicio
    4. Grupos de seguridad

      Nota: Especialmente, evitar cambios en la pertenencia al grupo de usuarios, equipos, grupos y cuentas de servicio en el bosque donde se ha producido la eliminación.
    5. Notificar a los administradores del bosque, los administradores delegados y los administradores del departamento de ayuda en el bosque de la espera temporal.
    Esta espera es necesario en el método 2 porque areauthoritatively restaurar grupos de seguridad de todos los usuarios eliminados. Por lo tanto, los cambios que se realizan en grupos después de la fecha del sistema de arelost de copia de seguridad del estado.
  3. Crear una nueva copia de seguridad del estado de sistema en el dominio donde se produjo la thedeletion. Puede utilizar esta copia de seguridad si tiene que volver a yourchanges.

    Nota: Si las copias de seguridad de estado de sistema están actualizados hasta el momento ha producido ese thedeletion, omita este paso y vaya al paso 4.

    Si te identificamosun recuperación controlador de dominio en el paso 1, copia de seguridad de su sistema de statenow.

    Si todos los catálogos globales que se encuentran en la eliminación de dominio donde se produjeron replicado la eliminación, copia de seguridad del estado del sistema del catálogo puso en el dominio donde se produjo la eliminación.

    Cuando cómo una copia de seguridad, puede devolver el controlador de dominio de recuperación a estado actual y volver a realizar el plan de recuperación si el resultado es notsuccessful.
  4. Si no puede encontrar un domaincontroller latente de catálogo global en el dominio donde se produjo la eliminación del usuario, buscar más recentsystem backup de estado de un controlador de dominio de catálogo global en el dominio. Thissystem copia de seguridad debe contener los objetos eliminados. Utilice este domaincontroller como el controlador de dominio de recuperación.

    Sólo las bases de datos de controladores de dominio de catálogo global en el dominio del usuario contienen membershipinformation grupo de dominios externos en el bosque. Si no hay ningún statebackup de sistema de un controlador de dominio de catálogo global en el dominio no donde los usuarios weredeleted, puede utilizar el atributo memberOf en las cuentas de usuario restaurado para determinar la pertenencia a un grupo global oruniversal o recuperar la pertenencia a dominios externos. Vaya al paso siguiente. Si hay un registro externo de pertenencia a grupos en externaldomains, agregue los usuarios restaurados a grupos de seguridad en esos dominios una vez se han restaurado las cuentas de usuario.
  5. Si conoce la contraseña de la administratoraccount sin conexión, iniciar el controlador de dominio de recuperación en modo Dsrepair. Si lo hace nada de la contraseña de la cuenta de administrador sin conexión, restablecer la passwordwhile que el controlador de dominio de recuperación está aún en Directorymode activo normal.

    Puede utilizar la herramienta de línea de comandos setpwd para restablecer la contraseña en el dominio controllersthat está ejecutando Microsoft Windows 2000 Service Pack 2 (SP2) y posterior mientras está en modo en línea de Active Directory.

    NotaMicrosoft ya no es compatible con Windows 2000.

    Para obtener más información acerca de cómo cambiar la contraseña de administrador de la consola de recuperación, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    239803 Cómo cambiar la contraseña de administrador de la consola de recuperación en un controlador de dominio
    Los administradores de Windows Server 2003 domaincontrollers pueden utilizar el comando Establecer contraseña de dsrm en la herramienta de línea de comandos Ntdsutil para restablecer la contraseña de la cuenta offlineadministrator.

    Para obtener más información acerca de cómo restablecer la cuenta de administrador del modo de restauración de servicios de directorio, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    322672 Cómo restablecer la contraseña de cuenta de administrador de servicios de directorio restore mode en Windows Server 2003
  6. Presione F8 durante el proceso de inicio para iniciar el controlador de recoverydomain en modo Dsrepair.Inicie sesión en la consola de la domaincontroller de recuperación con la cuenta de administrador sin conexión. Si restablece el empeine 5 de contraseña, utilice la nueva contraseña.

    Si el controlador de dominio de recuperación es un controlador de dominio de catálogo global de alatent, no restaure el estado del sistema. Godirectly al paso 7.

    Si va a crear la controllerby de dominio de recuperación mediante una copia de seguridad del estado de sistema, restaurar la backupthat de estado de sistema más reciente se realizó en el controlador de dominio de recuperación que contiene el DeletedObjects de ActiveDirectory ahora.
  7. AUTH restaurar las cuentas de usuario eliminada, las cuentas de deletedcomputer o los grupos de seguridad eliminados.

    Nota La restauración autoritaria y términos Restaurar de auth consulte el proceso de utilizar el comando de restauración autoritativa en la herramienta de línea de comandos Ntdsutil para incrementar los números de versión de specificobjects o de contenedores específicos y todos sus objetos subordinados. Cuando se produce la replicación asend-to-end pronto, los objetos de destino de la copia local de la domaincontroller recuperación de Active Directory se convierten en autorizado en todos los controladores de MiDominio que comparten esa partición. Isdifferent de una restauración autoritativa de una restauración del estado del sistema. Un populatesthe de restauración de estado de sistema restaura copia local del controlador de dominio de Active Directory con el theversions de los objetos en el momento en que el sistema de estado era de copia de seguridad.

    Para obtener más información acerca de la restauración de un controlador de dominio de autenticación, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    241594 Cómo realizar una restauración autorizada en un controlador de dominio de Windows 2000


    Restauraciones autoritaria son la herramienta de línea de comandos Ntdsutil de seguir haciendo referencia a la ruta de acceso (dn) del nombre de dominio de los usuarios de thedeleted o de los contenedores que alojan los usuarios eliminados.

    Restaurar de auth cuando, rutas de nombre (dn) de dominio de uso que están volviendo como baja en el treeas de dominio tienen que ser para evitar que objetos que no están relacionados con thedeletion. Estos objetos pueden incluir objetos que se modificaron después de la copia de seguridad de systemstate.

    Restaurar de AUTH eliminados los usuarios en el followingorder:
    1. AUTH restaurar la ruta de acceso (dn) del nombre de dominio para cada cuenta de usuario eliminada, la cuenta de equipo o el grupo de seguridad eliminados.

      Restauraciones autoritaria de determinados objetos tardan más, pero son menos destructivas que las restauraciones autoritaria de un subárbol completo. AUTH restaurar el contenedor primario común más bajo que contiene los objetos eliminados.

      Ntdsutil se utiliza la siguiente sintaxis:
      "authoritative restore" Ntdsutil "restaurar objeto <object dn="" path=""></object>"q q
      Por ejemplo, a auth restaurar el usuario eliminado FulanoDeTal en el Mayberry Unidad organizativa de la Contoso.com dominio, utilice el siguiente comando:
      Ntdsutil "authoritative restore" "restaurar el objeto cn = JuanPérez, ou = Mayberry, dc = contoso, dc = com" q q
      Auth restaurar el grupo de seguridad eliminado ContosoPrintAccess en el Mayberry Unidad organizativa de la Contoso.com dominio, utilice el siguiente comando:
      Ntdsutil "authoritative restore" "restaurar el objeto cn = ContosoPrintAccess, ou = Mayberry, dc = contoso, dc = com" q q


      Importante: Se requiere el uso de ofertas.

      Con este formato de Ntdsutil, también puede automatizar la restauración autoritativa de muchos objetos en un archivo por lotes o una secuencia de comandos.
      Nota: Esta sintaxis sólo está disponible en Windows Server 2003. La única sintaxis en Windows 2000 es utilizar: ntdsutil "authoritative restore" "restore subtree ruta de acceso del DN del objeto".
    2. AUTH restaurar sólo los contenedores de unidad organizativa o nombre común (CN) que alojan las cuentas de usuario eliminadas o grupos.

      Restauraciones autoritaria de un subárbol completo son válidas cuando la unidad organizativa que está dirigida por el comando de restauración autoritativa de Ntdsutil contiene la mayoría de los objetos que está intentando restaurar de auth. Idealmente, la unidad organizativa de destino contiene todos los objetos que está intentando restaurar de auth.

      Una restauración autoritaria en un subárbol de unidades Organizativas restaura todos los atributos y los objetos que residen en el contenedor. Los cambios que se han realizado hasta el momento en que se restaura una copia de seguridad se revierten a sus valores en el momento de la copia de seguridad. Con las cuentas de usuario, cuentas de equipo y grupos de seguridad, deshacer la transacción puede significar la pérdida de los cambios más recientes a las contraseñas, en el directorio principal, a la ruta del perfil, ubicación y a la información de contacto, pertenencia a grupos y los descriptores de seguridad que se definen en los objetos y atributos.

      Ntdsutil se utiliza la siguiente sintaxis:
      "authoritative restore" Ntdsutil "restore subtree <container dn="" path=""></container>"q q
      Por ejemplo, para restaurar de auth el Mayberry Unidad organizativa de la Contoso.com dominio, utilice el siguiente comando:
      Ntdsutil "authoritative restore" "restore subtree ou = Mayberry, dc = contoso, dc = com" q q
    Nota Repita este paso para cada interlocutor OU que orgroups de los usuarios eliminados de hosts.

    Importante: Cuando se restaura un objeto subordinado de una unidad organizativa, todos los parentcontainers de los objetos eliminados subordinados debe ser explícitamente authrestored.
  8. Reinicie el controlador de dominio de recuperación en modo normal de Active Directory.
  9. Salida-replicar el objectsfrom restaurado de forma autoritaria, el controlador de dominio de recuperación para los controladores de dominio en el bosque y de dominio.

    Mientras la replicación entrante para la recuperación de domaincontroller permanece deshabilitada, escriba el siguiente comando para insertar theauthoritatively restaura objetos para todos los domaincontrollers entre sitios de réplica en el dominio y catálogos globales en el bosque:
    repadmin /syncall /d /e /P <recovery dc=""> <Naming context=""></Naming></recovery>
    Después de todos los controladores de dominio directo y transitivo de dominio del bosque y el catálogo global se han replicado los servidores theauthoritatively restauran los usuarios y los contenedores restaurados, vaya a step11.

    Si las siguientes afirmaciones son verdaderas, linksare de pertenencia al grupo a generar con la restauración de las cuentas de usuario eliminadas. Vaya al paso 13.
    • El bosque se ejecuta en el nivel funcional de bosque de Windows Server 2003 o en el nivel funcional del bosque provisional de Windows Server 2003.
    • Sólo los grupos de seguridad no se eliminaron.
    • Se han agregado todos los usuarios eliminados a todos los grupos de seguridad en todos los dominios del bosque.
    Puede utilizar el comando Repadmin para acelerar la replicación de theoutbound de usuarios desde el controlador de dominio restaurado.

    Ifgroups también se eliminaron, o si no puede garantizar todos los userswere eliminado agregado a todos los grupos de seguridad después de la transición al nivel funcional de bosque o provisional de Windows Server 2003, vaya al paso 12.
  10. Repita los pasos 7, 8 y 9 sin restaurar el systemstate y, a continuación, vaya al paso 11.
  11. Si los usuarios eliminados se agregaron a los grupos locales de externaldomains, siga uno de estos procedimientos:
    • Agregar manualmente los usuarios eliminados a esos grupos.
    • Restaure el estado del sistema y restaurar de auth cada uno de los grupos de seguridad que contiene los usuarios eliminados.
  12. Comprobar la pertenencia a grupos en el controller'sdomain de dominio de recuperación y en los catálogos globales de otros dominios.
  13. Utilice el siguiente comando para habilitar la replicación en el controlador de dominio de recuperación:
    repadmin/options nombre del controlador de dominio de recuperación -DISABLE_INBOUND_REPL
  14. Asegúrese de copia de seguridad de los controladores de dominio de un nuevo estado del sistema del controlador de dominio de therecovery dominio y catálogos globales de otros dominios del bosque.
  15. Notificar a los administradores del bosque, los delegatedadministrators, los administradores del departamento de ayuda en el bosque y los usuarios en el dominio que termine la restauración del usuario.

    Ayuda de asistencia al cliente administratorsmay tiene que restablecer las contraseñas de las cuentas de usuario de restaurar de auth y computeraccounts cuya contraseña de dominio cambiado después de la era del sistema restaurado.

    Los usuarios cambiaron sus contraseñas después de la backupwas de estado del sistema realizados encontrarán que su contraseña más reciente ya no funciona. Tener suchusers intenta iniciar sesión con sus contraseñas anteriores si los conocen.De lo contrario, los administradores del departamento de ayuda deben restablecer la contraseña con la casilla de verificacióndebe cambiar la contraseña en el siguiente inicio de sesión de usuario activada, preferiblemente en un controlador de dominio en el mismo sitio de Active Directory como el useris que se encuentra en.

Cómo recuperar los usuarios eliminados en un controlador de dominio de Windows Server 2003 cuando no tiene una copia de seguridad del estado de sistema válida

Si falta actual copias de seguridad de estado de sistema en un dominio donde se han eliminado las cuentas de usuario o grupos de seguridad y la eliminación se ha producido en dominios que contienen controladores de dominio de Windows Server 2003, siga estos pasos para manualmente reanimar objetos eliminados desde el contenedor de objetos eliminados:
  1. Siga los pasos descritos en la sección "Cómo recuperar manualmente ocultosen el contenedor de objetos eliminados" para reanimar usuarios eliminados, equipos, grupos o todos ellos.
  2. Utilice usuarios y equipos de usuarios de Active Directory para cambiar la cuenta de deshabilitado a habilitado. (La cuenta aparece en la originalOU.)
  3. Utilizar las características de restablecimiento de masiva en el 2003version de Windows Server de usuarios de Active Directory y equipos para realizar masiva se restablece en la configuración de directiva "debe cambiar la contraseña en el siguiente inicio de sesión", el directorio principal, la ruta del perfil y pertenencia a grupos de la cuenta eliminada según sea necesario.También puede utilizar un programación, el equivalente de estas características.
  4. Si se utiliza Microsoft Exchange 2000 o posterior, reparar theExchange buzón para el usuario eliminado.
  5. Si se utiliza Exchange 2000 o posterior, volver a asociar el deleteduser con el buzón de Exchange.
  6. Compruebe que el usuario recuperado puede iniciar sesión y tener acceso a archivos, directorios compartidos y localdirectories.
Puede automatizar algunos o todos estos pasos de recuperación mediante el uso de los métodos siguientes:
  • Escribir un script que automatiza la stepsthat recuperación manual se enumeran en el paso 1. Cuando se escribe una secuencia de comandos, considere la posibilidad de ámbito objeto de thedeleted por fecha, hora y último contenedor principal conocido y thenautomating la reanimación de un objeto eliminado. Para automatizar la reanimación, cambie el atributo isDeleted de true a FALSE y cambie el nombre de relativedistinguished por el valor que es el contenedor de nombre definido en el atributo lastKnownParent o en una nueva unidad organizativa o común (CN) que isspecified por el administrador. (El nombre completo relativo es también como el RDN.)
  • Obtener un programa no son de Microsoft que admite la thereanimation de los objetos eliminados en los controladores de dominio de Windows Server 2003. Utilidad de Onesuch es AdRestore. AdRestore utiliza la undeleteprimitives de Windows Server 2003 para recuperar los objetos individualmente. AndCommvault Aelita Software Corporation sistemas también ofrecen productos que admiten undelete funcionalidad onWindows los controladores de dominio de Server 2003.

    Para obtener AdRestore, visite el siguiente sitio Web:
    http://technet.Microsoft.com/en-us/Sysinternals/bb963906.aspx
Microsoft proporciona información de contacto de otros fabricantes para ayudarle a encontrar soporte técnico. Esta información de contacto puede cambiar sin previo aviso. Microsoft no garantiza la exactitud de esta información de contacto de otros fabricantes.

Cómo recuperar manualmente los objetos en el contenedor de un objeto eliminado

Para recuperar manualmente los objetos de contenedor de un objeto eliminado, siga estos pasos:
  1. Haga clic en Inicio, haga clic en Ejecutary, a continuación, escriba Ldp.exe.

    Nota Si no se instala la utilidad Ldp, instalar el toolsfrom de compatibilidad con el CD de instalación de Windows Server 2003.
  2. Utilice el menú de conexión en Ldp para desempeñar conecte las operaciones y las operaciones de enlace a un domaincontroller de Windows Server 2003.

    Especificar credenciales de administrador de dominio durante el bindoperation.
  3. En el menú Opciones , haga clic enlos controles.
  4. En la lista de Carga predefinido , haga clic enReturn Deleted Objects.

    Nota El control de 1.2.840.113556.1.4.417 se desplaza a la ventana de Controles activos.
  5. En Tipo de Control, haga clic en elservidory la haga clic en Aceptar.
  6. En el menú Ver , haga clic enárbol, escriba la ruta de acceso completa de la objectscontainer eliminado en el dominio donde se produjo la eliminación y, a continuación, haga clic enAceptar.

    Nota La ruta de acceso completa es también conocida como la ruta de acceso completa. Por ejemplo, si la eliminación se produjo en el dominio contoso.com, la ruta de acceso completa sería la siguiente ruta:
    CN = objetos eliminados, dc = contoso, dc = com
  7. En el panel izquierdo de la ventana, haga doble clic en el Contenedor de objetos eliminados.

    Nota Como resultado de una búsqueda de consulta Idap, sólo 1000 objetos de forma predeterminada. Ejemplo de FOT, si existen más de 1000 objetos en el contenedor de objetos eliminados, no todos los objetos aparecen en este contenedor. Si no aparece el objeto de destino, utilice Ntdsutily, a continuación, establecer el número máximo mediante MaxPageSize Para obtener los resultados de búsqueda.
  8. Haga doble clic en el objeto que se va a recuperar o toreanimate.
  9. Haga clic en el objeto que desea reanimar y a continuación, haga clic en modificar.

    Operación de modificación de cambiar el valor para el atributo isDeleted y la ruta de acceso de DN en un único protocolo de DirectoryAccess de Lightweight (LDAP). Para configurar el cuadro de diálogoModificar , siga estos pasos:
    1. En el cuadro Editar el atributo de entrada , escriba isDeleted.

      Deje el cuadro valor en blanco.
    2. Haga clic en el botón Eliminar y, a continuación, haga clic en ENTRAR para hacer que el primero de dos entradas en el cuadro de diálogo Lista de entradas .

      Importante: No hace clic en Ejecutar.
    3. En el cuadro atributo , escriba distinguishedName.
    4. En el cuadro valores , escriba la nueva ruta de acceso del DN del objeto reanimado.

      Por ejemplo, para reanimar la cuenta de usuario JuanPerez la OU Mayberry, utilice la siguiente ruta de acceso de DN:
      CN =FulanoDeTal, ou =Mayberry, dc =Contoso, dc =com
      Nota Si desea reanimar un objeto eliminado a su contenedor original, anexar el valor del atributo de lastKnownParent del objeto eliminado a su valor CN y, a continuación, pegue la ruta de acceso completa de DN en el cuadro de valores .
    5. En el cuadro de la operación , haga clic en Reemplazar.
    6. Haga clic en ENTRAR.
    7. Haga clic para activar la casilla de verificación sincrónico .
    8. Haga clic para activar la casilla de verificación extendida .
    9. Haga clic en Ejecutar.
  10. Después de reanimar los objetos, haga clic en loscontroles en el menú Opciones , haga clic en el botón Cerrar para quitar (1.2.840.113556.1.4.417) de la lista del cuadro de Controles activos .
  11. Restablecer contraseñas de cuentas de usuario, perfiles, pertenencia a grupos de directoriesand de inicio para los usuarios eliminados.

    Cuando se eliminan todos los valores de atributo excepto SID, ObjectGUID, LastKnownParent y SAMAccountName , de la wasdeleted del objeto.
  12. Habilitar la cuenta reanimada en equipos de usuarios y de Active Directory.

    Nota El objeto reanimado tiene el mismo SID principal que tenía eliminación de antes, pero el objeto debe agregarse otra vez a la misma tener grupos de seguridad el mismo nivel de acceso a los recursos. La primera versión de Windows Server 2003 no conserva el atributo sIDHistory en las cuentas de usuario reanimado, cuentas de equipo, grupos de andsecurity. Windows Server 2003 con Service Pack 1 conserva el atributo sIDHistory en los objetos eliminados.
  13. Quitar atributos de Exchange de Microsoft y vuelva a conectar el usuario al buzón de Exchange.

    Nota La reanimación de objetos eliminados se admite cuando el deletionoccurs en un controlador de dominio de Windows Server 2003. No se admite la reanimación de DeletedObjects de ActiveDirectory cuando la eliminación se produce en un domaincontroller de Windows 2000 que posteriormente se actualiza a Windows Server 2003.

    Nota Si la eliminación se produce en un controlador de dominio de Windows 2000 en miDominio, no se rellena el atributo lastParentOf en Windows Server 2003 domaincontrollers.

Cómo determinar cuándo y dónde se ha producido una eliminación

Cuando los usuarios se eliminan debido a una eliminación masiva, desea aprender donde se originó la eliminación. Para ello, siga estos pasos:
  1. Si la auditoría se ha configurado correctamente para realizar un seguimiento de thedeletion de contenedores de unidad organizativa (OU) o de objetos subordinados, utilizará utilidad que busca el registro de sucesos de seguridad de los controladores de dominio de MiDominio donde se ha producido la eliminación. Una utilidad que busque un ámbito conjunto de controladores de dominio del evento logson es la utilidad EventCombMT. EventCombMTis parte del conjunto de herramientas de herramientas del Kit de recursos de Windows Server 2003.

    Para más información acerca de cómo obtener el conjunto Toolstools de Kit de recursos de Windows Server 2003, visite la siguiente página Web de Microsoft:
    http://technet.Microsoft.com/en-us/WindowsServer/bb693323.aspx
  2. Siga los pasos 1 a 7 en el "cómo manualmente undeleteobjects en el contenedor de un objeto eliminado" sección para localizar securityprincipals eliminados. Si se ha eliminado un árbol, siga estos pasos para encontrar un parentcontainer del objeto eliminado.
  3. Copie el valor del atributo objectGUID en el Portapapeles de Windows.

    Puede pegar thisvalue cuando introduzca el comando Repadmin en el paso 4.
  4. Escriba el siguiente comando:
    repadmin /showmeta GUID =GUID de objeto>NOMBRE DE DOMINIO COMPLETO>
    Por ejemplo, si el objectGUID del objeto eliminado o 791273b2-eba7-4285-a117-aa804ea76e95 del contenedor y el nombre de dominio completo, (FQDN) es dc.contoso.com, escriba el comando siguiente:
    repadmin /showmeta GUID = 791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com
    La sintaxis de este comando debe incluir el GUID de la deletedobject o el contenedor y el FQDN del servidor que desee como origen.
  5. En la salida del comando Repadmin, busque el controlador de fecha, hora y dominio de origen para el atributo isDeleted . Por ejemplo, la información para el atributo isDeleted aparece en la quinta línea de la sampleoutput siguiente:
    Loc.USN  Originating DC                  Org.USN  Org.Time/Date       Ver  Attribute
    -----------------------------------------------------------------------------------------------
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  objectClass
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  ou
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  instanceType
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  whenCreated
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   1  isDeleted
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  nTSecurityDescriptor
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  name
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   1  lastKnownParent
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  objectCategory
  6. Si aparece el nombre del controlador de dominio originario en la segunda columna de la salida como un GUID de 32 caracteres alfanuméricos, usar el comando Ping para resolver el GUID para la dirección IP y el nombre del controlador de MiDominio que originó la eliminación. El comando Ping utiliza sintaxis siguientes:
    ping ?a <originating dc="" guid=""></originating>controladores de ._msdomain.<fully qualified="" path="" for="" forest="" root=""></fully>>
    Nota El "-una" opción distingue mayúsculas de minúsculas. Sin importar el dominio en el que reside el controlador originatingdomain en, utilice el nombre de dominio completo del dominio raíz del bosque.

    Por ejemplo, si el origen domaincontroller residía en cualquier dominio del bosque Contoso.com y tenía un GUID of644eb7e7-1566-4f29-a778-4b487637564b, escriba el comando siguiente:
    ping ?a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com
    El resultado que devuelve este comando es similar al siguiente:
    Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:
    
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
  7. Ver el registro de seguridad de la thatoriginated del controlador de dominio la eliminación en o sobre el momento en que se ha indicado en el outputof la Repadmin comando en el paso 5.

    Preste atención a la hora de skewsand los cambios de zona horaria entre los equipos que se utilizaron para llegar a este punto. Si se habilita la auditoría de eliminación para contenedores de unidad organizativa o para el DeletedObjects de ActiveDirectory, preste atención a los eventos de auditoría pertinentes. Si la auditoría está notenabled, preste atención a los usuarios que tenían los permisos para eliminar la unidad organizativa containersor los objetos subordinados en ellos, y que también tenía autenticados frente a controlador de dominio theoriginating en el tiempo antes de la eliminación.

Cómo minimizar el impacto de las eliminaciones masivas en el futuro

Las claves para minimizar el impacto de la eliminación en masa de usuarios, equipos y grupos son para asegurarse de que las copias de seguridad del estado de sistema actualizado, controlar de forma estricta acceso a cuentas de usuario con privilegios, controlar de forma estricta lo que pueden hacer las cuentas de seguridad y por último, para probar la recuperación de eliminaciones masivas.

Los cambios de estado del sistema se producen cada día. Estos cambios pueden incluir los restablecimientos de contraseña de cuentas de usuario y en las cuentas de equipo además de los cambios de pertenencia de grupo y otros cambios de atributos en las cuentas de usuario, en las cuentas de equipo y en grupos de seguridad. Si se produce un error en la falla de hardware, el software o el sitio experimenta otro desastre, deseará restaurar las copias de seguridad que se realizaron después de cada conjunto significativo de cambios en cada dominio de Active Directory y el sitio en el bosque. Si no mantiene copias de seguridad actuales, puede perder datos o que tenga que deshacer objetos restaurados.

Microsoft recomienda que tome los siguientes pasos para evitar eliminaciones masivas:
  1. No compartir la contraseña de la administratoraccounts integrada o permitir que las cuentas de usuario administrativas comunes para compartir. Si se conoce la thepassword de la cuenta de administrador integrada, cambiar la passwordand definir un proceso interno que se desaconseja su uso. Control de cuentas de usuario de forshared eventos hace imposible determinar que la identidad de la userwho está realizando cambios en Active Directory. Por lo tanto, debe ser no recomienda el uso de cuentas de usuario compartidas.
  2. Es muy raro cuentas de usuario, cuentas de equipo, andsecurity grupos se eliminan de forma intencionada. Esto es especialmente cierto para treedeletions. Desvincular la capacidad de servicio y porordenanza de los administradores delegados de estos objetos de la capacidad para crear y administrar cuentas de usuario, cuentas de equipo, grupos de seguridad, contenedores de unidad organizativa y sus atributos. Grantonly con los privilegios más cuentas de usuario o grupos de seguridad el derecho de eliminaciones de performtree. Estas cuentas de usuario con privilegios pueden incluir enterpriseadministrators.
  3. Conceder acceso sólo a la ofobject de la clase que los administradores pueden administrar a los administradores delegados. Por ejemplo, es mejor que si un administrador de escritorio de Ayuda cuya función principal es modificar cuentas de usuario de propertieson no tiene permisos para crear y eliminar computeraccounts, grupos de seguridad o contenedores de unidad organizativa. Esta restricción también aplica porordenanza permisos para los administradores de otros deben específico.
  4. Experimente con la configuración de auditoría para realizar el seguimiento de operaciones de eliminar un dominio del laboratorio. Una vez que está familiarizado con los resultados, aplicar el bestsolution al dominio de producción.
  5. Cambios por mayor de auditoría y control de acceso en containersthat host decenas de miles de objetos pueden hacer el databasegrow de Active Directory de forma significativa, especialmente en dominios de Windows 2000. Utilice un thatmirrors de dominio del dominio de producción de prueba para evaluar los posibles cambios para liberar espacio en disco.Compruebe el espacio de disco de los volúmenes de la unidad de disco duro que alojan los archivos Ntds.dit y los archivos de controladores de dominio en el dominio de producción de forma gratuita. Avoidsetting cambios de control de acceso y de auditoría en la cabeza de controlador de red de dominio.Estos cambios innecesariamente se aplicarían a todos los objetos de todos los theclasses en todos los contenedores en la partición. Por ejemplo, evite makingchanges de sistema de nombres de dominio (DNS) y recordregistration (DLT) en el CN de seguimiento de vínculos distribuidos = carpeta del sistema de la partición de dominio.
  6. Utilice la estructura de unidades Organizativas recomendada para separar las cuentas de usuario, cuentas de equipo, grupos de seguridad y las cuentas de servicio de su unidad de ownorganizational. Cuando se utiliza esta estructura, puede aplicar listas de control de discretionaryaccess (DACL) para los objetos de una sola clase de delegatedadministration y hace posible que los objetos restaurarse según la clase de objeto si tienen que restaurarse. La estructura de unidad organizativa recomendada isdiscussed en la sección "Crear an Organizational Unit Design" de las notas del producto Best Practice Active Directory Design for Managing Windows Networks . Para obtener estas notas del producto, visite el sitio Web de followingMicrosoft:
    http://technet.Microsoft.com/en-us/library/Bb727085.aspx
  7. Eliminaciones masivas de prueba en un entorno de laboratorio que refleja el dominio yourproduction. Elija el método de recuperación que tenga sentido para usted y thencustomize a su organización. Desea identificar lo siguiente:
    • Los nombres de los controladores de dominio en cada dominio que se realicen regularmente copias
    • Donde se almacenan las imágenes de backup

      Idealmente, las imágenes se almacenan en un disco duro adicional que es local a un catálogo global en cada dominio del bosque.
    • Los miembros de la organización de asistencia al cliente ayuda ponerse en contacto con
    • La mejor manera de asegurarse de que el contacto
  8. La mayoría de las eliminaciones masivas de cuentas de usuario, de computeraccounts y de grupos de seguridad que Microsoft ve son accidental. Escenario de discutir con su personal de TI y desarrollar un plan de acción interna. Al principio, concentrarse en la detección temprana y en devolver la funcionalidad a su domainusers y a su empresa lo más rápidamente posible. También puede tomar medidas para evitar eliminaciones accidentales masiva se produzca mediante la edición de las listas de control de acceso (ACL) de las unidades organizativas. Para obtener más información acerca de cómo utilizar las herramientas de la interfaz de Windows para evitar eliminaciones accidentales a granel, visite el siguiente sitio Web de Microsoft para ver la "Protección contra Accidental masiva eliminaciones en Active Directory":
    http://technet.Microsoft.com/en-us/library/cc773347 (WS.10).aspx
    Para obtener más información sobre cómo evitar eliminaciones accidentales masiva mediante Dsacls.exe en la línea de comandos o mediante el uso de una secuencia de comandos, visite el siguiente sitio Web de Microsoft para ver "Secuencia de comandos a unidades organizativas (OU) de proteger contra eliminación Accidental":
    http://go.Microsoft.com/fwlink/?LinkId=162623

Herramientas y secuencias de comandos que pueden ayudarle a recuperación de eliminación masiva

La utilidad de línea de comandos de Groupadd.exe lee el atributo memberOf en una colección de usuarios de una unidad organizativa y genera un archivo .ldf que agrega cada cuenta de usuario restaurado a los grupos de seguridad en cada dominio del bosque.

GROUPADD.exe descubre automáticamente los dominios y grupos de seguridad que eliminan los usuarios fueron miembros de y los agrega a esos grupos. Este proceso se explica con más detalle en el paso 11 del método 1.

GROUPADD.exe se ejecuta en los siguientes controladores de dominio:
  • Controladores de dominio de Windows Server 2003
  • Controladores de dominio de Windows 2000 que tienen .NET 1.1framework instalado
GROUPADD.exe utiliza la siguiente sintaxis:
GROUPADD /after_restore ldf_file [/before_restore ldf_file]
Aquí, ldf_file representa el nombre del archivo .ldf para ser utilizado con el argumento anterior, after_restore representa el origen de datos del archivo de usuario, y before_restore representa los datos de usuario del entorno de producción. (El origen de datos del archivo de usuario es que los datos de usuario válida).

Para obtener Groupadd.exe, póngase en contacto con los servicios de soporte técnico de Microsoft.

Los productos de otros fabricantes que analiza este artículo están fabricados por compañías independientes de Microsoft. Microsoft no otorga ninguna garantía, implícita o de otro tipo, respecto al rendimiento o confiabilidad de estos productos.

Referencias

Para obtener más información acerca de cómo restaurar un objeto que contiene caracteres extendidos, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
886689 La operación de restauración autoritaria de Ntdsutil no tiene éxito si la ruta de acceso completa contiene caracteres extendidos en Windows Server 2003 y en Windows 2000
Para obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
824684 Descripción de la terminología estándar que se utiliza para describir las actualizaciones de software de Microsoft
910823 Mensaje de error cuando intenta importar archivos .ldf en un equipo que ejecuta Windows Server 2003 con Service Pack 1: "Error al agregar en línea LineNumber: No existe el objeto"
937855 Después de restaurar objetos eliminados mediante la realización de una restauración autorizada en un controlador de dominio basado en Windows Server 2003, los atributos vinculados de algunos objetos no se replican en otros controladores de dominio

Para obtener más información sobre cómo utilizar la característica de Papelera de reciclaje de AD incluida en Windows Server 2008 R2, consulte a la Guía de Active Directory reciclaje Bin paso a paso disponibles en este sitio Web de Microsoft:http://technet.Microsoft.com/en-us/library/dd392261 (WS.10).aspx

Propiedades

Id. de artículo: 840001 - Última revisión: jueves, 06 de febrero de 2014 - Versión: 20.0
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
Palabras clave: 
kbhowto kbwinservds kbactivedirectory kbmt KB840001 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 840001

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com