Puede utilizar tres métodos para restaurar eliminada cuentas de usuario, cuentas de equipo y grupos de seguridad. Estos objetos se conocen colectivamente como entidades de seguridad. En los tres métodos autoritaria los objetos eliminados y, a continuación, restaurar la información de pertenencia de grupo de los principales de seguridad eliminado. Al restaurar un objeto eliminado, debe restaurar los valores anteriores de los atributos de miembro y memberOf en la entidad de seguridad afectado. Los tres métodos
son los siguientes:
Método 1: Restaure las cuentas de usuario eliminadas y, a continuación, agregue los usuarios restaurados de nuevo a su grupo mediante la herramienta de línea de comandos Ntdsutil.exe (Microsoft Windows Server 2003 con Service Pack 1 [SP1] sólo)
Método 2: Restaurar las cuentas de usuario eliminadas y, a continuación, agregar los usuarios restaurados nuevos a su grupo
Método 3: Restaurar autoritativamente las cuentas de usuario eliminada y los grupos de seguridad de los usuarios eliminados dos veces
Nota: En este artículo KB no cubre los detalles de la característica de la Papelera de reciclaje de AD incluida en Windows Server 2008 R2; Por favor, examine la sección de referencias para obtener más detalles acerca de esta característica.
Los métodos 1 y 2 ofrecen una mejor experiencia para los administradores y usuarios del dominio porque se conservan las adiciones a grupos de seguridad que se han realizado copias de seguridad entre el momento en el último estado del sistema y el tiempo que se ha producido la eliminación. En el método 3, en lugar de hacer ajustes individuales a principales de seguridad, revierte seguridad las pertenencias a grupos a su estado en el momento de la última copia de seguridad.
Si no tiene una copia de seguridad válida del estado del sistema, y el dominio donde se ha producido la eliminación contiene controladores de dominio basado en Windows Server 2003, puede manualmente o mediante programación recuperar los objetos eliminados. También puede utilizar la utilidad Repadmin para determinar cuándo y dónde se ha eliminado un usuario.
Más eliminaciones a gran escala son accidentales. Microsoft recomienda seguir varios pasos para evitar que otros usuarios eliminen objetos de forma masiva.
Nota Para evitar la eliminación accidental o el movimiento de objetos (unidades organizativas especialmente), dos entradas de control de acceso de denegación (ACE) que pueden agregarse al descriptor de seguridad de cada objeto (Denegar "Eliminar" & "Eliminar árbol") y entradas de control de acceso (ACE) de un Deny pueden agregarse al descriptor de seguridad del forma principal de cada objeto (Denegar "Eliminar secundario"). Para hacer esto en Windows 2000 Server y Windows Server 2003, utilice usuarios de Active Directory y los equipos, ADSIEdit, LDP o la herramienta de línea de comandos DSACLS. También puede cambiar los permisos predeterminados en el esquema de Active Directory para unidades organizativas para que se incluyan estas entradas ACE de forma predeterminada.
Por ejemplo, para proteger la unidad de organización que se llama a los usuarios de dominio de Active Directory que se llama a CONTOSO.COM accidentalmente ser movido o eliminado de su unidad organizativa principal que se llama MyCompany, realizar la siguiente configuración:
Para la unidad organizativa de MyCompany, Agregar entrada ACE DENY para Todo el mundo a ELIMINAR SECUNDARIO con el Sólo este objeto ámbito: DSACLS "OU = MyCompany, DC = CONTOSO, DC = COM" /D "EVERYONE: controlador de dominio"
Para la unidad organizativa de los usuarios, Agregar entrada ACE DENY para Todo el mundo a ELIMINAR y eliminar árbol con el Sólo este objeto ámbito: DSACLS "OU = Users, OU = MyCompany, DC = CONTOSO, DC = COM" /D "EVERYONE: SDDT"
El Active Directory Users and Computers snap-in en Windows Server 2008 incluye un Proteger objeto contra eliminación accidental casilla de verificación en el Objeto ficha.
Nota El Características avanzadas casilla de verificación debe estar habilitado para ver la ficha.
Cuando se crea una unidad organizativa mediante el uso de Active Directory Users and Computers en Windows Server 2008, el Contenedor de proteger contra eliminación accidental aparece la casilla de verificación. De forma predeterminada, la casilla de verificación está activada y puede anular la selección.
Aunque puede configurar todos los objetos en Active Directory mediante el uso de estas entradas ACE, esto es más adecuado para las unidades organizativas. Eliminación o movimientos de todos los objetos de la hoja pueden tener un efecto considerable. Esta configuración impide que tales eliminaciones o movimientos. Para realmente eliminar o mover un objeto mediante el uso de esta configuración, las ACE Denegar primero debe quitarse.
Este artículo paso a paso describe cómo restaurar el usuario
cuentas, cuentas de equipo y sus pertenencias a grupos, una vez que se han
eliminado de Active Directory. En las variaciones de este escenario, las cuentas de usuario
las cuentas de equipo o grupos de seguridad que se hayan eliminado individualmente o en
una combinación. En todos estos casos, se aplican los mismos pasos iniciales--usted
autoritariamente restore o Restaurar auth, aquellos objetos que se han eliminado sin darse cuenta. Elimine alguno
los objetos requieren más trabajo que se va a restaurar. Estos objetos incluyen objetos tales como
cuentas de usuario que contienen atributos que son vínculos hacia atrás de los atributos de
otros objetos. Dos de estos atributos son managedBy y memberOf.
Al agregar entidades de seguridad como un usuario
cuenta, un grupo de seguridad o una cuenta de equipo a un grupo de seguridad, realizar
los siguientes cambios en Active Directory:
El nombre de la entidad de seguridad se agrega al atributo de miembro de cada grupo de seguridad.
Para la seguridad de cada grupo que el usuario, el equipo, o la
grupo de seguridad es un miembro de, se agrega un vínculo hacia atrás a la entidad de seguridad
atributo memberOf .
De forma similar, cuando un usuario, un equipo o un grupo se elimina de
Active Directory, se producen las siguientes acciones:
Se mueve la entidad de seguridad eliminados a la eliminada
contenedor de objetos.
Un número de valores de atributo, incluido el atributo memberOf , se quitan de la seguridad eliminada
entidad de seguridad.
Principales de seguridad eliminados se quitan de la seguridad
grupos que son miembros de. En otras palabras, la seguridad eliminada
los directores se quitan del atributo de miembro de cada grupo de seguridad.
Cuando recupera elimina entidades de seguridad y restaurar sus
pertenencia a grupos, el punto clave que recordar es que cada entidad de seguridad
debe existir en Active Directory antes de restaurar su pertenencia al grupo. (El
miembro puede ser un usuario, de un equipo o de otro grupo de seguridad.) A dicho de otro modo
regla de forma más general, un objeto que contiene los atributos cuyos valores están detrás
enlaces deben existir en Active Directory antes de que el objeto que contiene que
vínculo hacia adelante puede ser restaurado o modificado.
Aunque en este artículo
se centra en cómo recuperar las cuentas de usuario y sus pertenencias a en
grupos de seguridad, sus conceptos se aplican igualmente a las eliminaciones de otras objetos. Esto
Conceptos del artículo se aplican por igual a los objetos eliminados cuyo atributo de valores de uso
vínculos hacia adelante y vínculos a otros objetos en Active Directory.
Usted
Puede utilizar cualquiera de los tres métodos para recuperar a los principales de seguridad. Cuando se
Utilice el método 1, deja en su lugar seguridad todas las entidades de seguridad que se han agregado a cualquier
grupo de seguridad a través del bosque y agregar sólo las entidades de seguridad que
se eliminaron de sus respectivos dominios a sus grupos de seguridad. Para
ejemplo, hace una copia de seguridad de estado del sistema, agregar un usuario a un grupo de seguridad, y
a continuación, restaurar la copia de seguridad de estado del sistema. Al utilizar los métodos 1 o 2, se conserva
todos los usuarios que se agregaron a grupos de seguridad que contienen eliminan los usuarios entre
las fechas que se creó la copia de seguridad de estado del sistema y la fecha en que la copia de seguridad
se ha restaurado. Cuando utilice el método 3, Revertir seguridad las pertenencias a grupos
para la seguridad de todos los grupos que contengan eliminan los usuarios a su estado en el
hora en que se realizó la copia de seguridad de estado del sistema.
Método 1: Restaure las cuentas de usuario eliminadas y, a continuación, agregue los usuarios restaurados de nuevo a su grupo mediante la herramienta de línea de comandos Ntdsutil.exe (Microsoft Windows Server 2003 con Service Pack 1 [SP1] sólo)
Nota Este método sólo es válido en controladores de dominio que se están ejecutando
Windows Server 2003 con Service Pack 1. Si no se ha instalado el Service Pack 1 de Windows Server 2003
en los controladores de dominio que utilizan para la recuperación, utilice el método 2.
En el
Windows Server 2003 Service Pack 1, la funcionalidad se ha agregado a la Ntdsutil.exe
herramienta de línea de comandos para ayudar a los administradores de que más fácil restauración los vínculos de retroceso
los objetos eliminados. Se generan dos archivos para cada una restauración autoritaria
operación. Un archivo contiene una lista de objetos restaurados autoritariamente. El
otro archivo es un archivo .ldf que se utiliza con la utilidad Ldifde.exe. Este archivo
se utiliza para restaurar los vínculos de retroceso para los objetos que son de forma autoritaria
restaurar. En Windows Server 2003 SP1, una restauración autoritativa de un usuario
objeto también genera archivos LDIF con la pertenencia al grupo. Este método impide que un
restauración doble.
Cuando se utiliza este método, seguir los siguientes pasos
pasos más importantes:
Compruebe si tiene un catálogo global en el dominio del usuario
no se replican en la eliminación y, a continuación, evitar que ese catálogo global de
la replicación. Si no hay ningún catálogo global latente, busque los más recientes
copia de seguridad de un controlador de dominio de catálogo global en el usuario eliminado
dominio principal.
Auth restaurar todas las cuentas de usuario eliminada y, a continuación, permitir
replicación end-to-end de esas cuentas de usuario.
Agregar todos los usuarios restaurados a todos los grupos en todos los
los dominios de las cuentas de usuario fueron miembro de antes de que fueran
eliminado.
Para utilizar el método 1, siga este procedimiento:
Compruebe si hay un dominio de catálogo global
controlador de dominio de inicio del usuario eliminado que no ha replicado a cualquier parte
de la eliminación.
Nota Centrarse en los catálogos globales que tienen menos frecuentes
programaciones de replicación.
Si existen uno o varios de estos catálogos globales,
Utilice la herramienta de línea de comandos Repadmin.exe para deshabilitar inmediatamente de entrada
replicación. Para ello, siga estos pasos:
Haga clic en Inicioy, a continuación, haga clic en Ejecutar.
Tipo cmd en el Abrir cuadro y, a continuación, haga clic en ACEPTAR.
Escriba el comando siguiente en el símbolo del sistema, y
a continuación, presione ENTRAR:
NotaSi no se puede emitir el comando Repadmin inmediatamente, quitar todos
conectividad de red desde el catálogo global latente hasta que se puede utilizar Repadmin
Para deshabilitar la replicación entrante y, a continuación, devuelva inmediatamente red
conectividad.
Este controlador de dominio se hará referencia a la recuperación
controlador de dominio. Si no hay ningún catálogo de global, vaya al paso 2.
Es aconsejable dejar de realizar cambios en los grupos de seguridad de la
bosque si las siguientes afirmaciones son verdaderas:
Utiliza el método 1 para los usuarios eliminados de auth o
cuentas de equipo por su ruta de acceso del nombre distintivo (dn).
La eliminación se ha replicado en todo el dominio
controladores del bosque a excepción del dominio de recuperación latente
controlador.
No eres auth restaurar grupos de seguridad o de sus
contenedores primarios.
Si eres auth restaurar grupos de seguridad o de la organización
contenedores de unidad (OU) que alojan las cuentas de usuario, o de grupos de seguridad temporalmente
detener todos estos cambios.
Notificar a los administradores y la mesa de ayuda
los administradores de los dominios correspondientes además de los usuarios del dominio en el
dominio donde se ha producido la eliminación acerca de cómo detener estos cambios.
Crear una nueva copia de seguridad del estado de sistema en el dominio donde el
se ha eliminado. Puede utilizar esta copia de seguridad si tiene que revertir la
cambios.
Nota Si las copias de seguridad del estado de sistema están actualizados hasta el punto de la
eliminación, omita este paso y vaya al paso 4.
Si ha identificado un
controlador de dominio de recuperación en el paso 1, copia de seguridad de su estado del sistema ahora.
If
todos los catálogos globales que se encuentra en el dominio donde se ha producido la eliminación
se replica en la eliminación, hacer copia de seguridad del estado del sistema de un catálogo global en el
dominio donde se ha producido la eliminación.
Cuando se crea una copia de seguridad, se puede
volver al controlador de dominio de recuperación a su estado actual y realizar
el plan de recuperación nuevo si el primer intento no tiene éxito.
Si no se puede encontrar un dominio de catálogo global latente
controlador del dominio donde se ha producido la eliminación del usuario, encontrar la más reciente
copia de seguridad de un controlador de dominio de catálogo global en ese dominio. Esto
copia de seguridad de estado de sistema debe contener los objetos eliminados. Usar este dominio
controlador como controlador de dominio de recuperación.
Sólo las restauraciones de la
controladores de dominio de catálogo global en el dominio del usuario contienen global y
información de pertenencia a grupos universales para grupos de seguridad que se encuentran en
dominios externos. Si no hay ninguna copia de seguridad de un dominio de catálogo global
controlador de dominio en el que se eliminaron los usuarios, no puede utilizar el atributo memberOf en las cuentas de usuario restaurado para determinar global o
pertenencia a grupos universales o recuperar la pertenencia a dominios externos.
Además, es una buena idea para encontrar la última copia de seguridad del estado de sistema de
un controlador de dominio de catálogo no global.
Si conoce la contraseña del administrador sin conexión
cuenta, iniciar el controlador de dominio de recuperación en modo de Dsrepair. Si no lo hace
conocer la contraseña de la cuenta de administrador sin conexión, restablecer la contraseña
mientras el controlador de dominio de recuperación todavía está en Active Directory normal
modo.
Puede utilizar la herramienta de línea de comandos setpwd para restablecer la contraseña en controladores de dominio
que está ejecutando Microsoft Windows 2000 Service Pack 2 (SP2) y mientras más adelante
están en modo de Active Directory en línea.
Nota Microsoft ya no es compatible con Windows 2000.
Para obtener más información
acerca de cómo cambiar la contraseña de administrador de la consola de recuperación, haga clic en el siguiente
número de artículo para verlo en Microsoft Knowledge Base:
Cómo cambiar la contraseña de administrador de la consola de recuperación en un controlador de dominio
Administradores de dominio de Windows Server 2003
controladores pueden utilizar el comando set dsrm password en la herramienta de línea de comandos de Ntdsutil para restablecer la contraseña de la línea
cuenta de administrador.
Para obtener más información acerca de cómo restablecer el
El administrador del modo de restauración de servicios de directorio de cuenta, haga clic en el siguiente
número de artículo para verlo en Microsoft Knowledge Base:
Cómo restablecer la contraseña de cuenta de administrador de modo de restauración de servicios de directorio en Windows Server 2003
Presione F8 durante el proceso de inicio para iniciar la recuperación
controlador de dominio en modo de Dsrepair. Inicie sesión en la consola de recuperación
controlador de dominio con la cuenta de administrador sin conexión. Si se restablece el
contraseña en el paso 5, utilice la nueva contraseña.
Si el dominio de recuperación
controlador es un controlador de dominio de catálogo global latente, no restaure la
estado del sistema. Vaya al paso 7.
Si va a crear el dominio de recuperación
controlador mediante el uso de una copia de seguridad del estado de sistema, restaurar el sistema más reciente
copia de seguridad de estado que se realizó en el controlador de dominio de recuperación ahora.
Auth restaurar las cuentas de usuario eliminada, eliminadas
las cuentas de equipo, o los grupos de seguridad eliminados.
Nota Los términos auth restaurar y la restauración autoritaria hacen referencia al proceso de utilizar el comando de restauración autoritaria en la herramienta de línea de comandos de Ntdsutil para incrementar los números de versión específico del
los objetos o de los contenedores específicos y todos sus objetos subordinados. Tan pronto como
se produce la replicación end-to-end, los objetos de destino en el dominio de recuperación
copia local del controlador de Active Directory se convierten en autorizado en todos los
controladores de dominio que comparten esa partición. Es una restauración autoritaria
diferente de una restauración del estado del sistema. Rellena una restauración del estado del sistema
copia local del controlador de dominio restaurados de Active Directory con el
versiones de los objetos en el momento en que era la copia de seguridad de estado del sistema
hecho.
Para obtener más información
acerca de cómo restaurar un controlador de dominio de autenticación, haga clic en el número de artículo siguiente para
ver el artículo en Microsoft Knowledge Base:
Cómo realizar una restauración autorizada en un controlador de dominio de Windows 2000
Se llevan a cabo restauraciones autoritaria
con la línea de comandos Ntdsutil de la herramienta y hacer referencia a la ruta de acceso de dominio (dn) del nombre de la
eliminan los usuarios o de los contenedores que alojan los usuarios eliminados.
Cuando
auth restauración, rutas de acceso de la (dn) del nombre de dominio de uso que son lo más bajo en el árbol de dominios
ya que tienen que ser evitar revertir objetos que no están relacionados con la
eliminación. Estos objetos pueden incluir objetos que se han modificado después de que el sistema
se ha realizado copia de seguridad de estado.
Restauración de AUTH elimina los usuarios en el siguiente
orden:
Auth restaurar la ruta de acceso del nombre (dn) de dominio para cada uno de los eliminados
cuenta de usuario, cuenta de equipo o grupo de seguridad.
Autorizado
restauraciones de objetos específicos de tardan más tiempo pero están menos destructivas que
restauraciones autoritaria de un subárbol completo. Auth restaurar común más baja
contenedor primario que contiene los objetos eliminados.
Por ejemplo, para la autenticación de restaurar el usuario eliminado FulanoDeTal en el MayberryUnidad organizativa de la Contoso.com dominio, utilice el siguiente código
comando:
Ntdsutil "authoritative restore" "restaurar el objeto cn = JuanPérez, ou = Mayberry, dc = contoso, dc = com" q q
A auth restaurar el grupo de seguridad eliminado ContosoPrintAccess en el Mayberry Unidad organizativa de la Contoso.com dominio, utilice el comando siguiente:
Ntdsutil "authoritative restore" "restaurar el objeto cn = ContosoPrintAccess, ou = Mayberry, dc = contoso, dc = com" q q
Importante: Se requiere el uso de comillas.
Para cada usuario que usted
restaurar, se generan al menos dos archivos. Estos archivos tienen la siguiente
formato:
ar_YYYYMMDD-HHMMSS_objects.txt Este archivo contiene una lista de restaurados autoritariamente
objetos. Utilice este archivo con el comando ntdsutil authoritatative restaurar "crear fichero ldif desde" en cualquier otro dominio del bosque donde el usuario era un
miembro de grupos locales de dominio.
ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf Si lleva a cabo la restauración de la autenticación en un catálogo global, uno de
estos archivos se genera para cada dominio del bosque. Este archivo contiene una
secuencia de comandos que puede utilizar con la utilidad Ldifde.exe. La secuencia de comandos se restaura el
vínculos de retroceso para los objetos restaurados. En el dominio del usuario principal, la secuencia de comandos
Restaura todas las pertenencias a grupos para los usuarios restaurados. En todos los demás dominios
en el bosque donde el usuario tiene la pertenencia a grupos, la secuencia de comandos restaura sólo
pertenencia a grupos universales y globales. La secuencia de comandos no restaurará cualquier dominio
Pertenencia a grupos locales. Estas pertenencias a grupos no están registrados por un global
catálogo.
Auth restaurar sólo los contenedores de unidad organizativa o nombre común (CN)
que alojan las cuentas de usuario eliminada o grupos.
Autorizado
restauraciones de un subárbol completo son válidas cuando la unidad organizativa que está dirigida por el comando ntdsutil "authoritative restore" contiene la abrumadora mayoría de los objetos que
está intentando restaurar auth. Lo ideal es que, la unidad organizativa específica contiene todos los
objetos que está intentando restaurar auth.
La restauración autoritaria
restauración en un subárbol de unidades Organizativas restaura todos los atributos y objetos
se encuentran en el contenedor. Todos los cambios que se han realizado hasta el tiempo que un
restaura copia de seguridad de estado de sistema vuelven a sus valores en el momento de
la copia de seguridad. Con las cuentas de usuario, cuentas de equipo y grupos de seguridad, esto
reversión puede significar la pérdida de los cambios más recientes a las contraseñas, a la página de inicio
directorio a la ruta del perfil, ubicación y ponerse en contacto con información de grupo
pertenencia y a los descriptores de seguridad definidos en los objetos
y atributos.
Por ejemplo, para la restauración de auth el Mayberry Unidad organizativa de la Contoso.com dominio, utilice el comando siguiente:
Ntdsutil "authoritative restore" "restore subtree ou = Mayberry, dc = contoso, dc = com" q q
Nota Repita este paso para cada elemento del mismo nivel de unidad organizativa que aloja elimina los usuarios o
grupos.
Importante: Al restaurar un objeto subordinado de una unidad organizativa, todos los eliminados
contenedores primarios de los objetos eliminados subordinados deben ser explícitamente auth
restaurar.
Para cada unidad organizativa que va a restaurar, al menos dos
se generan archivos. Estos archivos tienen el formato siguiente:
ar_YYYYMMDD-HHMMSS_objects.txt
Este archivo contiene una lista de la forma autorizada
objetos restaurados. Utilice este archivo con el comando ntdsutil authoritatative restaurar "crear fichero ldif desde" en cualquier otro dominio del bosque donde la restaurada
los usuarios eran miembros de grupos locales de dominio.
Para obtener más información, visite
el siguiente sitio Web de Microsoft:
ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf Este archivo contiene una secuencia de comandos que puede utilizar con el
Utilidad Ldifde.exe. La secuencia de comandos restaura los vínculos de retroceso para los objetos restaurados.
En el dominio del usuario principal, la secuencia de comandos restaura todas las pertenencias a grupos
los usuarios restaurados.
Si se han recuperado objetos eliminados en el dominio de recuperación
controlador debido a una restauración del estado del sistema, quite todos los cables de red
que proporcionan conectividad de red para todos los demás controladores de dominio en el
bosque.
Reinicie el controlador de dominio de recuperación activo normal
Modo de directorio.
Escriba el siguiente comando para deshabilitar la replicación entrante
en el controlador de dominio de recuperación:
Habilitar la conectividad de red con el controlador de dominio de recuperación
se ha restaurado cuyo estado del sistema.
Objetos de auth restaurado de replicación saliente desde el
controlador de dominio de recuperación para los controladores de dominio en el dominio y en el
bosque.
Mientras que la replicación entrante para el controlador de dominio de recuperación
permanece deshabilitado, escriba el siguiente comando para insertar los objetos restaurados auth
en todos los controladores de dominio de réplica entre sitios en el dominio y a todos los
catálogos globales del bosque:
Si todas las instrucciones siguientes son vínculos de pertenencia es true, el grupo
se vuelven a generar con la restauración y la replicación del usuario eliminado
cuentas. Vaya al paso 14.
Nota Si una o varias de las siguientes afirmaciones no son true, vaya a
paso 12.
El bosque se ejecuta en Windows Server 2003
bosque funcional funcional del bosque o para la versión preliminar de Windows Server 2003
nivel.
Sólo las cuentas de usuario o cuentas de equipo se han eliminado,
y no los grupos de seguridad.
Los usuarios eliminados se agregaron a grupos de seguridad en todas las
los dominios del bosque después de que el bosque se ha pasado a Windows Server
nivel funcional del bosque de 2003.
En la consola del controlador de dominio de recuperación, utilice el
Utilidad Ldifde.exe y el
ar_YYYYMMDD-HHMMSSarchivo de _links_usn.loc.ldf
Restaure las pertenencias a grupos del usuario. Para ello, siga estos pasos:
Haga clic en Inicio, haga clic en Ejecutar, tipo cmd en el Abrir cuadro y, a continuación, haga clic en ACEPTAR.
En el símbolo del sistema, escriba el comando siguiente, y
a continuación, presione ENTRAR:
ldifde -i -f ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
La importación de LDIFDE puede fallar y puede recibir el mensaje de error siguiente:
Error al agregar en líneaxxx>: Sintaxis no válida
El error en el servidor es "el parámetro es incorrecto."
Si el número de línea problemático en los vínculos.LDF archivo hace referencia a uno de los tres atributos de las credenciales móviles, msPKIDPAPIMasterKeys, msPKIAccountCredentials o msPKIRoamingTimeStamp, consulte el siguiente artículo de Microsoft Knowledge Base (KB):
Si los usuarios eliminados se agregaron a grupos locales en externo
dominios, siga uno de estos procedimientos:
Agregar manualmente los usuarios eliminados a las
grupos.
Restaurar el estado del sistema y auth restaurar cada uno de los
grupos de seguridad local que contiene los usuarios eliminados.
Comprobar la pertenencia a grupos en el controlador de dominio de recuperación
dominio y en los catálogos globales en otros dominios.
Asegúrese un nuevo estado del sistema de copia de seguridad de controladores de dominio en el
dominio del controlador de dominio de recuperación.
Notificar a todos los administradores del bosque, delegados
ayudar a los administradores, administradores del departamento en el bosque y los usuarios del dominio
que la restauración de usuario está completa.
Los administradores pueden tener el departamento de soporte técnico
Para restablecer las contraseñas de cuentas de usuario restaurado de autenticación y cuentas de equipo
cuya contraseña de dominio cambia después de que el sistema restaurado
hecho.
Usuarios que cambiaron sus contraseñas después de la copia de seguridad de estado del sistema
se ha realizado será encontrar que su contraseña más reciente ya no funciona. Tiene tales
los usuarios intentan iniciar sesión utilizando sus contraseñas anteriores si los conoce.
De lo contrario, los administradores del departamento de ayuda deben restablecer la contraseña y seleccionar elel usuario debe cambiar la contraseña en el siguiente inicio de sesión la casilla, preferentemente
en el controlador de dominio en el mismo sitio de Active Directory que el usuario se encuentra
en el.
Método 2: Restaurar las cuentas de usuario eliminadas y, a continuación, agregar los usuarios restaurados nuevos a su grupo
Cuando se utiliza este método, realice lo siguiente de alto nivel
pasos siguientes:
Compruebe si tiene un catálogo global en el dominio del usuario
no se replican en la eliminación y, a continuación, evitar que ese catálogo global de
la replicación. Si no hay ningún catálogo global latente, busque los más recientes
copia de seguridad de un controlador de dominio de catálogo global en el usuario eliminado
dominio principal.
Auth restaurar todas las cuentas de usuario eliminada y, a continuación, permitir
replicación end-to-end de esas cuentas de usuario.
Agregar todos los usuarios restaurados a todos los grupos en todos los
los dominios de las cuentas de usuario fueron miembro de antes de que fueran
eliminado.
Para utilizar el método 2, siga este procedimiento:
Compruebe si hay un dominio de catálogo global
controlador de dominio de inicio del usuario eliminado que no ha replicado a cualquier parte
de la eliminación.
Nota Centrarse en los catálogos globales que tienen menos frecuentes
programaciones de replicación.
Si existen uno o varios de estos catálogos globales,
Utilice la herramienta de línea de comandos Repadmin.exe para deshabilitar inmediatamente de entrada
replicación. Para ello, siga estos pasos:
Haga clic en Inicioy, a continuación, haga clic en Ejecutar.
Tipo cmd en el Abrir cuadro y, a continuación, haga clic en ACEPTAR.
Escriba el comando siguiente en el símbolo del sistema, y
a continuación, presione ENTRAR:
NotaSi no se puede emitir el comando Repadmin inmediatamente, quitar todos
conectividad de red desde el catálogo global latente hasta que se puede utilizar Repadmin
Para deshabilitar la replicación entrante y, a continuación, devuelva inmediatamente red
conectividad.
Este controlador de dominio se hará referencia a la recuperación
controlador de dominio. Si no hay ningún catálogo de global, vaya al paso 2.
Decidir si las adiciones, eliminaciones y cambios de usuario
cuentas, cuentas de equipo y grupos de seguridad se deben detener temporalmente
hasta que se han completado todos los pasos de recuperación.
Para mantener el máximo
ruta de recuperación flexible, detenga temporalmente realizar cambios en los siguientes elementos.
Los cambios incluyen restablecer contraseñas de los usuarios del dominio, ayudar a los administradores de asistencia al cliente, y
administradores del dominio donde se produjo la eliminación, además de grupo
cambios de pertenencia en grupos de los usuarios eliminados. Considere la posibilidad de detener las adiciones,
las eliminaciones y modificaciones a los elementos siguientes:
Las cuentas de usuario y los atributos de usuario
cuentas
Las cuentas de equipo y los atributos en el equipo
cuentas
Cuentas de servicio
Grupos de seguridad
Es aconsejable dejar de realizar cambios en los grupos de seguridad de la
bosque si las siguientes afirmaciones son verdaderas:
Está utilizando el método 2 para los usuarios eliminados de auth o
cuentas de equipo por su ruta de acceso de nombre (dn) del dominio.
La eliminación se ha replicado en todo el dominio
controladores del bosque a excepción del dominio de recuperación latente
controlador.
No eres auth restaurar grupos de seguridad o de sus
contenedores primarios.
Si eres auth restaurar grupos de seguridad o de la organización
contenedores de unidad (OU) que alojan las cuentas de usuario, o de grupos de seguridad temporalmente
detener todos estos cambios.
Notificar a los administradores y la mesa de ayuda
los administradores de los dominios correspondientes además de los usuarios del dominio en el
dominio donde se ha producido la eliminación acerca de cómo detener estos cambios.
Crear una nueva copia de seguridad del estado de sistema en el dominio donde el
se ha eliminado. Puede utilizar esta copia de seguridad si tiene que revertir la
cambios.
Nota Si las copias de seguridad del estado de sistema están actualizados hasta el punto de la
eliminación, omita este paso y vaya al paso 4.
Si ha identificado un
controlador de dominio de recuperación en el paso 1, copia de seguridad de su estado del sistema ahora.
If
todos los catálogos globales que se encuentra en el dominio donde se ha producido la eliminación
se replica en la eliminación, hacer copia de seguridad del estado del sistema de un catálogo global en el
dominio donde se ha producido la eliminación.
Cuando se crea una copia de seguridad, se puede
volver al controlador de dominio de recuperación a su estado actual y realizar
el plan de recuperación nuevo si el primer intento no tiene éxito.
Si no se puede encontrar un dominio de catálogo global latente
controlador del dominio donde se ha producido la eliminación del usuario, encontrar la más reciente
copia de seguridad de un controlador de dominio de catálogo global en ese dominio. Esto
copia de seguridad de estado de sistema debe contener los objetos eliminados. Usar este dominio
controlador como controlador de dominio de recuperación.
Sólo las restauraciones de la
controladores de dominio de catálogo global en el dominio del usuario contienen global y
información de pertenencia a grupos universales para grupos de seguridad que se encuentran en
dominios externos. Si no hay ninguna copia de seguridad de un dominio de catálogo global
controlador de dominio en el que se eliminaron los usuarios, no puede utilizar el atributo memberOf en las cuentas de usuario restaurado para determinar global o
pertenencia a grupos universales o recuperar la pertenencia a dominios externos.
Además, es una buena idea para encontrar la última copia de seguridad del estado de sistema de
un controlador de dominio de catálogo no global.
Si conoce la contraseña del administrador sin conexión
cuenta, iniciar el controlador de dominio de recuperación en modo de Dsrepair. Si no lo hace
conocer la contraseña de la cuenta de administrador sin conexión, restablecer la contraseña
mientras el controlador de dominio de recuperación todavía está en Active Directory normal
modo.
Puede utilizar la herramienta de línea de comandos setpwd para restablecer la contraseña en controladores de dominio
que está ejecutando Microsoft Windows 2000 Service Pack 2 (SP2) y mientras más adelante
están en modo de Active Directory en línea.
Nota Microsoft ya no es compatible con Windows 2000.
Para obtener más información
acerca de cómo cambiar la contraseña de administrador de la consola de recuperación, haga clic en el siguiente
número de artículo para verlo en Microsoft Knowledge Base:
Cómo cambiar la contraseña de administrador de la consola de recuperación en un controlador de dominio
Administradores de dominio de Windows Server 2003
controladores pueden utilizar el comando set dsrm password en la herramienta de línea de comandos de Ntdsutil para restablecer la contraseña de la línea
cuenta de administrador.
Para obtener más información acerca de cómo restablecer el
El administrador del modo de restauración de servicios de directorio de cuenta, haga clic en el siguiente
número de artículo para verlo en Microsoft Knowledge Base:
Cómo restablecer la contraseña de cuenta de administrador de modo de restauración de servicios de directorio en Windows Server 2003
Presione F8 durante el proceso de inicio para iniciar la recuperación
controlador de dominio en modo de Dsrepair. Inicie sesión en la consola de recuperación
controlador de dominio con la cuenta de administrador sin conexión. Si se restablece el
contraseña en el paso 5, utilice la nueva contraseña.
Si el dominio de recuperación
controlador es un controlador de dominio de catálogo global latente, no restaure la
estado del sistema. Vaya al paso 7.
Si va a crear el dominio de recuperación
controlador mediante el uso de una copia de seguridad del estado de sistema, restaurar el sistema más reciente
copia de seguridad de estado que se realizó en el controlador de dominio de recuperación ahora.
Auth restaurar las cuentas de usuario eliminada, eliminadas
las cuentas de equipo, o los grupos de seguridad eliminados.
Nota Los términos auth restaurar y la restauración autoritaria hacen referencia al proceso de utilizar el comando de restauración autoritaria en la herramienta de línea de comandos de Ntdsutil para incrementar los números de versión específico del
los objetos o de los contenedores específicos y todos sus objetos subordinados. Tan pronto como
se produce la replicación end-to-end, los objetos de destino en el dominio de recuperación
copia local del controlador de Active Directory se convierten en autorizado en todos los
controladores de dominio que comparten esa partición. Es una restauración autoritaria
diferente de una restauración del estado del sistema. Rellena una restauración del estado del sistema
copia local del controlador de dominio restaurados de Active Directory con el
versiones de los objetos en el momento en que era la copia de seguridad de estado del sistema
hecho.
Para obtener más información
acerca de cómo restaurar un controlador de dominio de autenticación, haga clic en el número de artículo siguiente para
ver el artículo en Microsoft Knowledge Base:
Cómo realizar una restauración autorizada en un controlador de dominio de Windows 2000
Se llevan a cabo restauraciones autoritaria
con la línea de comandos Ntdsutil de la herramienta y hacer referencia a la ruta de acceso de dominio (dn) del nombre de la
eliminan los usuarios o de los contenedores que alojan los usuarios eliminados.
Cuando
auth restauración, rutas de acceso de la (dn) del nombre de dominio de uso que son lo más bajo en el árbol de dominios
ya que tienen que ser evitar revertir objetos que no están relacionados con la
eliminación. Estos objetos pueden incluir objetos que se han modificado después de que el sistema
se ha realizado copia de seguridad de estado.
Restauración de AUTH elimina los usuarios en el siguiente
orden:
Auth restaurar la ruta de acceso del nombre (dn) de dominio para cada uno de los eliminados
cuenta de usuario, cuenta de equipo o grupo de seguridad.
Autorizado
restauraciones de objetos específicos de tardan más tiempo pero están menos destructivas que
restauraciones autoritaria de un subárbol completo. Auth restaurar común más baja
contenedor primario que contiene los objetos eliminados.
Por ejemplo, para la autenticación de restaurar el usuario eliminado FulanoDeTal en el MayberryUnidad organizativa de la Contoso.com dominio, utilice el siguiente código
comando:
Ntdsutil "authoritative restore" "restaurar el objeto cn = JuanPérez, ou = Mayberry, dc = contoso, dc = com" q q
A auth restaurar el grupo de seguridad eliminado ContosoPrintAccess en el Mayberry Unidad organizativa de la Contoso.com dominio, utilice el comando siguiente:
Ntdsutil "authoritative restore" "restaurar el objeto cn = ContosoPrintAccess, ou = Mayberry, dc = contoso, dc = com" q q
Importante: Se requiere el uso de comillas.
NotaEsta sintaxis sólo está disponible en Windows Server 2003. La única
sintaxis de Windows 2000 es utilizar lo siguiente:
"authoritative restore" Ntdsutil "restore subtree ruta de acceso del DN del objeto"
Nota La operación de restauración autoritativa de Ntdsutil no tiene éxito si
la ruta de acceso del nombre distintivo (DN) contiene caracteres extendidos o espacios. En el
orden para la restauración con secuencias de comandos tener éxito, el objeto de restauración" <DN path=""></DN>"comando se debe pasar como una
cadena completa. Para evitar este problema, ajuste el DN que contienen
caracteres extendidos y los espacios con escape de barra diagonal inversa-doble-comillas
secuencias. Éste es un ejemplo: "authoritative restore" "restauración de Ntdsutil
objeto \"CN=John Pérez, OU = Mayberry CN, DC = contoso, DC = com\" "q q
NotaEl comando se debe modificar aún más si el nombre completo de objetos ser
restaurar contener comas. Vea el ejemplo siguiente: Ntdsutil
"authoritative restore" "restaurar el objeto \"CN=Doe\, Juan, OU = Mayberry
CN, DC = contoso, DC = com\ "" q q
NotaSi los objetos restaurados desde cinta, marcar autoritario y
la restauración no funcionó como se esperaba y, a continuación, se utiliza la misma cinta para restaurar
tamaño del archivo NTDS una vez más, el USN versión base de datos de los objetos que se va a restaurar
con autoridad debe aumentarse más alto que el valor predeterminado de 100000 o la
no se replicarán los objetos hacia fuera después de la restauración de la segunda. Es la sintaxis siguiente
es necesario para incluir un número de versión mayor superior a 100000 (valor predeterminado):
Ntdsutil "authoritative restore" "restaurar el objeto \"CN=Doe\, Juan, OU = Mayberry
CN, DC = contoso, DC = com\ "verinc 150000\" "q q
NotaSi la secuencia de comandos le pide confirmación de cada objeto que se está
restaurada, puede desactivar los avisos. La sintaxis para desactivar la opción Preguntar es:
Ntdsutil "de menús emergentes" "authoritative restore" "Restaurar objeto \"CN=John
Doe, OU = Mayberry CN, DC = contoso, DC = com\ "verinc 150000\" "q q
Auth restaurar sólo los contenedores de unidad organizativa o nombre común (CN)
que alojan las cuentas de usuario eliminada o grupos.
Autorizado
restauraciones de un subárbol completo son válidas cuando la unidad organizativa que está dirigida por el comando ntdsutil "authoritative restore" contiene la abrumadora mayoría de los objetos que
está intentando restaurar auth. Lo ideal es que, la unidad organizativa específica contiene todos los
objetos que está intentando restaurar auth.
La restauración autoritaria
restauración en un subárbol de unidades Organizativas restaura todos los atributos y objetos
se encuentran en el contenedor. Todos los cambios que se han realizado hasta el tiempo que un
restaura copia de seguridad de estado de sistema vuelven a sus valores en el momento de
la copia de seguridad. Con las cuentas de usuario, cuentas de equipo y grupos de seguridad, esto
reversión puede significar la pérdida de los cambios más recientes a las contraseñas, a la página de inicio
directorio a la ruta del perfil, ubicación y ponerse en contacto con información de grupo
pertenencia y a los descriptores de seguridad definidos en los objetos
y atributos.
Por ejemplo, para la restauración de auth el Mayberry Unidad organizativa de la Contoso.com dominio, utilice el comando siguiente:
Ntdsutil "authoritative restore" "restore subtree ou = Mayberry, dc = contoso, dc = com" q q
Nota Repita este paso para cada elemento del mismo nivel de unidad organizativa que aloja elimina los usuarios o
grupos.
Importante: Al restaurar un objeto subordinado de una unidad organizativa, todos los eliminados
contenedores primarios de los objetos eliminados subordinados deben ser explícitamente auth
restaurar.
Si se han recuperado objetos eliminados en el dominio de recuperación
controlador debido a una restauración del estado del sistema, quite todos los cables de red
que proporcionan conectividad de red para todos los demás controladores de dominio en el
bosque.
Reinicie el controlador de dominio de recuperación activo normal
Modo de directorio.
Escriba el siguiente comando para deshabilitar la replicación entrante
en el controlador de dominio de recuperación:
Habilitar la conectividad de red con el controlador de dominio de recuperación
se ha restaurado cuyo estado del sistema.
Objetos de auth restaurado de replicación saliente desde el
controlador de dominio de recuperación para los controladores de dominio en el dominio y en el
bosque.
Mientras que la replicación entrante para el controlador de dominio de recuperación
permanece deshabilitado, escriba el siguiente comando para insertar los objetos restaurados auth
en todos los controladores de dominio de réplica entre sitios en el dominio y a todos los
catálogos globales del bosque:
Si todas las instrucciones siguientes son vínculos de pertenencia es true, el grupo
se vuelven a generar con la restauración y la replicación del usuario eliminado
cuentas. Vaya al paso 14.
Nota Si una o varias de las siguientes afirmaciones no son true, vaya a
paso 12.
El bosque se ejecuta en Windows Server 2003
bosque funcional funcional del bosque o para la versión preliminar de Windows Server 2003
nivel.
Sólo las cuentas de usuario o cuentas de equipo se han eliminado,
y no los grupos de seguridad.
Los usuarios eliminados se agregaron a grupos de seguridad en todas las
los dominios del bosque después de que el bosque se ha pasado a Windows Server
nivel funcional del bosque de 2003.
Determinar a qué grupos de seguridad fueron los usuarios eliminados
los miembros de y, a continuación, agregarlos a esos grupos.
Nota Para poder agregar usuarios a grupos, los usuarios que usted auth
restaurado en el paso 7 y que usted salida replicados en el paso 11 deben tener
replica en los controladores de dominio en el controlador de dominio que se hace referencia
dominio y en todos los controladores de dominio de catálogo global en el
bosque.
Si ha implementado una utilidad de aprovisionamiento de grupo a
repoblar la pertenencia a grupos de seguridad, utilice ese programa ahora para restaurar
eliminan los usuarios a los grupos de seguridad que eran miembros de antes de que fueran
eliminado. Hacer esto después de que todos los controladores de dominio directo y transitivo en el
dominio del bosque y servidores de catálogo global se entrante-replicado el
los usuarios restaurados auth y cualquier restaurado contenedores.
Si no tienes
una utilidad de este tipo, la herramienta de línea de comandos de Ldifde.exe y el Groupadd.exe
herramienta de línea de comandos puede automatizar esta tarea para cuando se ejecutan el
controlador de dominio de recuperación. Estas herramientas están disponibles en el producto Microsoft
Servicios de soporte. En este escenario, se crea un intercambio de datos LDAP Ldifde.exe
Archivo de información de formato de (datos LDAP LDIF) que contiene los nombres de las cuentas de usuario y
los grupos de seguridad, a partir de un contenedor OU que el administrador
especifica. GROUPADD.exe, a continuación, lee el atributo memberOf para cada cuenta de usuario que aparece en el archivo .ldf,
y, a continuación, genera información de LDIF único y aparte para cada dominio en el
bosque. Esta información LDIF contiene los nombres de los grupos de seguridad que
los usuarios eliminados tienen que volver a agregar a para que puedan sus pertenencias a grupos
puede restaurar. Siga estos pasos para esta fase de la recuperación.
Inicie sesión en la consola del controlador de dominio de recuperación por
con una cuenta de usuario que es un miembro de la seguridad del Administrador de dominio
grupo.
Utilice el comando Ldifde para volcar los nombres de las cuentas de usuario eliminada anteriormente
y sus atributos memberOf , comenzando en la parte superior del contenedor unidad organizativa donde el
se ha eliminado. El comando Ldifde utiliza la sintaxis siguiente:
Ejecute el comando de Groupadd para crear más archivos .ldf que contienen los nombres de
dominios y los nombres de la seguridad global y universal de los grupos que la eliminada
los usuarios fueron de un miembro de. El comando de Groupadd utiliza la sintaxis siguiente:
Repita este comando si elimina el equipo de cuentas se han agregado a
grupos de seguridad.
Importar cada uno
Groupadd_Fully.Qualified.DomainNamearchivo .ldf que
creado en el paso c de 12 a un controlador de dominio único catálogo global que
se corresponde con el archivo .ldf de cada dominio. Utilice la siguiente sintaxis de Ldifde:
Ldifde ? i ? k ? f Groupadd_<fully.qualified.domain.name></fully.qualified.domain.name>ldf
Ejecute el archivo .ldf para el dominio que se eliminaron los usuarios de
en cualquier controlador de dominio, excepto el controlador de dominio de recuperación.
En la consola de cada controlador de dominio que se utiliza
Para importar el
Groupadd_<fully.qualified.domain.name></fully.qualified.domain.name>ldf
archivo para un dominio determinado, salida replicar las adiciones de pertenencia a grupo.
en los demás controladores de dominio en el dominio y el dominio de catálogo global
controladores del bosque mediante el comando siguiente:
Para deshabilitar la replicación saliente, escriba el texto siguiente,
y, a continuación, presione ENTRAR:
repadmin/Options + DISABLE_OUTBOUND_REPL
Nota Para volver a habilitar la replicación saliente, escriba el texto siguiente, y
a continuación, presione ENTRAR:
repadmin/options - DISABLE_OUTBOUND_REPL
Si los usuarios eliminados se agregaron a grupos locales en externo
dominios, siga uno de estos procedimientos:
Agregar manualmente los usuarios eliminados a las
grupos.
Restaurar el estado del sistema y auth restaurar cada uno de los
grupos de seguridad local que contiene los usuarios eliminados.
Comprobar la pertenencia a grupos en el controlador de dominio de recuperación
dominio y en los catálogos globales en otros dominios.
Asegúrese un nuevo estado del sistema de copia de seguridad de controladores de dominio en el
dominio del controlador de dominio de recuperación.
Notificar a todos los administradores del bosque, delegados
ayudar a los administradores, administradores del departamento en el bosque y los usuarios del dominio
que la restauración de usuario está completa.
Los administradores pueden tener el departamento de soporte técnico
Para restablecer las contraseñas de cuentas de usuario restaurado de autenticación y cuentas de equipo
cuya contraseña de dominio cambia después de que el sistema restaurado
hecho.
Usuarios que cambiaron sus contraseñas después de la copia de seguridad de estado del sistema
se ha realizado será encontrar que su contraseña más reciente ya no funciona. Tiene tales
los usuarios intentan iniciar sesión utilizando sus contraseñas anteriores si los conoce.
De lo contrario, los administradores del departamento de ayuda deben restablecer la contraseña y seleccionar elel usuario debe cambiar la contraseña en el siguiente inicio de sesión la casilla, preferentemente
en el controlador de dominio en el mismo sitio de Active Directory que el usuario se encuentra
en el.
Método 3: Restaurar autoritativamente los usuarios eliminados y los grupos de seguridad de los usuarios eliminados dos veces
Cuando se utiliza este método, realice lo siguiente de alto nivel
pasos siguientes:
Compruebe si tiene un catálogo global en el dominio del usuario
no se replican en la eliminación y, a continuación, evitar que ese controlador de dominio de
entrada-replicar la eliminación. Si no hay ningún catálogo global latente, localizar
la copia de seguridad de estado más actual de sistema de un controlador de dominio de catálogo global en
dominio de inicio del usuario eliminado.
Todas las cuentas de usuario eliminada y todas de forma autoritaria
grupos de seguridad de dominio del usuario eliminado.
Espere a que la replicación end-to-end de los usuarios restaurados
y los grupos de seguridad en todos los controladores de dominio en el usuario eliminado
dominio y a los controladores de dominio de catálogo global del bosque.
Repita los pasos 2 y 3 con autoridad restaurar eliminados
los usuarios y grupos de seguridad. (Restaurar el estado del sistema sólo una vez.)
Si los usuarios eliminados eran miembros de grupos de seguridad de
otros dominios con autoridad restaurar toda la seguridad grupos que la eliminada
los usuarios eran miembros de esos dominios. O bien, si son copias de seguridad de estado de sistema
actual, todos los grupos de seguridad en los propios de forma autoritaria
dominios.
Para satisfacer el requisito de que se elimina los miembros del grupo debe ser
restaurado antes de corregir los vínculos de pertenencia a grupo de grupos de seguridad, restaurar
ambos tipos de objeto dos veces en este método. La primera restauración pone todos los
las cuentas de usuario y cuentas de grupo en su lugar y los segundo restores de restauración
eliminar grupos y repara la información de pertenencia a grupo, incluyendo
información de pertenencia de los grupos anidados.
Para utilizar el método 3, siga este
procedimiento:
Comprueba si un controlador de dominio de catálogo global
existe en el dominio de inicio de usuarios eliminados y no se ha replicado en cualquier parte del
la eliminación.
Nota Centrarse en los catálogos globales en el dominio que tenga el menor
frecuente de programaciones de replicación. Si existen estos controladores de dominio, utilice el
Herramienta de línea de comandos Repadmin.exe para deshabilitar inmediatamente la replicación entrante. A
hacer esto, siga estos pasos:
Haga clic en Inicioy, a continuación, haga clic en Ejecutar.
Tipo comando en el Abrir cuadro y, a continuación, haga clic en ACEPTAR.
Tipo repadmin/Options <recovery dc="" name=""></recovery>+ DISABLE_INBOUND_REPL en el símbolo del sistema y, a continuación, presione
ESCRIBA.
NotaSi no se puede emitir el comando Repadmin inmediatamente, quitar todos
conectividad de red desde el controlador de dominio hasta que se puede utilizar Repadmin para
deshabilitar la replicación entrante y, a continuación, devuelva inmediatamente conectividad de red.
Este controlador de dominio se hará referencia a la recuperación
controlador de dominio.
Evite realizar adiciones, eliminaciones y cambios en el
elementos siguientes hasta que se ha completado todos los pasos de recuperación. Cambios
restablecer contraseñas de los usuarios del dominio se incluyen, ayudar a los administradores de asistencia al cliente, y
administradores del dominio donde se produjo la eliminación, además de grupo
cambios de pertenencia en grupos de los usuarios eliminados.
Las cuentas de usuario y los atributos de usuario
cuentas
Las cuentas de equipo y los atributos en el equipo
cuentas
Cuentas de servicio
Grupos de seguridad
NotaEspecialmente evitar cambios en la pertenencia al grupo de usuarios, equipos,
los grupos y cuentas de servicio en el bosque donde la eliminación
se ha producido.
Notificar a todos los administradores del bosque, el delegado
los administradores y los administradores del departamento de ayuda en el bosque de la temporal
Cancelar.
Se requiere este Cancelar en el método 2 porque eres
restauración autoritativa de grupos de seguridad de todos los eliminados usuarios. Por lo tanto,
son todos los cambios que se realizan en grupos después de la fecha de estado del sistema de copia de seguridad
ha perdido.
Crear una nueva copia de seguridad del estado de sistema en el dominio donde el
se ha eliminado. Puede utilizar esta copia de seguridad si tiene que revertir la
cambios.
NotaSi las copias de seguridad de estado del sistema están actualizados hasta el momento en que el
se ha eliminado, omita este paso y vaya al paso 4.
Si ha identificado
un controlador de dominio de recuperación en el paso 1, copia de seguridad de su estado del sistema
ahora.
Si toda la información global de los catálogos que se encuentran en el dominio donde
la eliminación se ha producido replicado la eliminación, hacer copia de seguridad del estado del sistema de un
catálogo global en el dominio donde se ha producido la eliminación.
Cuando se
crear una copia de seguridad, puede devolver el controlador de dominio de recuperación de nuevo a su
actual del estado y volver a realizar el plan de recuperación si el resultado no es
correcta.
Si no se puede encontrar un dominio de catálogo global latente
controlador del dominio donde se ha producido la eliminación del usuario, encontrar la más reciente
copia de seguridad de un controlador de dominio de catálogo global en ese dominio. Esto
copia de seguridad de estado de sistema debe contener los objetos eliminados. Usar este dominio
controlador como controlador de dominio de recuperación.
Sólo las bases de datos de la
los controladores de dominio de catálogo global en el dominio del usuario contienen la pertenencia a grupos
información de dominios externos en el bosque. Si no hay ningún estado del sistema
copia de seguridad de un controlador de dominio de catálogo global en el dominio donde los usuarios eran
eliminado, no puede utilizar el atributo memberOf en las cuentas de usuario restaurado para determinar global o
pertenencia a grupos universales o recuperar la pertenencia a dominios externos. Ir a
el siguiente paso. Si hay un registro externo de pertenencia a grupos en externo
dominios, agregar los usuarios restaurados a grupos de seguridad de esos dominios después de la
se han restaurado las cuentas de usuario.
Si conoce la contraseña del administrador sin conexión
cuenta, iniciar el controlador de dominio de recuperación en modo de Dsrepair. Si no lo hace
conocer la contraseña de la cuenta de administrador sin conexión, restablecer la contraseña
mientras el controlador de dominio de recuperación todavía está en Active Directory normal
modo.
Puede utilizar la herramienta de línea de comandos setpwd para restablecer la contraseña en controladores de dominio
que está ejecutando Microsoft Windows 2000 Service Pack 2 (SP2) y mientras más adelante
están en modo de Active Directory en línea.
Nota Microsoft ya no es compatible con Windows 2000.
Para obtener más información
acerca de cómo cambiar la contraseña de administrador de la consola de recuperación, haga clic en el siguiente
número de artículo para verlo en Microsoft Knowledge Base:
Cómo cambiar la contraseña de administrador de la consola de recuperación en un controlador de dominio
Administradores de dominio de Windows Server 2003
controladores pueden utilizar el comando set dsrm password en la herramienta de línea de comandos de Ntdsutil para restablecer la contraseña de la línea
cuenta de administrador.
Para obtener más información acerca de cómo restablecer el
El administrador del modo de restauración de servicios de directorio de cuenta, haga clic en el siguiente
número de artículo para verlo en Microsoft Knowledge Base:
Cómo restablecer la contraseña de cuenta de administrador de servicios de directorio restore mode en Windows Server 2003
Presione F8 durante el proceso de inicio para iniciar la recuperación
controlador de dominio en modo de Dsrepair.Inicie sesión en la consola del dominio de recuperación
controlador con la cuenta de administrador sin conexión. Si restablece la contraseña en
el paso 5, utilice la nueva contraseña.
Si el controlador de dominio de recuperación es un
controlador de dominio de catálogo global latente, no restaure el estado del sistema. Ir
directamente al paso 7.
Si va a crear el controlador de dominio de recuperación
mediante el uso de una copia de seguridad de estado del sistema, restaurar la copia de seguridad de estado de sistema más reciente
que se realizó en el controlador de dominio de recuperación que contiene el texto eliminado
Ahora los objetos.
Auth restaurar las cuentas de usuario eliminada, eliminadas
las cuentas de equipo, o los grupos de seguridad eliminados.
Nota Los términos auth restaurar y la restauración autoritaria hacen referencia al proceso de utilizar el comando de restauración autoritaria en la herramienta de línea de comandos de Ntdsutil para incrementar los números de versión específico del
los objetos o de los contenedores específicos y todos sus objetos subordinados. Tan pronto como
se produce la replicación end-to-end, los objetos de destino en el dominio de recuperación
copia local del controlador de Active Directory se convierten en autorizado en todos los
controladores de dominio que comparten esa partición. Es una restauración autoritaria
diferente de una restauración del estado del sistema. Rellena una restauración del estado del sistema
copia local del controlador de dominio restaurados de Active Directory con el
versiones de los objetos en el momento en que era la copia de seguridad de estado del sistema
hecho.
Para obtener más información
acerca de cómo restaurar un controlador de dominio de autenticación, haga clic en el número de artículo siguiente para
ver el artículo en Microsoft Knowledge Base:
Cómo realizar una restauración autorizada en un controlador de dominio de Windows 2000
Se llevan a cabo restauraciones autoritaria
con la herramienta de línea de comandos de Ntdsutil mediante una referencia a la ruta de acceso de dominio (dn) del nombre de la
eliminan los usuarios o de los contenedores que alojan los usuarios eliminados.
Cuando
auth restauración, rutas de acceso de la (dn) del nombre de dominio de uso que son lo más bajo en el árbol de dominios
ya que tienen que ser evitar revertir objetos que no están relacionados con la
eliminación. Estos objetos pueden incluir objetos que se han modificado después de que el sistema
se ha realizado copia de seguridad de estado.
Restauración de AUTH elimina los usuarios en el siguiente
orden:
Auth restaurar la ruta de acceso del nombre (dn) de dominio para cada uno de los eliminados
cuenta de usuario, la cuenta de equipo o la seguridad eliminado
grupo.
Restauraciones autoritaria de objetos específicos de tardan más tiempo pero
son menos destructiva que restauraciones autoritaria de un subárbol completo. Auth
restaurar el contenedor primario común más bajo que contiene el texto eliminado
objetos.
Por ejemplo, para la autenticación de restaurar el usuario eliminado FulanoDeTal en el MayberryUnidad organizativa de la Contoso.com dominio, utilice el siguiente código
comando:
Ntdsutil "authoritative restore" "restaurar el objeto cn = JuanPérez, ou = Mayberry, dc = contoso, dc = com" q q
A auth restaurar el grupo de seguridad eliminado ContosoPrintAccess en el Mayberry Unidad organizativa de la Contoso.com dominio, utilice el comando siguiente:
Ntdsutil "authoritative restore" "restaurar el objeto cn = ContosoPrintAccess, ou = Mayberry, dc = contoso, dc = com" q q
Importante: Se requiere el uso de comillas.
Mediante este Ntdsutil
formato, también puede automatizar la restauración autoritativa de muchos objetos en
un archivo por lotes o una secuencia de comandos. NotaEsta sintaxis sólo está disponible en Windows Server 2003. La única
sintaxis en Windows 2000 consiste en utilizar: "authoritative restore" "restauración de ntdsutil
subárbol ruta de acceso del DN del objeto".
Auth restaurar sólo los contenedores de unidad organizativa o nombre común (CN)
que alojan las cuentas de usuario eliminada o grupos.
Autorizado
restauraciones de un subárbol completo son válidas cuando la unidad organizativa que está dirigida por el comando Ntdsutil Authoritative restore contiene la abrumadora mayoría de los objetos que
está intentando restaurar auth. Lo ideal es que, la unidad organizativa específica contiene todos los
objetos que está intentando restaurar auth.
Una restauración autoritaria
en una unidad organizativa subárbol restaura todos los atributos y objetos que residen en el
contenedor. Todos los cambios que se han realizado hasta el momento en que un sistema de copia de seguridad del estado
se restaura vuelven a sus valores en el momento de la copia de seguridad. Con
las cuentas de usuario, cuentas de equipo y grupos de seguridad, puede significar deshacer la transacción
la pérdida de los más recientes a los cambios a las contraseñas, en el directorio principal, el
ruta del perfil, ubicación y ponerse en contacto con información, a la pertenencia a grupos y a las
descriptores de seguridad que se definen en los objetos y
atributos.
Por ejemplo, para la restauración de auth el Mayberry Unidad organizativa de la Contoso.com dominio, utilice el comando siguiente:
Ntdsutil "authoritative restore" "restore subtree ou = Mayberry, dc = contoso, dc = com" q q
Nota Repita este paso para cada elemento del mismo nivel de unidad organizativa que aloja elimina los usuarios o
grupos.
Importante: Al restaurar un objeto subordinado de una unidad organizativa, todos los padres
contenedores de los objetos eliminados subordinados deben ser explícitamente auth
restaurar.
Reinicie el controlador de dominio de recuperación activo normal
Modo de directorio.
Salida replicar los objetos restaurados autoritariamente
desde el controlador de dominio de recuperación para los controladores de dominio en el dominio y
en el bosque.
Mientras que la replicación entrante para el dominio de recuperación
restos de controlador deshabilitadas, escriba el siguiente comando para insertar el
restauran objetos al dominio de réplica entre sitios
controladores de dominio y a catálogos globales del bosque:
Después de todos los controladores de dominio directo y transitivo de la
dominio del bosque y servidores de catálogo global se han replicado en el
los usuarios restaurados autoritariamente y a cualquier contenedor restaurado, vaya al paso
11.
Si todas las instrucciones siguientes son vínculos de pertenencia es true, el grupo
se vuelven a generar con la restauración de las cuentas de usuario eliminada. Vaya al paso 13.
El bosque se ejecuta en Windows Server 2003
bosque funcional de nivel o en el bosque de Windows Server 2003 provisional funcional
nivel.
Sólo los grupos de seguridad no se han eliminado.
Se han agregado todos los usuarios eliminados para toda la seguridad
grupos en todos los dominios del bosque.
Considere el uso del comando Repadmin para acelerar la
replicación de salida de los usuarios desde el controlador de dominio restaurado.
If
los grupos también se han eliminado, o si no se puede garantizar que todos los usuarios eliminados
se han agregado a todos los grupos de seguridad después de la transición a las ventanas
Server 2003 provisional o bosque nivel funcional, vaya al paso 12.
Repita los pasos 7, 8 y 9 sin tener que restaurar el sistema
estado y, a continuación, vaya al paso 11.
Si los usuarios eliminados se agregaron a grupos locales en externo
dominios, siga uno de estos procedimientos:
Agregar manualmente los usuarios eliminados a las
grupos.
Restaurar el estado del sistema y auth restaurar cada uno de los
grupos de seguridad local que contiene los usuarios eliminados.
Comprobar la pertenencia a grupos en el controlador de dominio de recuperación
dominio y en los catálogos globales en otros dominios.
Utilice el siguiente comando para habilitar la replicación entrante para
el controlador de dominio de recuperación:
repadmin/Options nombre del controlador de dominio de recuperación -DISABLE_INBOUND_REPL
Asegúrese un nuevo estado del sistema de copia de seguridad de controladores de dominio en el
del controlador de dominio de recuperación dominio y catálogos globales en otros dominios en el
bosque.
Notificar a todos los administradores del bosque, el delegado
Administradores, los administradores del departamento de ayuda en el bosque y los usuarios de
el dominio que la restauración de usuario está completa.
Ayudar a los administradores de asistencia al cliente
quizás tenga que restablecer las contraseñas de auth restaura las cuentas de usuario y equipo
cuentas cuya contraseña de dominio cambia después de que el sistema restaurado
hecho.
Usuarios que cambiaron sus contraseñas después de la copia de seguridad de estado del sistema
se ha realizado será encontrar que su contraseña más reciente ya no funciona. Tiene tales
los usuarios intentan iniciar sesión utilizando sus contraseñas anteriores si los conoce.
De lo contrario, los administradores del departamento de ayuda deben restablecer la contraseña con lael usuario debe cambiar la contraseña en el siguiente inicio de sesión casilla de verificación está activada,
preferiblemente en un controlador de dominio en el mismo sitio de Active Directory que el usuario
se encuentra en.
Cómo recuperar usuarios eliminados en un controlador de dominio de Windows Server 2003 cuando no tiene una copia de seguridad del estado de sistema válida
Si falta actual copias de seguridad de estado de sistema en un dominio donde usuario
se han eliminado las cuentas o grupos de seguridad y se ha producido la eliminación de dominios
que contiene los controladores de dominio de Windows Server 2003, siga estos pasos para
manualmente reanimar objetos eliminados desde el contenedor objetos eliminados:
Siga los pasos descritos en "cómo recuperar manualmente los objetos
en el contenedor objetos eliminados"de la sección a los usuarios de reanimación eliminado,
equipos, grupos o todos ellos.
Utilice Active Directory Users and Computers para cambiar el
cuenta de deshabilitado a habilitado. (La cuenta aparece en el original
UNIDAD ORGANIZATIVA).
La mayor parte de uso restablece características en Windows Server 2003
versión de usuarios de Active Directory y los equipos para realizar masiva se restablece en el
"debe cambiar la contraseña en el siguiente inicio de sesión" configuración de directiva, en el directorio particular, en
la ruta del perfil y pertenencia a grupos para la cuenta eliminada según sea necesario.
También puede utilizar una programación equivalente a estas características.
Si se utilizó Microsoft Exchange 2000 o posterior, repare el
Buzón de Exchange para el usuario eliminado.
Si se ha utilizado Exchange 2000 o posterior, volver a asociar la eliminada
usuario con el buzón de Exchange.
Compruebe que el usuario recuperado puede iniciar sesión y tener acceso local
directorios, directorios compartidos y archivos.
Puede automatizar algunos o todos estos pasos de recuperación mediante el uso de
los métodos siguientes:
Escribir un script que automatiza los pasos de recuperación manual
que figuran en el paso 1. Cuando se escribe una secuencia de comandos, considere la posibilidad de ámbito de la
elimina el objeto por fecha, hora y contenedor último principal conocido y, a continuación
automatización de la reanimación del objeto eliminado. Para automatizar la reanimación
Cambie el atributo isDeleted de true a FALSE y el relativo
nombre completo para el valor que se define en el atributo lastKnownParent o en una nueva unidad organizativa o contenedor de nombre (CN) común que es
especificado por el administrador. (El nombre completo relativo también se conoce
como RDN).
Obtenga un programa de Microsoft no es compatible con la
reanimación de objetos eliminados en controladores de dominio de Windows Server 2003. Uno
dicha utilidad es AdRestore. Undelete AdRestore utiliza Windows Server 2003
primitivas para cancelar la eliminación de objetos de forma individual. Aelita Software Corporation y
CommVault Systems también ofrecen productos que admiten undelete funcionalidad en
Controladores de dominio basado en Server 2003 en Windows.
Para obtener AdRestore,
visite el siguiente sitio Web:
Microsoft
Proporciona información de contacto de otros proveedores para ayudarle a encontrar soporte técnico.
Esta información de contacto puede cambiar sin previo aviso. Microsoft no lo hace
garantizar la exactitud de esta información de contacto de otros fabricantes.
Cómo recuperar manualmente los objetos en el contenedor de un objeto eliminado
Para cancelar la eliminación de objetos en el contenedor de un objeto eliminado, manualmente
siga estos pasos:
Haga clic en Inicio, haga clic en Ejecutar,
y, a continuación, escriba Ldp.exe.
Nota Si no está instalada la utilidad de Ldp, instalar las herramientas de soporte
desde el CD de instalación de Windows Server 2003.
Utilice el Conexión menú de Ldp para realizar
las operaciones de conexión y las operaciones de enlace a un dominio de Windows Server 2003
controlador.
Especificar credenciales de administrador de dominio durante el enlace
operación.
En el Opciones de menú, haga clic enControles.
En el Load Predefined la lista, haga clic enDevolver los objetos eliminados.
Nota El control de 1.2.840.113556.1.4.417 se mueve a la Controles activosventana.
Bajo Tipo de control, haga clic enServidor, haga clic en ACEPTAR.
En el Vista menú, haga clic enÁrbol, escriba la ruta de acceso completa de los objetos eliminados
contenedor del dominio donde se ha producido la eliminación y, a continuación, haga clic enACEPTAR.
Nota La ruta de acceso completa es también conocida como la ruta de acceso completa. Para
ejemplo, si se ha producido la eliminación en el dominio contoso.com, la ruta de acceso completa sería
ser la ruta de acceso siguiente:
CN = deleted Objects, dc = contoso, dc = com
En el panel izquierdo de la ventana, haga doble clic en el Contenedor de objetos eliminados.
Nota Como resultado de la búsqueda de consulta de Idap, sólo de 1000 objetos se devuelven de forma predeterminada. FOT ejemplo, si existen más de 1000 objetos en el contenedor Deleted Objects, no todos los objetos aparecen en este contenedor. Si el objeto de destino no aparece, utilice Ntdsutily, a continuación, establecer el número máximo mediante MaxPageSize Para obtener los resultados de búsqueda.
Haga doble clic en el objeto que se desea recuperar o a
reanimar.
Haga clic en el objeto que desee reanimar, y, a continuación
Haga clic en modificar.
Cambiar el valor para el atributo isDeleted y la ruta de acceso de DN en un único directorio Lightweight
Operación de modificación de Access Protocol (LDAP). Para configurar elModificar cuadro de diálogo, siga estos pasos:
En el Modificar el atributo de entrada cuadro, escriba isDeleted.
Deje el Valor cuadro
en blanco.
Haga clic en el Eliminar botón de opción, y
a continuación, haga clic en Entrar Para hacer la primera de dos entradas en el Lista de entradas cuadro de diálogo.
Importante: No haga clic en Ejecutar.
En el Atributo cuadro, escriba distinguishedName.
En el Valores cuadro, escriba el nuevo DN
ruta de acceso del objeto reanimado.
Por ejemplo, para reanimar el FulanoDeTal
cuenta de usuario a la OU de Mayberry, utilice la siguiente ruta de acceso de DN:
CN =FulanoDeTal, ou =Mayberry, dc =Contoso, dc =com
Nota Si desea reanimar un objeto eliminado a su origen
contenedor, anexe al valor del atributo de lastKnownParent del objeto eliminado a su valor CN y, a continuación, pegue la ruta de acceso completa de DN en la Valores cuadro.
En el Operación Haga clic en REEMPLAZAR.
Haga clic en Entrar.
Haga clic para seleccionar la Sincrónico verificación
cuadro.
Haga clic para seleccionar la Extendido verificación
cuadro.
Haga clic en EJECUTAR.
Después de reanimar los objetos, haga clic enControles en el Opciones de menú, haga clic en el Desproteger botón para quitar (1.2.840.113556.1.4.417) de la Controles activos lista del cuadro.
Restablecer las contraseñas de cuentas de usuario, perfiles, los directorios principales
y la pertenencia a grupos para los usuarios eliminados.
¿Cuándo fue el objeto
eliminado, se eliminan todos los valores de atributo excepto SID, ObjectGUID, LastKnownParent y SAMAccountName .
Habilitar la cuenta reanimada en usuarios de Active Directory
y equipos.
Nota El objeto reanimado tiene el mismo SID principal que tenía antes de
la eliminación, pero el objeto debe agregarse otra vez a los mismos grupos de seguridad para
tienen el mismo nivel de acceso a los recursos. La primera versión de Windows Server
2003 no conserva el atributo sIDHistory reanimado cuentas de usuario, cuentas de equipo, y
grupos de seguridad. Windows Server 2003 con Service Pack 1 de conservar el atributo sIDHistory en los objetos eliminados.
Quitar atributos de Exchange de Microsoft y vuelva a conectar el usuario
en el buzón de Exchange.
Nota Se admite la reanimación de objetos eliminados cuando la eliminación
se produce en un controlador de dominio de Windows Server 2003. La reanimación de borrado
los objetos no se admite cuando se produce la eliminación de un dominio de Windows 2000
controlador que posteriormente se actualiza a Windows Server 2003.
Nota Si la eliminación se produce en un controlador de dominio de Windows 2000 en el
no se llena el dominio, el atributo lastParentOf en el dominio de Windows Server 2003
controladores.
Cómo determinar cuándo y dónde se ha producido una eliminación
Cuando los usuarios se eliminan debido a una eliminación en masa, puede que desee
Obtenga información acerca de dónde se originó la eliminación. Para ello, siga estos pasos:
Si la auditoría se ha configurado correctamente para realizar un seguimiento de la
eliminación de contenedores de unidad organizativa (OU) o de objetos subordinados, uso
una utilidad que busque el registro de sucesos de seguridad de controladores de dominio en el
dominio donde se ha producido la eliminación. Una utilidad que busque registros de sucesos
en un conjunto con ámbito de los controladores de dominio es la utilidad EventCombMT. EventCombMT
forma parte del conjunto de herramientas de Windows Server 2003 Resource Kit Tools.
Para
Para obtener más información acerca de cómo obtener Windows Server 2003 Resource Kit Tools
conjunto de herramientas, visite la página Web de Microsoft siguiente:
Siga los pasos 1 a 7 en el "cómo recuperar manualmente
sección de objetos en el contenedor de un objeto eliminado"para buscar seguridad eliminado
directores. Si se ha eliminado un árbol, siga estos pasos para encontrar un elemento primario
contenedor del objeto eliminado.
Copie el valor del atributo objectGUID en el Portapapeles de Windows.
Puede pegar este
valor cuando se escriba el comando Repadmin en el paso 4.
Escriba el comando siguiente:
repadmin /showmeta GUID =GUID de objeto>NOMBRE DE DOMINIO COMPLETO>
Por ejemplo, si el objectGUID del objeto eliminado o contenedor
es 791273b2-eba7-4285-a117-aa804ea76e95 y el nombre de dominio completo
(FQDN) es dc.contoso.com, escriba el comando siguiente:
La sintaxis de este comando debe incluir el GUID de la eliminada
objeto o contenedor y el FQDN del servidor que desee de la fuente.
En la salida del comando Repadmin, busque la fecha de origen,
controlador de dominio de tiempo y para el atributo isDeleted . Por ejemplo, información para el atributo isDeleted aparece en la quinta línea de la muestra siguiente
salida:
Si el nombre del controlador de dominio de origen en el
segunda columna de la salida aparece como un GUID de 32 caracteres alfanuméricos, uso
el comando Ping para resolver el GUID para la dirección IP y el nombre de la
controlador de dominio que se ha originado la eliminación. El comando Ping utiliza la
sintaxis siguiente:
hacer ping a ?a <originating dc="" guid=""></originating>controladores de ._msdomain.<fully qualified="" path="" for="" forest="" root=""></fully>>
Nota El ": una" opción distingue mayúsculas de minúsculas. Utilice el nombre de dominio completo
nombre del dominio raíz del bosque sin tener en cuenta el dominio que la original
controlador de dominio se encuentra en.
Por ejemplo, si el dominio de origen
controlador residía en cualquier dominio del bosque Contoso.com y tenía un GUID de
644eb7e7-1566-4f29-a778-4b487637564b, escriba el comando siguiente:
hacer ping a 644eb7e7 de ?a-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com
El resultado devuelto por este comando es similar al siguiente:
Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Ver el registro de seguridad del controlador de dominio que
se ha originado la eliminación o sobre el momento en que se ha indicado en la salida
del comando Repadmin en el paso 5.
Preste atención a la vez sesga
y los cambios de zona horaria entre los equipos que se utilizaron para llegar a este
Seleccione esta opción. Si se habilita la auditoría de eliminación para contenedores OU o eliminado
objetos, preste atención a los eventos de auditoría pertinentes. Si la auditoría no está
habilitado, preste atención a los usuarios que tenían los permisos para eliminar los contenedores de unidad organizativa
o el subordinado objetos en ellos, y que había autentican con respecto a la
controlador de dominio de origen en el tiempo antes de la eliminación.
Cómo minimizar el impacto de las eliminaciones a granel en el futuro
Las claves para minimizar el impacto de la eliminación en masa de los usuarios,
de equipos y de seguridad son grupos para asegurarse de que el que han actualizado
backups de estado del sistema, para controlar rigurosamente el acceso a cuentas de usuario con privilegios, a
controlar perfectamente qué pueden hacer esas cuentas y por último, para probar la recuperación
de las eliminaciones a granel.
Cambios de estado del sistema se producen cada día. Estos
los cambios pueden incluir los restablecimientos de contraseña en las cuentas de usuario y en las cuentas de equipo
Además de los cambios de pertenencia a grupo y otros cambios de atributos de usuario
cuentas, cuentas de equipo y grupos de seguridad. Si se produce un error en el hardware,
el software se produce un error o el sitio experimenta un otro desastre, le interesará
Para restaurar las copias de seguridad que se realizaron después de cada conjunto significativo de cambios en
cada sitio en el bosque y dominio de Active Directory. Si no se mantienen
las copias de seguridad actuales, puede perder datos o que tenga que deshacer objetos restaurados.
Microsoft recomienda que lleven los siguientes pasos para evitar
eliminaciones masivas:
No comparta la contraseña para el Administrador integrado
cuentas o cuentas de usuario administrativo común de permiso para compartir. Si el
se conoce la contraseña de la cuenta de administrador integrada, cambiar la contraseña
y definir un proceso interno que se desaconseja su uso. Sucesos de auditoría de
las cuentas de usuario compartidas hacen imposible determinar la identidad del usuario
que está realizando cambios en Active Directory. Por lo tanto, el uso de usuario compartido
deben emplearse el cuentas.
Es muy raro que las cuentas de usuario, cuentas de equipo, y
grupos de seguridad se ha eliminado intencionadamente. Esto es especialmente cierto de árbol
eliminaciones. La capacidad de servicio y los administradores delegados para anular la asociación
eliminar estos objetos de la capacidad de crear y administrar cuentas de usuario
las cuentas de equipo, grupos de seguridad, contenedores de unidad organizativa y sus atributos. GRANT
sólo las cuentas de usuario o seguridad con más privilegios grupos el derecho a realizar
elimina el árbol. Estas cuentas de usuario con privilegios pueden incluir la empresa
administradores.
Conceder acceso sólo a la clase de la de los administradores delegados
objeto que los administradores pueden administrar. Por ejemplo, es
mejor si un administrador de escritorio de ayuda cuyo trabajo principal consiste en Modificar propiedades
en las cuentas de usuario no tienen permisos para crear y eliminar equipo
cuentas, grupos de seguridad o contenedores de unidad organizativa. Esta restricción también se aplica a
eliminar los permisos para los administradores de otro objeto específico
clases.
Experimente con la configuración de auditoría para realizar el seguimiento de las operaciones de eliminación
en un dominio de laboratorio. Después de que está familiarizado con los resultados, aplicar el mejor
solución para el dominio de producción.
Venta por mayor de control de acceso y auditoría de los cambios en los contenedores
ese host decenas de miles de objetos puede hacer que la base de datos de Active Directory
aumentar de forma significativa, especialmente en los dominios de Windows 2000. Utilizar un dominio de prueba que
refleja el dominio de producción para evaluar los posibles cambios para liberar espacio en disco.
Compruebe los volúmenes de disco duro que albergan los archivos Ntds.dit y el registro
archivos de controladores de dominio en el dominio de producción de forma gratuita espacio en disco. Evitar
control de acceso y auditoría de cambios en la configuración de la cabeza de controlador de red de dominio.
Estos cambios aplicaría innecesariamente a todos los objetos de todos los
clases en todos los contenedores en la partición. Por ejemplo, evite hacer
cambios en el sistema de nombres de dominio (DNS) y de vínculos distribuidos (DLT) registro de seguimiento
registro en CN = carpeta del sistema de la partición del dominio.
Utilice la estructura de unidades Organizativas de mejores prácticas para separar el usuario
las cuentas, cuentas de equipo, grupos de seguridad y cuentas de servicio en su propio
unidad organizativa. Cuando se utiliza este tipo de estructura, puede aplicar discrecional
tener acceso a listas de control (DACL) a los objetos de una sola clase de delegado
administración y hacen posible para los objetos ser restaurada según
clase de objeto cuando éstos deban restaurarse. Es la estructura de unidades Organizativas de mejores prácticas
se describen en la sección "Creación de an Organizational Unit Design" del documento técnico Best Practice Active Directory Design for Managing Windows Networks . Para obtener estas notas del producto, visite el sitio Web
Sitio Web de Microsoft:
Probar las eliminaciones masivas en un entorno de laboratorio que refleja su
dominio de producción. Elija el método de recuperación que tenga sentido para usted, y, a continuación
personalícelo para adaptarlo a su organización. Desea identificar lo siguiente:
Los nombres de los controladores de dominio en cada dominio que
se realicen regularmente copias
Donde se almacenan las imágenes de copia de seguridad
Idealmente, estos
las imágenes se almacenan en un disco duro adicional que es local a un catálogo global en
cada dominio del bosque.
Los miembros de la organización de asistencia al cliente ayuda a
Póngase en contacto con
La mejor manera de asegurarse de que el contacto
Mayoría de las eliminaciones a granel de las cuentas de usuario del equipo
cuentas y grupos de seguridad que Microsoft considera son accidentales. Discutir
Este escenario con su personal de TI y desarrollar un plan de acción interna. En el
en primer lugar, centrarse en la detección temprana y en devolver la funcionalidad a su dominio
los usuarios y a su negocio lo más rápidamente posible. También puede tomar medidas para evitar eliminaciones accidentales masiva se realice mediante la edición de las listas de control de acceso (ACL) de unidades organizativas. Para obtener más información acerca de cómo utilizar las herramientas de la interfaz de Windows para evitar eliminaciones accidentales masiva, visite el siguiente sitio Web de Microsoft para ver "Protegiendo contra Accidental masiva eliminaciones en Active Directory":
Para obtener más información acerca de cómo evitar eliminaciones accidentales masiva utilizando Dsacls.exe en la línea de comandos o mediante una secuencia de comandos, visite el siguiente sitio Web de Microsoft para ver "Secuencia de comandos para proteger las unidades organizativas (OU) de la eliminación Accidental":
Herramientas y secuencias de comandos que pueden ayudarle a recuperarán de las eliminaciones masivas
La utilidad de línea de comandos de Groupadd.exe lee el atributo memberOf en una colección de usuarios en una unidad organizativa y genera un .ldf
Restablecer cuenta de usuario en los grupos de seguridad en cada dominio el archivo que agrega cada uno
en el bosque.
GROUPADD.exe descubre automáticamente los dominios y
grupos de seguridad que se eliminan los usuarios eran miembros de y se agregan a las
grupos. Este proceso se explica con más detalle en el paso 11 del método
1.
GROUPADD.exe se ejecuta en los siguientes controladores de dominio:
Controladores de dominio de Windows Server 2003
Controladores de dominio de Windows 2000 que tienen .NET 1.1
Framework instalada
Aquí, ldf_file representa el nombre de
el archivo .ldf para su uso con el argumento anterior, after_restore representa el origen de datos del archivo de usuario
y before_restore representa los datos de usuario desde el
entorno de producción. (El origen de datos del archivo de usuario es el usuario bueno
datos.)
Para obtener Groupadd.exe, póngase en contacto con soporte técnico de Microsoft
Servicios.
El
productos de terceros que se describe en este artículo están fabricados por compañías
que son independientes de Microsoft. Microsoft no otorga ninguna garantía, implícita o
de lo contrario, sobre el rendimiento o la confiabilidad de estos
productos.
Para obtener más información acerca de cómo restaurar un objeto que contiene caracteres extendidos, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
La operación de restauración autoritativa de Ntdsutil no tiene éxito si la ruta de acceso completa contiene caracteres extendidos en Windows Server 2003 y en Windows 2000
Para obtener más información, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
Mensaje de error cuando intenta importar archivos .ldf en un equipo que ejecuta Windows Server 2003 con Service Pack 1: "Error al agregar en línea LineNumber: No existe el objeto"
Después de restaurar objetos eliminados mediante la realización de una restauración autoritativa en un controlador de dominio basado en Windows Server 2003, los atributos vinculados de algunos objetos no se replican en otros controladores de dominio
Para obtener más información acerca de cómo utilizar la función de la Papelera de reciclaje de AD incluida en Windows Server 2008 R2, consulte a la Guía de Active Directory reciclaje Bin paso a paso disponibles desde este sitio Web de Microsoft:http://technet.Microsoft.com/en-us/library/dd392261 (WS.10) .aspx
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 840001
¡Muchas gracias! Sus comentarios nos ayudarán a mejorar los contenidos de soporte. Para más opciones de asistencia, visite la página de Ayuda y soporte técnico.
Volver al principio
