Come ripristinare gli account utente eliminati e le relative appartenenze ai gruppi in Active Directory

Articolo
02/19/2024

Questo articolo fornisce informazioni su come ripristinare gli account utente eliminati e le appartenenze ai gruppi in Active Directory.

Si applica a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Numero KB originale: 840001

Introduzione

È possibile usare diversi metodi per ripristinare account utente, account computer e gruppi di sicurezza eliminati. Questi oggetti sono noti collettivamente come entità di sicurezza.

Il metodo più comune consiste nell'abilitare la funzionalità Cestino di Active Directory supportata nei controller di dominio basati su Windows Server 2008 R2 e versioni successive. Per altre informazioni su questa funzionalità, tra cui come abilitarla e ripristinare gli oggetti, vedere Guida dettagliata al Cestino di Active Directory.

Se questo metodo non è disponibile, è possibile usare i tre metodi seguenti. In tutti e tre i metodi si ripristinano in modo autorevole gli oggetti eliminati e quindi si ripristinano le informazioni sull'appartenenza ai gruppi per le entità di sicurezza eliminate. Quando si ripristina un oggetto eliminato, è necessario ripristinare i valori precedenti degli member attributi e memberOf nell'entità di sicurezza interessata.

Nota

Il ripristino degli oggetti eliminati in Active Directory può essere semplificato abilitando la funzionalità Cestino di Active Directory supportata nei controller di dominio basati su Windows Server 2008 R2 e versioni successive. Per altre informazioni su questa funzionalità, tra cui come abilitarla e ripristinare gli oggetti, vedere Guida dettagliata al Cestino di Active Directory.

Ulteriori informazioni

I metodi 1 e 2 offrono un'esperienza migliore per gli utenti e gli amministratori di dominio. Questi metodi mantengono le aggiunte ai gruppi di sicurezza effettuate tra l'ora dell'ultimo backup dello stato del sistema e l'ora in cui si è verificata l'eliminazione. Nel metodo 3 non si apportano singole modifiche alle entità di sicurezza. È invece possibile eseguire il rollback delle appartenenze ai gruppi di sicurezza al relativo stato al momento dell'ultimo backup.

La maggior parte delle eliminazioni su larga scala sono accidentali. Microsoft consiglia di eseguire diversi passaggi per impedire ad altri utenti di eliminare oggetti in blocco.

Nota

Per evitare l'eliminazione accidentale o lo spostamento accidentale di oggetti (in particolare le unità organizzative), è possibile aggiungere due voci di controllo di accesso negate (ACL) al descrittore di sicurezza di ogni oggetto (DENY DELETE & DELETE TREE) e una voce Nega controllo di accesso (ACL) al descrittore di sicurezza dell'oggetto PARENT di ogni oggetto (DENY DELETE CHILD). A tale scopo, usare Utenti e computer di Active Directory, ADSIEdit, LDP o lo strumento da riga di comando DSACLS. È anche possibile modificare le autorizzazioni predefinite nello schema di Active Directory per le unità organizzative in modo che questi ACL siano inclusi per impostazione predefinita.

Ad esempio, per proteggere l'unità organizzativa chiamata CONTOSO.COM da spostare o eliminare accidentalmente dall'unità organizzativa padre denominata MyCompany, eseguire la configurazione seguente:

Per l'unità organizzativa MyCompany , aggiungere DENY ACE for Everyone a DELETE CHILD con questo ambito solo oggetto :

DSACLS "OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:DC"/

Per l'unità organizzativa Utenti aggiungere DENY ACE for Everyone a DELETE e DELETE TREE con questo ambito solo oggetto :

DSACLS "OU=Users,OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:SDDT"

Lo snap-in Utenti e computer di Active Directory in Windows Server 2008 include una casella di controllo Proteggi oggetto dall'eliminazione accidentale nella scheda Oggetto.

Nota

Per visualizzare tale scheda, è necessario abilitare la casella di controllo Funzionalità avanzate .

Quando si crea un'unità organizzativa usando Utenti e computer di Active Directory in Windows Server 2008, viene visualizzata la casella di controllo Proteggi contenitore dall'eliminazione accidentale. Per impostazione predefinita, la casella di controllo è selezionata e può essere deselezionata.

Sebbene sia possibile configurare ogni oggetto in Active Directory usando questi ACL, è più adatto per le unità organizzative. L'eliminazione o i movimenti di tutti gli oggetti foglia possono avere un effetto principale. Questa configurazione impedisce tali eliminazioni o movimenti. Per eliminare o spostare effettivamente un oggetto usando una configurazione di questo tipo, è necessario rimuovere prima gli ACL negati.

Questo articolo illustra come ripristinare gli account utente, gli account computer e le relative appartenenze ai gruppi dopo l'eliminazione da Active Directory. Nelle varianti di questo scenario, gli account utente, gli account computer o i gruppi di sicurezza potrebbero essere stati eliminati singolarmente o in una combinazione. In tutti questi casi, si applicano gli stessi passaggi iniziali. È possibile ripristinare in modo autorevole, o ripristinare l'autenticazione, gli oggetti che sono stati eliminati inavvertitamente. Alcuni oggetti eliminati richiedono più lavoro da ripristinare. Questi oggetti includono oggetti, ad esempio account utente, che contengono attributi che sono collegamenti indietro degli attributi di altri oggetti. Due di questi attributi sono managedBy e memberOf.

Quando si aggiungono entità di sicurezza, ad esempio un account utente, un gruppo di sicurezza o un account computer a un gruppo di sicurezza, si apportano le modifiche seguenti in Active Directory:

Il nome dell'entità di sicurezza viene aggiunto all'attributo membro di ogni gruppo di sicurezza.
Per ogni gruppo di sicurezza di cui l'utente, il computer o il gruppo di sicurezza è membro, viene aggiunto un collegamento indietro all'attributo dell'entità di memberOf sicurezza.

Analogamente, quando un utente, un computer o un gruppo viene eliminato da Active Directory, si verificano le azioni seguenti:

L'entità di sicurezza eliminata viene spostata nel contenitore degli oggetti eliminati.
Alcuni valori di attributo, incluso l'attributo memberOf , vengono rimossi dall'entità di sicurezza eliminata.
Le entità di sicurezza eliminate vengono rimosse da tutti i gruppi di sicurezza di cui erano membri. In altre parole, le entità di sicurezza eliminate vengono rimosse dall'attributo membro di ogni gruppo di sicurezza.

Quando si recuperano le entità di sicurezza eliminate e si ripristinano le appartenenze ai gruppi, ogni entità di sicurezza deve esistere in Active Directory prima di ripristinarne l'appartenenza al gruppo. Il membro può essere un utente, un computer o un altro gruppo di sicurezza. Per ripristinare questa regola in modo più ampio, è necessario che in Active Directory sia presente un oggetto contenente attributi i cui valori sono back-link prima che l'oggetto che contiene tale collegamento possa essere ripristinato o modificato.

Questo articolo illustra come recuperare gli account utente eliminati e le relative appartenenze ai gruppi di sicurezza. I relativi concetti si applicano allo stesso modo ad altre eliminazioni di oggetti. I concetti di questo articolo si applicano allo stesso modo agli oggetti eliminati i cui valori di attributo usano collegamenti forward e back link ad altri oggetti in Active Directory.

È possibile usare uno dei tre metodi per recuperare le entità di sicurezza. Quando si usa il metodo 1, si lasciano in vigore tutte le entità di sicurezza aggiunte a qualsiasi gruppo di sicurezza nella foresta. E si aggiungono ai gruppi di sicurezza solo le entità di sicurezza eliminate dai rispettivi domini. Ad esempio, si esegue un backup dello stato del sistema, si aggiunge un utente a un gruppo di sicurezza e quindi si ripristina il backup dello stato del sistema. Quando si usano i metodi 1 o 2, si mantengono tutti gli utenti aggiunti ai gruppi di sicurezza che contengono utenti eliminati tra le date in cui è stato creato il backup dello stato del sistema e la data in cui è stato ripristinato il backup. Quando si usa il metodo 3, si esegue il rollback delle appartenenze ai gruppi di sicurezza per tutti i gruppi di sicurezza che contengono utenti eliminati al loro stato al momento del backup dello stato del sistema.

Metodo 1: ripristinare gli account utente eliminati e quindi aggiungere nuovamente gli utenti ripristinati ai gruppi usando lo strumento da riga di comando Ntdsutil.exe

Lo strumento da riga di comando Ntdsutil.exe consente di ripristinare i backlink degli oggetti eliminati. Vengono generati due file per ogni operazione di ripristino autorevole. Un file contiene un elenco di oggetti ripristinati in modo autorevole. L'altro file è un file con estensione ldf usato con l'utilità Ldifde.exe. Questo file viene usato per ripristinare i backlink per gli oggetti ripristinati in modo autorevole. Un ripristino autorevole di un oggetto utente genera anche file LDAP Data Interchange Format (LDIF) con l'appartenenza al gruppo. Questo metodo evita un doppio ripristino.

Quando si usa questo metodo, si eseguono i passaggi generali seguenti:

Controllare se un catalogo globale nel dominio dell'utente non è stato replicato nell'eliminazione. E quindi impedire la replica del catalogo globale. Se non è presente alcun catalogo globale latente, individuare il backup dello stato del sistema più recente di un controller di dominio del catalogo globale nel dominio principale dell'utente eliminato.
Ripristinare tutti gli account utente eliminati e quindi consentire la replica end-to-end di tali account utente.
Aggiungere di nuovo tutti gli utenti ripristinati a tutti i gruppi in tutti i domini di cui gli account utente erano membri prima dell'eliminazione.

Per usare il metodo 1, seguire questa procedura:

Controllare se nel dominio principale dell'utente eliminato è presente un controller di dominio del catalogo globale che non ha replicato alcuna parte dell'eliminazione.

Nota

Concentrarsi sui cataloghi globali con le pianificazioni di replica meno frequenti.

Se esistono uno o più cataloghi globali, usare lo strumento da riga di comando Repadmin.exe per disabilitare immediatamente la replica in ingresso seguendo questa procedura:
1. Fare clic su Start, quindi scegliere Esegui.
2. Digitare cmd nella casella Apri e quindi selezionare OK.
3. Digitare il comando seguente al prompt dei comandi e quindi premere INVIO:
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
  Nota
  
  Se non è possibile eseguire immediatamente il comando, rimuovere tutta la connettività di rete dal catalogo globale latente fino a quando non è possibile usare Repadmin per disabilitare la Repadmin replica in ingresso e quindi restituire immediatamente la connettività di rete.
Questo controller di dominio verrà definito controller di dominio di ripristino. Se non esiste un catalogo globale di questo tipo, andare al passaggio 2.
È consigliabile interrompere l'esecuzione di modifiche ai gruppi di sicurezza nella foresta se tutte le istruzioni seguenti sono vere:
- Si usa il metodo 1 per ripristinare in modo autorevole gli utenti o gli account computer eliminati in base al percorso distinto del nome (dn).
- L'eliminazione è stata replicata in tutti i controller di dominio nella foresta, ad eccezione del controller di dominio di ripristino latente.
- Non si sta eseguendo il ripristino dell'autenticazione dei gruppi di sicurezza o dei relativi contenitori padre.
Se si esegue il ripristino dell'autenticazione di gruppi di sicurezza o contenitori di unità organizzativa che ospitano gruppi di sicurezza o account utente, arrestare temporaneamente tutte queste modifiche.

Notificare agli amministratori e agli amministratori dell'help desk nei domini appropriati oltre agli utenti di dominio nel dominio in cui si è verificata l'eliminazione di queste modifiche.
Creare un nuovo backup dello stato del sistema nel dominio in cui si è verificata l'eliminazione. È possibile usare questo backup se è necessario eseguire il rollback delle modifiche.

Nota

Se i backup dello stato del sistema sono correnti fino al punto dell'eliminazione, ignorare questo passaggio e passare al passaggio 4.

Se nel passaggio 1 è stato identificato un controller di dominio di ripristino, eseguire il backup dello stato del sistema.

Se tutti i cataloghi globali che si trovano nel dominio in cui si è verificata l'eliminazione sono stati replicati nell'eliminazione, eseguire il backup dello stato di sistema di un catalogo globale nel dominio in cui si è verificata l'eliminazione.

Quando si crea un backup, è possibile ripristinare lo stato corrente del controller di dominio di ripristino. Ed eseguire di nuovo il piano di ripristino se il primo tentativo non riesce.
Se non è possibile trovare un controller di dominio del catalogo globale latente nel dominio in cui si è verificata l'eliminazione dell'utente, trovare il backup dello stato di sistema più recente di un controller di dominio del catalogo globale in tale dominio. Questo backup dello stato del sistema deve contenere gli oggetti eliminati. Usare questo controller di dominio come controller di dominio di ripristino.

Solo i restauri dei controller di dominio del catalogo globale nel dominio dell'utente contengono informazioni sull'appartenenza a gruppi globali e universali per i gruppi di sicurezza che risiedono in domini esterni. Se non è presente alcun backup dello stato del sistema di un controller di dominio del catalogo globale nel dominio in cui sono stati eliminati gli utenti, non è possibile usare l'attributo memberOf sugli account utente ripristinati per determinare l'appartenenza a gruppi globali o universali o per ripristinare l'appartenenza a domini esterni. Inoltre, è consigliabile trovare il backup dello stato di sistema più recente di un controller di dominio del catalogo non globale.
Se si conosce la password per l'account amministratore offline, avviare il controller di dominio di ripristino in modalità Disrepair. Se non si conosce la password per l'account amministratore offline, reimpostare la password usando ntdsutil.exe mentre il controller di dominio di ripristino è ancora in modalità Active Directory normale.

È possibile usare lo strumento da riga di comando setpwd per reimpostare la password nei controller di dominio mentre sono in modalità Active Directory online.

Nota

Microsoft non supporta più Windows 2000.

Gli amministratori dei controller di dominio di Windows Server 2003 e versioni successive possono usare il set dsrm password comando nello strumento da riga di comando Ntdsutil per reimpostare la password per l'account amministratore offline.

Per altre informazioni su come reimpostare l'account amministratore della modalità di ripristino di Servizi directory, vedere Come reimpostare la password dell'account amministratore della modalità di ripristino di Servizi directory in Windows Server.
Premere F8 durante il processo di avvio per avviare il controller di dominio di ripristino in modalità Disrepair. Accedere alla console del controller di dominio di ripristino con l'account amministratore offline. Se si reimposta la password nel passaggio 5, usare la nuova password.

Se il controller di dominio di ripristino è un controller di dominio del catalogo globale latente, non ripristinare lo stato del sistema. Andare al passaggio 7.

Se si crea il controller di dominio di ripristino usando un backup dello stato del sistema, ripristinare il backup dello stato del sistema più recente eseguito nel controller di dominio di ripristino.
Ripristinare l'autenticazione degli account utente eliminati, degli account computer eliminati o dei gruppi di sicurezza eliminati.

Nota

I termini ripristino dell'autenticazione e ripristino autorevole fanno riferimento al processo di utilizzo del comando di ripristino autorevole nello strumento da riga di comando Ntdsutil per incrementare i numeri di versione di oggetti specifici o di contenitori specifici e tutti i relativi oggetti subordinati. Non appena si verifica la replica end-to-end, gli oggetti di destinazione nella copia locale di Active Directory del controller di dominio di ripristino diventano autorevoli in tutti i controller di dominio che condividono tale partizione. Un ripristino autorevole è diverso da un ripristino dello stato del sistema. Un ripristino dello stato del sistema popola la copia locale di Active Directory del controller di dominio ripristinato con le versioni degli oggetti al momento in cui è stato eseguito il backup dello stato del sistema.

I restauri autorevoli vengono eseguiti con lo strumento da riga di comando Ntdsutil e fanno riferimento al percorso del nome di dominio (dn) degli utenti eliminati o dei contenitori che ospitano gli utenti eliminati.

Quando si esegue il ripristino dell'autenticazione, usare i percorsi del nome di dominio (dn) contenuti nell'albero di dominio come devono essere. Lo scopo è evitare di ripristinare gli oggetti non correlati all'eliminazione. Questi oggetti possono includere oggetti che sono stati modificati dopo il backup dello stato del sistema.

Ripristinare l'autenticazione degli utenti eliminati nell'ordine seguente:
1. Ripristinare il percorso del nome di dominio (dn) per ogni account utente, account computer o gruppo di sicurezza eliminato.
  
  I restauri autorevoli di oggetti specifici richiedono più tempo, ma sono meno distruttivi dei restauri autorevoli di un intero sottoalbero. Ripristinare l'autenticazione il contenitore padre comune più basso che contiene gli oggetti eliminati.
  
  Ntdsutil usa la sintassi seguente:
```
ntdsutil "authoritative restore" "restore object <object DN path>" q q
```
  Ad esempio, per ripristinare in modo autorevole l'utente eliminato John Doe nell'unità organizzativa Mayberry del Contoso.com dominio, usare il comando seguente:
```
ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
```
  Per ripristinare in modo autorevole il gruppo di sicurezza eliminato ContosoPrintAccess nell'unità organizzativa Mayberry del Contoso.com dominio, usare il comando seguente:
```
ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
```
  Importante
  
  L'uso delle virgolette è obbligatorio.
  
  Per ogni utente ripristinato, vengono generati almeno due file. Questi file hanno il formato seguente:
  
  ar_YYYYMMDD-HHMMSS_objects.txt
  Questo file contiene un elenco degli oggetti ripristinati in modo autorevole. Usare questo file con il comando di ripristino create ldif file from autorevole ntdsutil in qualsiasi altro dominio della foresta in cui l'utente era membro dei gruppi locali di dominio.
  
  ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
  Se si esegue il ripristino dell'autenticazione in un catalogo globale, viene generato uno di questi file per ogni dominio della foresta. Questo file contiene uno script che è possibile usare con l'utilità Ldifde.exe. Lo script ripristina i backlink per gli oggetti ripristinati. Nel dominio principale dell'utente, lo script ripristina tutte le appartenenze ai gruppi per gli utenti ripristinati. In tutti gli altri domini della foresta in cui l'utente ha l'appartenenza al gruppo, lo script ripristina solo le appartenenze a gruppi universali e globali. Lo script non ripristina le appartenenze a gruppi locali di dominio. Queste appartenenze non vengono rilevate da un catalogo globale.
2. Ripristinare solo l'unità organizzativa o i contenitori di Common-Name (CN) che ospitano gli account utente o i gruppi eliminati.
  
  I restauri autorevoli di un intero sottoalbero sono validi quando l'unità organizzativa di destinazione del comando di ripristino autorevole ntdsutil contiene la maggior parte degli oggetti che si sta tentando di ripristinare in modo autorevole. Idealmente, l'unità organizzativa di destinazione contiene tutti gli oggetti che si sta tentando di ripristinare in modo autorevole.
  
  Un ripristino autorevole in un sottoalbero di unità organizzativa ripristina tutti gli attributi e gli oggetti che risiedono nel contenitore. Tutte le modifiche apportate fino al ripristino di un backup dello stato del sistema vengono ripristinate ai relativi valori al momento del backup. Con gli account utente, gli account computer e i gruppi di sicurezza, questo rollback può comportare la perdita delle modifiche più recenti apportate a:
  - Password
  - home directory
  - percorso del profilo
  - posizione
  - informazioni di contatto
  - appartenenza a gruppi
  - tutti i descrittori di sicurezza definiti in tali oggetti e attributi.
  Ntdsutil usa la sintassi seguente:
```
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
```
  Ad esempio, per ripristinare in modo autorevole l'unità organizzativa Mayberry del Contoso.com dominio, usare il comando seguente:
```
ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
```
  Nota
  
  Ripetere questo passaggio per ogni unità organizzativa peer che ospita utenti o gruppi eliminati.
  
  Importante
  
  Quando si ripristina un oggetto subordinato di un'unità organizzativa, tutti i contenitori padre eliminati degli oggetti subordinati eliminati devono essere ripristinati in modo esplicito.
  
  Per ogni unità organizzativa ripristinata, vengono generati almeno due file. Questi file hanno il formato seguente:
  
  ar_YYYYMMDD-HHMMSS_objects.txt
  Questo file contiene un elenco degli oggetti ripristinati in modo autorevole. Usare questo file con il comando di ripristino create ldif file from autorevole ntdsutil in qualsiasi altro dominio della foresta in cui gli utenti ripristinati erano membri di gruppi locali di dominio.
  
  ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
  Questo file contiene uno script che è possibile usare con l'utilità Ldifde.exe. Lo script ripristina i backlink per gli oggetti ripristinati. Nel dominio principale dell'utente, lo script ripristina tutte le appartenenze ai gruppi per gli utenti ripristinati.
Se gli oggetti eliminati sono stati ripristinati nel controller di dominio di ripristino a causa di un ripristino dello stato del sistema, rimuovere tutti i cavi di rete che forniscono connettività di rete a tutti gli altri controller di dominio nella foresta.
Riavviare il controller di dominio di ripristino in modalità Active Directory normale.
Digitare il comando seguente per disabilitare la replica in ingresso nel controller di dominio di ripristino:
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
Abilitare nuovamente la connettività di rete al controller di dominio di ripristino il cui stato di sistema è stato ripristinato.
Replicare in uscita gli oggetti ripristinati con autenticazione dal controller di dominio di ripristino ai controller di dominio nel dominio e nella foresta.

Mentre la replica in ingresso nel controller di dominio di ripristino rimane disabilitata, digitare il comando seguente per eseguire il push degli oggetti ripristinati con autenticazione a tutti i controller di dominio di replica tra siti nel dominio e in tutti i cataloghi globali nella foresta:
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Se tutte le istruzioni seguenti sono vere, i collegamenti di appartenenza ai gruppi vengono ricompilati con il ripristino e la replica degli account utente eliminati. Andare al passaggio 14.

Nota

Se una o più delle istruzioni seguenti non sono vere, andare al passaggio 12.
- La foresta è in esecuzione a livello di funzionalità della foresta di Windows Server 2003 e versioni successive o a livello di funzionalità della foresta provvisoria di Windows Server 2003 e versioni successive.
- Sono stati eliminati solo account utente o account computer e non gruppi di sicurezza.
- Gli utenti eliminati sono stati aggiunti ai gruppi di sicurezza in tutti i domini della foresta dopo la transizione della foresta a Windows Server 2003 e versioni successive o a un livello di funzionalità della foresta successiva.
Nella console del controller di dominio di ripristino usare l'utilità Ldifde.exe e il file ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf per ripristinare le appartenenze ai gruppi dell'utente. Per effettuare questa operazione, seguire questi passaggi:
- Selezionare Start, selezionare Esegui, digitare cmd nella casella Apri e quindi selezionare OK.
- Al prompt dei comandi digitare il comando seguente e quindi premere INVIO:
```
ldifde -i -f ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
```
Abilitare la replica in ingresso nel controller di dominio di ripristino usando il comando seguente:
```
repadmin /options <recovery dc name> -DISABLE_INBOUND_REPL
```
Se gli utenti eliminati sono stati aggiunti ai gruppi locali in domini esterni, eseguire una delle azioni seguenti:
- Aggiungere manualmente gli utenti eliminati a tali gruppi.
- Ripristinare lo stato del sistema e ripristinare l'autenticazione di ogni gruppo di sicurezza locale che contiene gli utenti eliminati.
Verificare l'appartenenza al gruppo nel dominio del controller di dominio di ripristino e nei cataloghi globali in altri domini.
Eseguire un nuovo backup dello stato del sistema dei controller di dominio nel dominio del controller di dominio di ripristino.
Notificare a tutti gli amministratori della foresta, agli amministratori delegati, agli amministratori dell'help desk nella foresta e agli utenti del dominio che il ripristino dell'utente è stato completato.

Gli amministratori dell'help desk potrebbero dover reimpostare le password degli account utente ripristinati con autenticazione e degli account computer la cui password di dominio è stata modificata dopo il ripristino del sistema.

Gli utenti che hanno modificato le password dopo il backup dello stato del sistema scopriranno che la password più recente non funziona più. Fare in modo che tali utenti tentino di accedere usando le password precedenti, se le conoscono. In caso contrario, gli amministratori dell'help desk devono reimpostare la password e selezionare la casella di controllo per modificare la password all'accesso successivo . Eseguire questa operazione preferibilmente in un controller di dominio nello stesso sito di Active Directory in cui si trova l'utente.

Metodo 2: ripristinare gli account utente eliminati e quindi aggiungere nuovamente gli utenti ripristinati ai gruppi

Quando si usa questo metodo, si eseguono i passaggi generali seguenti:

Controllare se un catalogo globale nel dominio dell'utente non è stato replicato nell'eliminazione. E quindi impedire la replica del catalogo globale. Se non è presente alcun catalogo globale latente, individuare il backup dello stato del sistema più recente di un controller di dominio del catalogo globale nel dominio principale dell'utente eliminato.
Ripristinare tutti gli account utente eliminati e quindi consentire la replica end-to-end di tali account utente.
Aggiungere di nuovo tutti gli utenti ripristinati a tutti i gruppi in tutti i domini di cui gli account utente erano membri prima dell'eliminazione.

Per usare il metodo 2, seguire questa procedura:

Controllare se nel dominio principale dell'utente eliminato è presente un controller di dominio del catalogo globale che non ha replicato alcuna parte dell'eliminazione.

Nota

Concentrarsi sui cataloghi globali con le pianificazioni di replica meno frequenti.

Se esistono uno o più cataloghi globali, usare lo strumento da riga di comando Repadmin.exe per disabilitare immediatamente la replica in ingresso. Per effettuare questa operazione, seguire questi passaggi:
1. Fare clic su Start, quindi scegliere Esegui.
2. Digitare cmd nella casella Apri e quindi selezionare OK.
3. Digitare il comando seguente al prompt dei comandi e quindi premere INVIO:
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
Nota

Se non è possibile eseguire immediatamente il comando Repadmin, rimuovere tutta la connettività di rete dal catalogo globale latente fino a quando non è possibile usare Repadmin per disabilitare la replica in ingresso e quindi restituire immediatamente la connettività di rete.

Questo controller di dominio verrà definito controller di dominio di ripristino. Se non esiste un catalogo globale di questo tipo, andare al passaggio 2.
Decidere se le aggiunte, le eliminazioni e le modifiche apportate agli account utente, agli account computer e ai gruppi di sicurezza devono essere temporaneamente interrotte fino al completamento di tutti i passaggi di ripristino.

Per mantenere il percorso di ripristino più flessibile, interrompere temporaneamente l'apportare modifiche agli elementi seguenti. Le modifiche includono la reimpostazione della password da parte degli utenti del dominio, degli amministratori dell'help desk e degli amministratori nel dominio in cui si è verificata l'eliminazione, oltre alle modifiche di appartenenza ai gruppi nei gruppi di utenti eliminati. Prendere in considerazione l'interruzione di aggiunte, eliminazioni e modifiche agli elementi seguenti:
1. Account utente e attributi per gli account utente
2. Account e attributi del computer in account computer
3. Account di assistenza.
4. Gruppi di sicurezza
È consigliabile interrompere l'esecuzione di modifiche ai gruppi di sicurezza nella foresta se tutte le istruzioni seguenti sono vere:
- Si usa il metodo 2 per ripristinare in modo autorevole gli utenti eliminati o gli account computer in base al percorso del nome di dominio (dn).
- L'eliminazione è stata replicata in tutti i controller di dominio nella foresta, ad eccezione del controller di dominio di ripristino latente.
- Non si sta eseguendo il ripristino dell'autenticazione dei gruppi di sicurezza o dei relativi contenitori padre.
Se si esegue il ripristino dell'autenticazione di gruppi di sicurezza o contenitori di unità organizzativa che ospitano gruppi di sicurezza o account utente, arrestare temporaneamente tutte queste modifiche.

Notificare agli amministratori e agli amministratori dell'help desk nei domini appropriati oltre agli utenti di dominio nel dominio in cui si è verificata l'eliminazione di queste modifiche.
Creare un nuovo backup dello stato del sistema nel dominio in cui si è verificata l'eliminazione. È possibile usare questo backup se è necessario eseguire il rollback delle modifiche.

Nota

Se i backup dello stato del sistema sono correnti fino al punto dell'eliminazione, ignorare questo passaggio e passare al passaggio 4.

Se nel passaggio 1 è stato identificato un controller di dominio di ripristino, eseguire il backup dello stato del sistema.

Se tutti i cataloghi globali che si trovano nel dominio in cui si è verificata l'eliminazione sono stati replicati nell'eliminazione, eseguire il backup dello stato di sistema di un catalogo globale nel dominio in cui si è verificata l'eliminazione.

Quando si crea un backup, è possibile ripristinare lo stato corrente del controller di dominio di ripristino. Ed eseguire di nuovo il piano di ripristino se il primo tentativo non riesce.
Se non è possibile trovare un controller di dominio del catalogo globale latente nel dominio in cui si è verificata l'eliminazione dell'utente, trovare il backup dello stato di sistema più recente di un controller di dominio del catalogo globale in tale dominio. Questo backup dello stato del sistema deve contenere gli oggetti eliminati. Usare questo controller di dominio come controller di dominio di ripristino.

Solo i restauri dei controller di dominio del catalogo globale nel dominio dell'utente contengono informazioni sull'appartenenza a gruppi globali e universali per i gruppi di sicurezza che risiedono in domini esterni. Se non è presente alcun backup dello stato del sistema di un controller di dominio del catalogo globale nel dominio in cui sono stati eliminati gli utenti, non è possibile usare l'attributo memberOf sugli account utente ripristinati per determinare l'appartenenza a gruppi globali o universali o per ripristinare l'appartenenza a domini esterni. Inoltre, è consigliabile trovare il backup dello stato di sistema più recente di un controller di dominio del catalogo non globale.
Se si conosce la password per l'account amministratore offline, avviare il controller di dominio di ripristino in modalità Disrepair. Se non si conosce la password per l'account amministratore offline, reimpostare la password mentre il controller di dominio di ripristino è ancora in modalità Active Directory normale.

È possibile usare lo strumento da riga di comando setpwd per reimpostare la password nei controller di dominio che eseguono Windows 2000 Service Pack 2 (SP2) e versioni successive mentre sono in modalità Active Directory online.

Nota

Microsoft non supporta più Windows 2000.

Gli amministratori dei controller di dominio di Windows Server 2003 e versioni successive possono usare il set dsrm password comando nello strumento da riga di comando Ntdsutil per reimpostare la password per l'account amministratore offline.

Per altre informazioni su come reimpostare l'account amministratore della modalità di ripristino di Servizi directory, vedere Come reimpostare la password dell'account amministratore della modalità di ripristino di Servizi directory in Windows Server.
Premere F8 durante il processo di avvio per avviare il controller di dominio di ripristino in modalità Disrepair. Accedere alla console del controller di dominio di ripristino con l'account amministratore offline. Se si reimposta la password nel passaggio 5, usare la nuova password.

Se il controller di dominio di ripristino è un controller di dominio del catalogo globale latente, non ripristinare lo stato del sistema. Andare al passaggio 7.

Se si crea il controller di dominio di ripristino usando un backup dello stato del sistema, ripristinare il backup dello stato del sistema più recente eseguito nel controller di dominio di ripristino.
Ripristinare l'autenticazione degli account utente eliminati, degli account computer eliminati o dei gruppi di sicurezza eliminati.

Nota

I termini ripristino dell'autenticazione e ripristino autorevole fanno riferimento al processo di utilizzo del comando di ripristino autorevole nello strumento da riga di comando Ntdsutil per incrementare i numeri di versione di oggetti specifici o di contenitori specifici e tutti i relativi oggetti subordinati. Non appena si verifica la replica end-to-end, gli oggetti di destinazione nella copia locale di Active Directory del controller di dominio di ripristino diventano autorevoli in tutti i controller di dominio che condividono tale partizione. Un ripristino autorevole è diverso da un ripristino dello stato del sistema. Un ripristino dello stato del sistema popola la copia locale di Active Directory del controller di dominio ripristinato con le versioni degli oggetti al momento in cui è stato eseguito il backup dello stato del sistema.

I restauri autorevoli vengono eseguiti con lo strumento da riga di comando Ntdsutil e fanno riferimento al percorso del nome di dominio (dn) degli utenti eliminati o dei contenitori che ospitano gli utenti eliminati.

Quando si esegue il ripristino dell'autenticazione, usare i percorsi del nome di dominio (dn) contenuti nell'albero di dominio come devono essere. Lo scopo è evitare di ripristinare gli oggetti non correlati all'eliminazione. Questi oggetti possono includere oggetti che sono stati modificati dopo il backup dello stato del sistema.

Ripristinare l'autenticazione degli utenti eliminati nell'ordine seguente:
1. Ripristinare il percorso del nome di dominio (dn) per ogni account utente, account computer o gruppo di sicurezza eliminato.
  
  I restauri autorevoli di oggetti specifici richiedono più tempo, ma sono meno distruttivi dei restauri autorevoli di un intero sottoalbero. Ripristinare l'autenticazione il contenitore padre comune più basso che contiene gli oggetti eliminati.
  
  Ntdsutil usa la sintassi seguente:
```
ntdsutil "authoritative restore" "restore object <object DN path>" q q
```
  Ad esempio, per ripristinare in modo autorevole l'utente eliminato John Doe nell'unità organizzativa Mayberry del Contoso.com dominio, usare il comando seguente:
```
ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
```
  Per ripristinare in modo autorevole il gruppo di sicurezza eliminato ContosoPrintAccess nell'unità organizzativa Mayberry del Contoso.com dominio, usare il comando seguente:
```
ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
```
  Importante
  
  L'uso delle virgolette è obbligatorio.
  
  Nota
  
  Questa sintassi è disponibile solo in Windows Server 2003 e versioni successive. L'unica sintassi in Windows 2000 consiste nell'usare quanto segue:
```
ntdsutil "authoritative restore" "restore subtree object DN path"
```
  Nota
  
  L'operazione di ripristino autorevole Ntdsutil non riesce se il percorso del nome distinto (DN) contiene caratteri estesi o spazi. Affinché il ripristino con script abbia esito positivo, il restore object <DN path> comando deve essere passato come una stringa completa.
  
  Per risolvere questo problema, eseguire il wrapping del DN che contiene caratteri estesi e spazi con sequenze di escape barra rovesciata-virgolette doppie. Ecco un esempio:
```
ntdsutil "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\"" q q
```
  Nota
  
  Il comando deve essere modificato ulteriormente se il DN degli oggetti da ripristinare contiene virgole. Ad esempio:
```
ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\"" q q
```
  Nota
  
  Se gli oggetti sono stati ripristinati da nastro, contrassegnati come autorevoli e il ripristino non ha funzionato come previsto e quindi lo stesso nastro viene usato per ripristinare di nuovo il database NTDS, la versione USN degli oggetti da ripristinare in modo autorevole deve essere maggiore del valore predefinito di 100000 o gli oggetti non verranno replicati dopo il secondo ripristino. La sintassi seguente è necessaria per creare script con un numero di versione maggiore di 100000 (impostazione predefinita):
```
ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
```
  Nota
  
  Se lo script richiede la conferma per ogni oggetto da ripristinare, è possibile disattivare le richieste. La sintassi per disattivare la richiesta è:
```
ntdsutil "popups off" "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
```
2. Ripristinare solo l'unità organizzativa o i contenitori di Common-Name (CN) che ospitano gli account utente o i gruppi eliminati.
  
  I restauri autorevoli di un intero sottoalbero sono validi quando l'unità organizzativa di destinazione del comando di ripristino autorevole ntdsutil contiene la maggior parte degli oggetti che si sta tentando di ripristinare in modo autorevole. Idealmente, l'unità organizzativa di destinazione contiene tutti gli oggetti che si sta tentando di ripristinare in modo autorevole.
  
  Un ripristino autorevole in un sottoalbero di unità organizzativa ripristina tutti gli attributi e gli oggetti che risiedono nel contenitore. Tutte le modifiche apportate fino al ripristino di un backup dello stato del sistema vengono ripristinate ai relativi valori al momento del backup. Con gli account utente, gli account computer e i gruppi di sicurezza, questo rollback può comportare la perdita delle modifiche più recenti apportate alle password, alla home directory, al percorso del profilo, alla posizione e alle informazioni di contatto, all'appartenenza ai gruppi e ai descrittori di sicurezza definiti in tali oggetti e attributi.
  
  Ntdsutil usa la sintassi seguente:
```
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
```
  Ad esempio, per ripristinare in modo autorevole l'unità organizzativa Mayberry del Contoso.com dominio, usare il comando seguente:
```
ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
```
  Nota
  
  Ripetere questo passaggio per ogni unità organizzativa peer che ospita utenti o gruppi eliminati.
  
  Importante
  
  Quando si ripristina un oggetto subordinato di un'unità organizzativa, tutti i contenitori padre eliminati degli oggetti subordinati eliminati devono essere ripristinati in modo esplicito.
Se gli oggetti eliminati sono stati ripristinati nel controller di dominio di ripristino a causa di un ripristino dello stato del sistema, rimuovere tutti i cavi di rete che forniscono connettività di rete a tutti gli altri controller di dominio nella foresta.
Riavviare il controller di dominio di ripristino in modalità Active Directory normale.
Digitare il comando seguente per disabilitare la replica in ingresso nel controller di dominio di ripristino:
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
Abilitare nuovamente la connettività di rete al controller di dominio di ripristino il cui stato di sistema è stato ripristinato.
Replicare in uscita gli oggetti ripristinati con autenticazione dal controller di dominio di ripristino ai controller di dominio nel dominio e nella foresta.

Mentre la replica in ingresso nel controller di dominio di ripristino rimane disabilitata, digitare il comando seguente per eseguire il push degli oggetti ripristinati con autenticazione a tutti i controller di dominio di replica tra siti nel dominio e in tutti i cataloghi globali nella foresta:
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Se tutte le istruzioni seguenti sono vere, i collegamenti di appartenenza ai gruppi vengono ricompilati con il ripristino e la replica degli account utente eliminati. Andare al passaggio 14.

Nota

Se una o più delle istruzioni seguenti non sono vere, andare al passaggio 12.
- La foresta è in esecuzione a livello di funzionalità della foresta di Windows Server 2003 e versioni successive o a livello di funzionalità della foresta provvisoria di Windows Server 2003 e versioni successive.
- Sono stati eliminati solo account utente o account computer e non gruppi di sicurezza.
- Gli utenti eliminati sono stati aggiunti ai gruppi di sicurezza in tutti i domini della foresta dopo la transizione della foresta al livello funzionale della foresta di Windows Server 2003 e versioni successive.
Determinare di quali gruppi di sicurezza erano membri gli utenti eliminati e quindi aggiungerli a tali gruppi.

Nota

Prima di poter aggiungere utenti ai gruppi, gli utenti che sono stati ripristinati nel passaggio 7 e che sono stati replicati in uscita nel passaggio 11 devono essere stati replicati nei controller di dominio nel dominio del controller di dominio a cui si fa riferimento e in tutti i controller di dominio del catalogo globale nella foresta.

Se è stata distribuita un'utilità di provisioning dei gruppi per ripopolare l'appartenenza ai gruppi di sicurezza, usare tale utilità per ripristinare gli utenti eliminati nei gruppi di sicurezza di cui erano membri prima dell'eliminazione. Eseguire questa operazione dopo che tutti i controller di dominio diretti e transitivi nel dominio della foresta e nei server di catalogo globale hanno replicato in ingresso gli utenti ripristinati con autenticazione e tutti i contenitori ripristinati.

Se non si dispone dell'utilità, gli strumenti da Ldifde.exe riga di comando e Groupadd.exe possono automatizzare questa attività quando vengono eseguiti nel controller di dominio di ripristino. Questi strumenti sono disponibili nel Servizio Supporto Tecnico Clienti Microsoft. In questo scenario, Ldifde.exe crea un file di informazioni LDIF (LDAP Data Interchange Format) contenente i nomi degli account utente e dei relativi gruppi di sicurezza. Viene avviato in corrispondenza di un contenitore di unità organizzative specificato dall'amministratore. Groupadd.exe legge quindi l'attributo memberOf per ogni account utente elencato nel file con estensione ldf. Genera quindi informazioni LDIF separate e univoche per ogni dominio nella foresta. Queste informazioni LDIF contengono i nomi dei gruppi di sicurezza associati agli utenti eliminati. Usare le informazioni LDIF per aggiungere nuovamente le informazioni agli utenti in modo che le appartenenze ai gruppi possano essere ripristinate. Seguire questa procedura per questa fase del ripristino:
1. Accedere alla console del controller di dominio di ripristino usando un account utente membro del gruppo di sicurezza dell'amministratore di dominio.
2. Usare il comando Ldifde per eseguire il dump dei nomi degli account utente precedentemente eliminati e dei relativi memberOf attributi, a partire dal contenitore ou più in alto in cui si è verificata l'eliminazione. Il comando Ldifde usa la sintassi seguente:
```
ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=user)" -l memberof -p subtree -f user_membership_after_restore.ldf
```
  Usare la sintassi seguente se gli account computer eliminati sono stati aggiunti ai gruppi di sicurezza:
```
ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=computer)" -l memberof -p subtree -f computer_membership_after_restore.ldf
```
3. Eseguire il Groupadd comando per compilare altri file con estensione ldf che contengono i nomi dei domini e i nomi dei gruppi di sicurezza globali e universali di cui gli utenti eliminati erano membri. Il Groupadd comando usa la sintassi seguente:
```
Groupadd / after_restore users_membership_after_restore.ldf
```
  Ripetere questo comando se gli account computer eliminati sono stati aggiunti ai gruppi di sicurezza.
4. Importare ogni Groupaddfile _fully.qualified.domain.name.ldf creato nel passaggio 12c in un singolo controller di dominio del catalogo globale corrispondente al file con estensione ldf di ogni dominio. Usare la sintassi Ldifde seguente:
```
Ldifde -i -k -f Groupadd_<fully.qualified.domain.name>.ldf
```
  Eseguire il file con estensione ldf per il dominio da cui sono stati eliminati gli utenti in qualsiasi controller di dominio, ad eccezione del controller di dominio di ripristino.
5. Nella console di ogni controller di dominio usato per importare il file Groupadd_<fully.qualified.domain.name.ldf> per un determinato dominio, replicare in uscita le aggiunte di appartenenza al gruppo agli altri controller di dominio nel dominio e ai controller di dominio del catalogo globale nella foresta. A tale scopo, usare il comando seguente:
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Per disabilitare la replica in uscita, digitare il testo seguente e quindi premere INVIO:
```
repadmin /options +DISABLE_OUTBOUND_REPL
```
Nota

Per riabilitare la replica in uscita, digitare il testo seguente e quindi premere INVIO:
```
repadmin /options -DISABLE_OUTBOUND_REPL
```
Se gli utenti eliminati sono stati aggiunti ai gruppi locali in domini esterni, eseguire una delle azioni seguenti:
- Aggiungere manualmente gli utenti eliminati a tali gruppi.
- Ripristinare lo stato del sistema e ripristinare l'autenticazione di ogni gruppo di sicurezza locale che contiene gli utenti eliminati.
Verificare l'appartenenza al gruppo nel dominio del controller di dominio di ripristino e nei cataloghi globali in altri domini.
Eseguire un nuovo backup dello stato del sistema dei controller di dominio nel dominio del controller di dominio di ripristino.
Notificare a tutti gli amministratori della foresta, agli amministratori delegati, agli amministratori dell'help desk nella foresta e agli utenti del dominio che il ripristino dell'utente è stato completato.

Gli amministratori dell'help desk potrebbero dover reimpostare le password degli account utente ripristinati con autenticazione e degli account computer la cui password di dominio è stata modificata dopo il ripristino del sistema.

Gli utenti che hanno modificato le password dopo il backup dello stato del sistema scopriranno che la password più recente non funziona più. Fare in modo che tali utenti tentino di accedere usando le password precedenti, se le conoscono. In caso contrario, gli amministratori dell'help desk devono reimpostare la password e selezionare la casella di controllo per modificare la password all'accesso successivo . Eseguire questa operazione preferibilmente in un controller di dominio nello stesso sito di Active Directory in cui si trova l'utente.

Metodo 3: ripristinare in modo autorevole gli utenti eliminati e i gruppi di sicurezza degli utenti eliminati due volte

Quando si usa questo metodo, si eseguono i passaggi generali seguenti:

Controllare se un catalogo globale nel dominio dell'utente non è stato replicato nell'eliminazione. E quindi impedire a tale controller di dominio di eseguire la replica in ingresso dell'eliminazione. Se non è presente alcun catalogo globale latente, individuare il backup dello stato del sistema più recente di un controller di dominio del catalogo globale nel dominio principale dell'utente eliminato.
Ripristinare in modo autorevole tutti gli account utente eliminati e tutti i gruppi di sicurezza nel dominio dell'utente eliminato.
Attendere la replica end-to-end degli utenti ripristinati e dei gruppi di sicurezza in tutti i controller di dominio nel dominio dell'utente eliminato e nei controller di dominio del catalogo globale della foresta.
Ripetere i passaggi 2 e 3 per ripristinare in modo autorevole utenti e gruppi di sicurezza eliminati. Si ripristina lo stato del sistema una sola volta.
Se gli utenti eliminati erano membri di gruppi di sicurezza in altri domini, ripristinare in modo autorevole tutti i gruppi di sicurezza di cui gli utenti eliminati erano membri in tali domini. In alternativa, se i backup dello stato del sistema sono correnti, ripristinare in modo autorevole tutti i gruppi di sicurezza in tali domini. Per soddisfare il requisito che i membri del gruppo eliminati devono essere ripristinati prima dei gruppi di sicurezza per correggere i collegamenti di appartenenza ai gruppi, è necessario ripristinare entrambi i tipi di oggetto due volte in questo metodo. Il primo ripristino mette in atto tutti gli account utente e di gruppo. Il secondo ripristino ripristina i gruppi eliminati e ripristina le informazioni sull'appartenenza ai gruppi, incluse le informazioni sull'appartenenza per i gruppi annidati.

Per usare il metodo 3, seguire questa procedura:

Controllare se un controller di dominio del catalogo globale esiste nel dominio principale degli utenti eliminati e non è stato replicato in alcuna parte dell'eliminazione.

Nota

Concentrarsi sui cataloghi globali nel dominio con le pianificazioni di replica meno frequenti. Se questi controller di dominio esistono, usare lo strumento da riga di comando Repadmin.exe per disabilitare immediatamente la replica in ingresso. Per effettuare questa operazione, seguire questi passaggi:
1. Fare clic su Start, quindi scegliere Esegui.
2. Digitare cmd nella casella Apri e quindi selezionare OK.
3. Digitare repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL al prompt dei comandi e quindi premere INVIO.
Nota

Se non è possibile eseguire immediatamente il comando Repadmin, rimuovere tutta la connettività di rete dal controller di dominio fino a quando non è possibile usare Repadmin per disabilitare la replica in ingresso e quindi restituire immediatamente la connettività di rete.

Questo controller di dominio verrà definito controller di dominio di ripristino.
Evitare di apportare aggiunte, eliminazioni e modifiche agli elementi seguenti fino al completamento di tutti i passaggi di ripristino. Le modifiche includono la reimpostazione della password da parte degli utenti del dominio, degli amministratori dell'help desk e degli amministratori nel dominio in cui si è verificata l'eliminazione, oltre alle modifiche di appartenenza ai gruppi nei gruppi di utenti eliminati.
1. Account utente e attributi per gli account utente
2. Account e attributi del computer in account computer
3. Account di assistenza.
4. Gruppi di sicurezza
  
  Nota
  
  In particolare, evitare modifiche all'appartenenza ai gruppi per utenti, computer, gruppi e account del servizio nella foresta in cui si è verificata l'eliminazione.
5. Notificare il supporto temporaneo a tutti gli amministratori della foresta, agli amministratori delegati e agli amministratori dell'help desk nella foresta. Questo stand-down è necessario nel metodo 2 perché si sta ripristinando in modo autorevole tutti i gruppi di sicurezza degli utenti eliminati. Pertanto, tutte le modifiche apportate ai gruppi dopo la data del backup dello stato del sistema vanno perse.
Creare un nuovo backup dello stato del sistema nel dominio in cui si è verificata l'eliminazione. È possibile usare questo backup se è necessario eseguire il rollback delle modifiche.

Nota

Se i backup dello stato del sistema sono correnti fino al momento in cui si è verificata l'eliminazione, ignorare questo passaggio e passare al passaggio 4.

Se nel passaggio 1 è stato identificato un controller di dominio di ripristino, eseguire il backup dello stato del sistema.

Se tutti i cataloghi globali che si trovano nel dominio in cui si è verificata l'eliminazione hanno replicato l'eliminazione, eseguire il backup dello stato di sistema di un catalogo globale nel dominio in cui si è verificata l'eliminazione.

Quando si crea un backup, è possibile ripristinare lo stato corrente del controller di dominio di ripristino. Ed eseguire di nuovo il piano di ripristino se il primo tentativo non riesce.
Se non è possibile trovare un controller di dominio del catalogo globale latente nel dominio in cui si è verificata l'eliminazione dell'utente, trovare il backup dello stato di sistema più recente di un controller di dominio del catalogo globale in tale dominio. Questo backup dello stato del sistema deve contenere gli oggetti eliminati. Usare questo controller di dominio come controller di dominio di ripristino.

Solo i database dei controller di dominio del catalogo globale nel dominio dell'utente contengono informazioni sull'appartenenza ai gruppi per i domini esterni nella foresta. Se non è presente alcun backup dello stato del sistema di un controller di dominio del catalogo globale nel dominio in cui sono stati eliminati gli utenti, non è possibile usare l'attributo memberOf sugli account utente ripristinati per determinare l'appartenenza a gruppi globali o universali o per ripristinare l'appartenenza a domini esterni. Procedere con il passaggio successivo. Se è presente un record esterno di appartenenza a gruppi in domini esterni, aggiungere gli utenti ripristinati ai gruppi di sicurezza in tali domini dopo il ripristino degli account utente.
Se si conosce la password per l'account amministratore offline, avviare il controller di dominio di ripristino in modalità Disrepair. Se non si conosce la password per l'account amministratore offline, reimpostare la password mentre il controller di dominio di ripristino è ancora in modalità Active Directory normale.

È possibile usare lo strumento da riga di comando setpwd per reimpostare la password nei controller di dominio che eseguono Windows 2000 SP2 e versioni successive mentre sono in modalità Active Directory online.

Nota

Microsoft non supporta più Windows 2000.

Gli amministratori dei controller di dominio di Windows Server 2003 e versioni successive possono usare il set dsrm password comando nello strumento da riga di comando Ntdsutil per reimpostare la password per l'account amministratore offline.

Per altre informazioni su come reimpostare l'account amministratore della modalità di ripristino di Servizi directory, vedere Come reimpostare la password dell'account amministratore della modalità di ripristino di Servizi directory in Windows Server.
Premere F8 durante il processo di avvio per avviare il controller di dominio di ripristino in modalità Disrepair. Accedere alla console del controller di dominio di ripristino con l'account amministratore offline. Se si reimposta la password nel passaggio 5, usare la nuova password.

Se il controller di dominio di ripristino è un controller di dominio del catalogo globale latente, non ripristinare lo stato del sistema. Passare direttamente al passaggio 7.

Se si crea il controller di dominio di ripristino usando un backup dello stato del sistema, ripristinare il backup dello stato del sistema più recente eseguito nel controller di dominio di ripristino che contiene ora gli oggetti eliminati.
Ripristinare l'autenticazione degli account utente eliminati, degli account computer eliminati o dei gruppi di sicurezza eliminati.

Nota

I termini ripristino dell'autenticazione e ripristino autorevole fanno riferimento al processo di utilizzo del comando di ripristino autorevole nello strumento da riga di comando Ntdsutil per incrementare i numeri di versione di oggetti specifici o di contenitori specifici e tutti i relativi oggetti subordinati. Non appena si verifica la replica end-to-end, gli oggetti di destinazione nella copia locale di Active Directory del controller di dominio di ripristino diventano autorevoli in tutti i controller di dominio che condividono tale partizione. Un ripristino autorevole è diverso da un ripristino dello stato del sistema. Un ripristino dello stato del sistema popola la copia locale di Active Directory del controller di dominio ripristinato con le versioni degli oggetti al momento in cui è stato eseguito il backup dello stato del sistema.

I restauri autorevoli vengono eseguiti con lo strumento da riga di comando Ntdsutil facendo riferimento al percorso del nome di dominio (dn) degli utenti eliminati o dei contenitori che ospitano gli utenti eliminati.

Quando si esegue il ripristino dell'autenticazione, usare i percorsi dei nomi di dominio contenuti nell'albero di dominio come devono essere. Lo scopo è evitare di ripristinare gli oggetti non correlati all'eliminazione. Questi oggetti possono includere oggetti che sono stati modificati dopo il backup dello stato del sistema.

Ripristinare l'autenticazione degli utenti eliminati nell'ordine seguente:
1. Ripristinare il percorso del nome di dominio (dn) per ogni account utente eliminato, account computer o gruppo di sicurezza eliminato.
  
  I restauri autorevoli di oggetti specifici richiedono più tempo, ma sono meno distruttivi dei restauri autorevoli di un intero sottoalbero. Ripristinare l'autenticazione il contenitore padre comune più basso che contiene gli oggetti eliminati.
  
  Ntdsutil usa la sintassi seguente:
```
ntdsutil "authoritative restore" "restore object <object DN path>" q q
```
  Ad esempio, per ripristinare in modo autorevole l'utente eliminato John Doe nell'unità organizzativa Mayberry del Contoso.com dominio, usare il comando seguente:
```
ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
```
  Per ripristinare in modo autorevole il gruppo di sicurezza eliminato ContosoPrintAccess nell'unità organizzativa Mayberry del Contoso.com dominio, usare il comando seguente:
```
ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
```
  Importante
  
  L'uso delle virgolette è obbligatorio.
  
  Usando questo formato Ntdsutil, è anche possibile automatizzare il ripristino autorevole di molti oggetti in un file batch o in uno script.
  
  Nota
  
  Questa sintassi è disponibile solo in Windows Server 2003 e versioni successive. L'unica sintassi in Windows 2000 consiste nell'usare: ntdsutil "authoritative restore" "restore subtree object DN path".
2. Ripristinare solo l'unità organizzativa o i contenitori di Common-Name (CN) che ospitano gli account utente o i gruppi eliminati.
  
  I restauri autorevoli di un intero sottoalbero sono validi quando l'unità organizzativa di destinazione del comando di ripristino autorevole Ntdsutil contiene la maggior parte degli oggetti che si sta tentando di ripristinare in modo autorevole. Idealmente, l'unità organizzativa di destinazione contiene tutti gli oggetti che si sta tentando di ripristinare in modo autorevole.
  
  Un ripristino autorevole in un sottoalbero di unità organizzativa ripristina tutti gli attributi e gli oggetti che risiedono nel contenitore. Tutte le modifiche apportate fino al ripristino di un backup dello stato del sistema vengono ripristinate ai relativi valori al momento del backup. Con gli account utente, gli account computer e i gruppi di sicurezza, questo rollback può comportare la perdita delle modifiche più recenti apportate alle password, alla home directory, al percorso del profilo, alla posizione e alle informazioni di contatto, all'appartenenza ai gruppi e ai descrittori di sicurezza definiti in tali oggetti e attributi.
  
  Ntdsutil usa la sintassi seguente:
```
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
```
  Ad esempio, per ripristinare in modo autorevole l'unità organizzativa Mayberry del Contoso.com dominio, usare il comando seguente:
```
ntdsutil "authoritative restore" "restore subtree ou=Mayberry,dc=contoso,dc=com" q q
```
  Nota
  
  Ripetere questo passaggio per ogni unità organizzativa peer che ospita utenti o gruppi eliminati.
  
  Importante
  
  Quando si ripristina un oggetto subordinato di un'unità organizzativa, tutti i contenitori padre degli oggetti subordinati eliminati devono essere ripristinati in modo esplicito.
Riavviare il controller di dominio di ripristino in modalità Active Directory normale.
Replicare in uscita gli oggetti ripristinati in modo autorevole dal controller di dominio di ripristino ai controller di dominio nel dominio e nella foresta.

Mentre la replica in ingresso nel controller di dominio di ripristino rimane disabilitata, digitare il comando seguente per eseguire il push degli oggetti ripristinati in modo autorevole in tutti i controller di dominio di replica tra siti nel dominio e nei cataloghi globali nella foresta:
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Dopo che tutti i controller di dominio diretti e transitivi nel dominio della foresta e nei server di catalogo globale sono stati replicati negli utenti ripristinati in modo autorevole e in tutti i contenitori ripristinati, andare al passaggio 11.

Se tutte le istruzioni seguenti sono vere, i collegamenti di appartenenza ai gruppi vengono ricompilati con il ripristino degli account utente eliminati. Andare al passaggio 13.
- La foresta è in esecuzione a livello di funzionalità della foresta di Windows Server 2003 e versioni successive oppure a livello di funzionalità della foresta provvisoria di Windows Server 2003 e versioni successive.
- Solo i gruppi di sicurezza non sono stati eliminati.
- Tutti gli utenti eliminati sono stati aggiunti a tutti i gruppi di sicurezza in tutti i domini della foresta.
Provare a usare il Repadmin comando per accelerare la replica in uscita degli utenti dal controller di dominio ripristinato.

Se sono stati eliminati anche i gruppi o se non è possibile garantire che tutti gli utenti eliminati siano stati aggiunti a tutti i gruppi di sicurezza dopo la transizione a Windows Server 2003 e al livello funzionale provvisorio o foresta successivo, passare al passaggio 12.
Ripetere i passaggi 7, 8 e 9 senza ripristinare lo stato del sistema e quindi andare al passaggio 11.
Se gli utenti eliminati sono stati aggiunti ai gruppi locali in domini esterni, eseguire una delle azioni seguenti:
- Aggiungere manualmente gli utenti eliminati a tali gruppi.
- Ripristinare lo stato del sistema e ripristinare l'autenticazione di ogni gruppo di sicurezza locale che contiene gli utenti eliminati.
Verificare l'appartenenza al gruppo nel dominio del controller di dominio di ripristino e nei cataloghi globali in altri domini.
Usare il comando seguente per abilitare la replica in ingresso nel controller di dominio di ripristino:
```
repadmin /options recovery dc name -DISABLE_INBOUND_REPL
```
Eseguire un nuovo backup dello stato del sistema dei controller di dominio nel dominio del controller di dominio di ripristino e nei cataloghi globali in altri domini della foresta.
Notificare a tutti gli amministratori della foresta, agli amministratori delegati, agli amministratori dell'help desk nella foresta e agli utenti del dominio che il ripristino dell'utente è stato completato.

Gli amministratori dell'help desk potrebbero dover reimpostare le password degli account utente ripristinati dall'autenticazione e degli account computer la cui password di dominio è stata modificata dopo il ripristino del sistema.

Gli utenti che hanno modificato le password dopo il backup dello stato del sistema scopriranno che la password più recente non funziona più. Fare in modo che tali utenti tentino di accedere usando le password precedenti, se le conoscono. In caso contrario, gli amministratori dell'help desk devono reimpostare la password con l'utente deve modificare la password al successivo accesso casella di controllo selezionata. Eseguire questa operazione preferibilmente in un controller di dominio nello stesso sito di Active Directory in cui si trova l'utente.

Come ripristinare gli utenti eliminati in un controller di dominio quando non si dispone di un backup dello stato del sistema valido

Se non sono presenti backup correnti dello stato del sistema in un dominio in cui sono stati eliminati account utente o gruppi di sicurezza e l'eliminazione si è verificata in domini che contengono controller di dominio Windows Server 2003 e versioni successive, seguire questa procedura per rianimare manualmente gli oggetti eliminati dal contenitore di oggetti eliminati:

Seguire la procedura descritta nella sezione seguente per rianimare utenti, computer, gruppi o tutti gli utenti eliminati:
Come annullare manualmente l'eliminazione di oggetti in un contenitore di oggetti eliminati
Usare Utenti e computer di Active Directory per modificare l'account da disabilitato a abilitato. L'account viene visualizzato nell'unità organizzativa originale.
Usare le funzionalità di reimpostazione bulk in Windows Server 2003 e versione successiva di Utenti e computer di Active Directory per eseguire reimpostazioni bulk sulla password devono cambiare all'impostazione dei criteri di accesso successivo, nella home directory, nel percorso del profilo e nell'appartenenza al gruppo per l'account eliminato in base alle esigenze. È anche possibile usare un equivalente a livello di codice di queste funzionalità.
Se è stato usato Microsoft Exchange 2000 o versione successiva, ripristinare la cassetta postale di Exchange per l'utente eliminato.
Se è stato usato Exchange 2000 o versione successiva, riassociare l'utente eliminato con la cassetta postale di Exchange.
Verificare che l'utente ripristinato possa accedere e accedere alle directory locali, alle directory condivise e ai file.

È possibile automatizzare alcuni o tutti questi passaggi di ripristino usando i metodi seguenti:

Scrivere uno script che automatizza i passaggi di ripristino manuale elencati nel passaggio 1. Quando si scrive uno script di questo tipo, è consigliabile definire l'ambito dell'oggetto eliminato in base alla data, all'ora e all'ultimo contenitore padre noto e quindi automatizzare la rianimazione dell'oggetto eliminato. Per automatizzare l'animazione, modificare l'attributo isDeleted da TRUE a FALSE e impostare il nome distinto relativo sul valore definito nell'attributo lastKnownParent o in un nuovo contenitore OU o nome comune (CN) specificato dall'amministratore. Il nome distinto relativo è noto anche come RDN.
Ottenere un programma non Microsoft che supporta la rianimazione degli oggetti eliminati nei controller di dominio di Windows Server 2003 e versioni successive. Una di queste utilità è AdRestore. AdRestore usa le primitive di Windows Server 2003 e versioni successive per annullare l'eliminazione di oggetti singolarmente. Aelita Software Corporation e Commvault Systems offrono anche prodotti che supportano la funzionalità di annullamento dell'eliminazione nei controller di dominio basati su Windows Server 2003 e versioni successive.

Per ottenere AdRestore, vedere AdRestore v1.1.

Microsoft fornisce informazioni di contatto di terze parti allo scopo di facilitare l'individuazione del supporto tecnico. Queste informazioni di contatto sono soggette a modifica senza preavviso. Microsoft non garantisce l'accuratezza di queste informazioni di contatto di terze parti.

Come annullare manualmente l'eliminazione di oggetti nel contenitore di un oggetto eliminato

Per annullare manualmente l'eliminazione di oggetti nel contenitore di un oggetto eliminato, seguire questa procedura:

Selezionare Start, selezionare Esegui e quindi digitare ldp.exe.

ldp.exe è disponibile:
- Nei computer in cui è stato installato il ruolo Controller di dominio.
- Nei computer in cui è stato installato Remote Server Administration Tools (RSAT).
Usare il menu Connessione in Ldp per eseguire le operazioni di connessione e le operazioni di associazione a un controller di dominio Windows Server 2003 e versioni successive.

Specificare le credenziali di amministratore di dominio durante l'operazione di associazione.
Nel menu Opzioni selezionare Controlli.
Nell'elenco Carica predefinito selezionare Restituisci oggetti eliminati.

Nota

Il controllo 1.2.840.113556.1.4.417 passa alla finestra Controlli attivi .
In Tipo di controllo selezionare Server e selezionare OK.
Nel menu Visualizza selezionare Albero, digitare il percorso del nome distinto del contenitore di oggetti eliminati nel dominio in cui si è verificata l'eliminazione e quindi selezionare OK.

Nota

Il percorso del nome distinto è noto anche come percorso DN. Ad esempio, se l'eliminazione si è verificata nel contoso.com dominio, il percorso DN sarà il percorso seguente:
cn=deleted Objects,dc=contoso,dc=com
Nel riquadro sinistro della finestra fare doppio clic sul contenitore di oggetti eliminati.

Nota

Come risultato della ricerca della query Idap, solo 1000 oggetti vengono restituiti per impostazione predefinita. Ad esempio, se nel contenitore Oggetti eliminati sono presenti più di 1000 oggetti, non tutti gli oggetti vengono visualizzati in questo contenitore. Se l'oggetto di destinazione non viene visualizzato, usare ntdsutil e quindi impostare il numero massimo usando maxpagesize per ottenere i risultati della ricerca.
Fare doppio clic sull'oggetto che si desidera annullare o rianimare.
Fare clic con il pulsante destro del mouse sull'oggetto da rianimare e quindi scegliere Modifica.

Modificare il valore per l'attributo isDeleted e il percorso DN in una singola operazione di modifica LDAP (Lightweight Directory Access Protocol). Per configurare la finestra di dialogo Modifica , seguire questa procedura:
1. Nella casella Modifica attributo voce digitare isDeleted. Lasciare vuota la casella Valore .
2. Selezionare il pulsante di opzione Elimina e quindi selezionare Invio per creare la prima delle due voci nella finestra di dialogo Elenco voci .
  
  Importante
  
  Non selezionare Esegui.
3. Nella casella Attributo digitare distinguishedName.
4. Nella casella Valori digitare il nuovo percorso DN dell'oggetto rianimato.
  
  Ad esempio, per rianimare l'account utente JohnDoe nell'unità organizzativa Mayberry, usare il percorso DN seguente: cn= JohnDoe,ou= Mayberry,dc= contoso,dc= com
  
  Nota
  
  Se si desidera rianimare un oggetto eliminato nel contenitore originale, aggiungere il valore dell'attributo lastKnownParent dell'oggetto eliminato al relativo valore CN e quindi incollare il percorso DN completo nella casella Valori .
5. Nella casella Operazione selezionare SOSTITUISCI.
6. Selezionare INVIO.
7. Selezionare la casella di controllo Sincrono .
8. Selezionare la casella di controllo Esteso .
9. Selezionare ESEGUI.
Dopo aver rianimato gli oggetti, selezionare Controlli dal menu Opzioni , selezionare il pulsante Estrai per rimuovere (1.2.840.113556.1.4.417) dall'elenco casella Controlli attivi .
Reimpostare le password dell'account utente, i profili, le directory home e le appartenenze ai gruppi per gli utenti eliminati.

Quando l'oggetto è stato eliminato, tutti i valori dell'attributo tranne SID, ObjectGUID, LastKnownParente SAMAccountName sono stati rimossi.
Abilitare l'account rianimato in Utenti e computer di Active Directory.

Nota

L'oggetto rianimato ha lo stesso SID primario di prima dell'eliminazione, ma l'oggetto deve essere aggiunto di nuovo agli stessi gruppi di sicurezza per avere lo stesso livello di accesso alle risorse. La prima versione di Windows Server 2003 e versioni successive non mantiene l'attributo sIDHistory per gli account utente rianimati, gli account computer e i gruppi di sicurezza. Windows Server 2003 e versioni successive con Service Pack 1 mantiene l'attributo sIDHistory sugli oggetti eliminati.
Rimuovere gli attributi di Microsoft Exchange e riconnettere l'utente alla cassetta postale di Exchange.

Nota

La rianimazione degli oggetti eliminati è supportata quando l'eliminazione viene eseguita in un controller di dominio Windows Server 2003 e versioni successive. La rianimazione degli oggetti eliminati non è supportata quando si verifica l'eliminazione in un controller di dominio Windows 2000 che viene successivamente aggiornato a Windows Server 2003 e versioni successive.

Nota

Se l'eliminazione si verifica in un controller di dominio Windows 2000 nel dominio, l'attributo lastParentOf non viene popolato nei controller di dominio Windows Server 2003 e versioni successive.

Come determinare quando e dove si è verificata un'eliminazione

Quando gli utenti vengono eliminati a causa di un'eliminazione in blocco, è possibile sapere da dove ha avuto origine l'eliminazione. A tale scopo, seguire questa procedura:

Per individuare le entità di sicurezza eliminate, seguire i passaggi da 1 a 7 nella sezione Come annullare manualmente l'eliminazione degli oggetti nel contenitore di un oggetto eliminato . Se un albero è stato eliminato, seguire questa procedura per individuare un contenitore padre dell'oggetto eliminato.
Copiare il valore dell'attributo objectGUID negli Appunti di Windows. È possibile incollare questo valore quando si immette il Repadmin comando nel passaggio 4.
Nella riga di comando eseguire il comando seguente:
```
repadmin /showmeta GUID=<objectGUID> <FQDN>
```
Ad esempio, se l'oggetto objectGUID o il contenitore eliminato è 791273b2-eba7-4285-a117-aa804ea76e95 e il nome di dominio completo (FQDN) è dc.contoso.com, eseguire il comando seguente:
```
repadmin /showmeta GUID=791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com
```
La sintassi di questo comando deve includere il GUID dell'oggetto o del contenitore eliminato e il nome di dominio completo del server da cui si vuole eseguire l'origine.

Nell'output del Repadmin comando trovare la data, l'ora e il controller di dominio di origine per l'attributo isDeleted . Ad esempio, le informazioni per l'attributo isDeleted vengono visualizzate nella quinta riga dell'output di esempio seguente:

Loc.USN	Controller di dominio di origine	Org.USN	Org.Time/Date	Ver	Attributo
134759	Default-First-Site-Name\NA-DC1	134759	DateTime	1	Objectclass
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	2	Ou
134759	Default-First-Site-Name\NA-DC1	134759	DateTime	1	Instancetype
134759	Default-First-Site-Name\NA-DC1	134759	DateTime	1	whenCreated
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	1	Isdeleted
134759	Default-First-Site-Name\NA-DC1	134759	DateTime	1	Ntsecuritydescriptor
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	2	Nome
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	1	lastKnownParent
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	2	objectCategory

Se il nome del controller di dominio di origine viene visualizzato come GUID alfanumerico a 32 caratteri, usare il comando Ping per risolvere il GUID nell'indirizzo IP e il nome del controller di dominio che ha originato l'eliminazione. Il comando Ping usa la sintassi seguente:
```
ping -a <originating DC GUID>._msdomain controllers.<fully qualified path for forest root domain>
```
Nota

L'opzione -a fa distinzione tra maiuscole e minuscole. Usare il nome di dominio completo del dominio radice della foresta indipendentemente dal dominio in cui risiede il controller di dominio di origine.

Ad esempio, se il controller di dominio di origine risiedeva in qualsiasi dominio della Contoso.com foresta e aveva un GUID 644eb7e7-1566-4f29-a778-4b487637564b, eseguire il comando seguente:
```
ping -a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com
```
L'output restituito da questo comando è simile al seguente:
```
Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:

Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
```

Come ridurre al minimo l'impatto delle eliminazioni bulk in futuro

Le chiavi per ridurre al minimo l'impatto dell'eliminazione in blocco di utenti, computer e gruppi di sicurezza sono:

Assicurarsi di disporre di backup aggiornati dello stato del sistema.
Controllare rigorosamente l'accesso agli account utente con privilegi.
Controllare strettamente le operazioni che tali account possono eseguire.
Eseguire il ripristino da eliminazioni bulk.

Le modifiche dello stato del sistema si verificano ogni giorno. Queste modifiche possono includere:

Reimpostazione della password per account utente e account computer
Modifiche all'appartenenza ai gruppi
Altre modifiche agli attributi per gli account utente, gli account computer e i gruppi di sicurezza.

Se l'hardware o il software ha esito negativo o il sito presenta un'altra emergenza, è necessario ripristinare i backup eseguiti dopo ogni set significativo di modifiche in ogni dominio e sito di Active Directory nella foresta. Se non si gestiscono i backup correnti, è possibile che si perdano dati o che sia necessario eseguire il rollback degli oggetti ripristinati.

Microsoft consiglia di eseguire i passaggi seguenti per impedire le eliminazioni bulk:

Non condividere la password per gli account amministratore predefiniti o consentire la condivisione degli account utente amministrativi comuni. Se la password per l'account amministratore predefinito è nota, modificare la password e definire un processo interno che ne scoraggia l'uso. Gli eventi di controllo per gli account utente condivisi rendono impossibile determinare l'identità dell'utente che apporta modifiche in Active Directory. Pertanto, l'uso di account utente condivisi deve essere sconsigliato.
È raro che gli account utente, gli account computer e i gruppi di sicurezza vengano eliminati intenzionalmente. È particolarmente vero per le eliminazioni di alberi. Disassociare la capacità degli amministratori del servizio e delegati di eliminare questi oggetti dalla possibilità di creare e gestire account utente, account computer, gruppi di sicurezza, contenitori di unità organizzative e i relativi attributi. Concedere solo agli account utente o ai gruppi di sicurezza con privilegi maggiori il diritto di eseguire le eliminazioni dell'albero. Questi account utente con privilegi possono includere amministratori aziendali.
Concedere agli amministratori delegati l'accesso solo alla classe dell'oggetto che tali amministratori sono autorizzati a gestire. Ad esempio, il processo principale di un amministratore dell'help desk consiste nel modificare le proprietà degli account utente. Non dispone delle autorizzazioni per creare ed eliminare account computer, gruppi di sicurezza o contenitori di unità organizzative. Questa restrizione si applica anche alle autorizzazioni di eliminazione per gli amministratori di altre classi di oggetti specifiche.
Sperimentare le impostazioni di controllo per tenere traccia delle operazioni di eliminazione in un dominio lab. Dopo aver familiarità con i risultati, applicare la soluzione migliore al dominio di produzione.
Le modifiche di controllo e controllo di accesso all'ingrosso nei contenitori che ospitano decine di migliaia di oggetti possono far crescere in modo significativo il database di Active Directory, soprattutto nei domini di Windows 2000. Usare un dominio di test che esegue il mirroring del dominio di produzione per valutare le potenziali modifiche per liberare spazio su disco. Controllare i volumi di unità disco rigido che ospitano i file Ntds.dit e i file di log dei controller di dominio nel dominio di produzione per lo spazio libero su disco. Evitare di impostare le modifiche al controllo di accesso e al controllo nell'head del controller di rete di dominio. L'applicazione di queste modifiche sarebbe inutile per tutti gli oggetti di tutte le classi in tutti i contenitori nella partizione. Ad esempio, evitare di apportare modifiche al DNS (Domain Name System) e alla registrazione del record DLT (Distributed Link Tracking) nella cartella CN=SYSTEM della partizione di dominio.
Usare la struttura di unità organizzativa delle procedure consigliate per separare gli account utente, gli account computer, i gruppi di sicurezza e gli account del servizio nella propria unità organizzativa. Quando si usa questa struttura, è possibile applicare elenchi di controllo di accesso discrezionali (DACL) agli oggetti di una singola classe per l'amministrazione delegata. E si rende possibile ripristinare gli oggetti in base alla classe di oggetti se devono essere ripristinati. La struttura delle unità organizzative di procedure consigliate è illustrata nella sezione Creazione di una progettazione di unità organizzative dell'articolo seguente:
Procedure consigliate per la progettazione di Active Directory per la gestione delle reti Windows
Testare le eliminazioni bulk in un ambiente lab che esegue il mirroring del dominio di produzione. Scegliere il metodo di ripristino appropriato per l'utente e quindi personalizzarlo per l'organizzazione. È possibile identificare:
- Nomi dei controller di dominio in ogni dominio di cui viene eseguito regolarmente il backup
- Posizione in cui vengono archiviate le immagini di backup
  Idealmente, queste immagini vengono archiviate in un disco rigido aggiuntivo locale a un catalogo globale in ogni dominio della foresta.
- Quali membri dell'organizzazione help desk contattare
- Il modo migliore per fare quel contatto
La maggior parte delle eliminazioni in blocco degli account utente, degli account computer e dei gruppi di sicurezza visualizzati da Microsoft sono accidentali. Discutere di questo scenario con il personale IT e sviluppare un piano d'azione interno. Concentrarsi sul rilevamento rapido. E restituisce la funzionalità agli utenti di dominio e all'azienda il più rapidamente possibile. È anche possibile adottare misure per evitare che si verifichino eliminazioni bulk accidentali modificando gli elenchi di controllo di accesso (ACL) delle unità organizzative.

Per altre informazioni su come usare gli strumenti dell'interfaccia di Windows per impedire eliminazioni bulk accidentali, vedere Protezione da eliminazioni bulk accidentali in Active Directory.

Strumenti e script che consentono di eseguire il ripristino da eliminazioni in blocco

L'utilità della riga di comando Groupadd.exe legge l'attributo memberOf in una raccolta di utenti in un'unità organizzativa e compila un file con estensione ldf che aggiunge ogni account utente ripristinato ai gruppi di sicurezza in ogni dominio della foresta.

Groupadd.exe individua automaticamente i domini e i gruppi di sicurezza di cui erano membri gli utenti eliminati e li aggiunge nuovamente a tali gruppi. Questo processo è illustrato in modo più dettagliato nel passaggio 11 del metodo 1.

Groupadd.exe viene eseguito in controller di dominio Windows Server 2003 e versioni successive.

Groupadd.exe usa la sintassi seguente:

groupadd / after_restore ldf_file [/ before_restore ldf_file ]

In questo caso, ldf_file rappresenta il nome del file con estensione ldf da utilizzare con l'argomento precedente, after_restore rappresenta l'origine dati del file utente e before_restore rappresenta i dati utente dell'ambiente di produzione. L'origine dati del file utente è i dati utente validi.

Per ottenere Groupadd.exe, contattare il Servizio Supporto Tecnico Clienti Microsoft.

I prodotti di terzi citati in questo articolo sono prodotti da società indipendenti da Microsoft. Microsoft non rilascia alcuna garanzia implicita o esplicita relativa alle prestazioni o all'affidabilità di tali prodotti

Riferimenti

Per altre informazioni su come usare la funzionalità Cestino di Active Directory inclusa in Windows Server 2008 R2, vedere Guida dettagliata al Cestino di Active Directory.

Come ripristinare gli account utente eliminati e le relative appartenenze ai gruppi in Active Directory

Introduzione

Ulteriori informazioni

Metodo 1: ripristinare gli account utente eliminati e quindi aggiungere nuovamente gli utenti ripristinati ai gruppi usando lo strumento da riga di comando Ntdsutil.exe

Metodo 2: ripristinare gli account utente eliminati e quindi aggiungere nuovamente gli utenti ripristinati ai gruppi

Metodo 3: ripristinare in modo autorevole gli utenti eliminati e i gruppi di sicurezza degli utenti eliminati due volte

Come ripristinare gli utenti eliminati in un controller di dominio quando non si dispone di un backup dello stato del sistema valido

Come annullare manualmente l'eliminazione di oggetti nel contenitore di un oggetto eliminato

Come determinare quando e dove si è verificata un'eliminazione

Come ridurre al minimo l'impatto delle eliminazioni bulk in futuro

Strumenti e script che consentono di eseguire il ripristino da eliminazioni in blocco

Riferimenti

Commenti e suggerimenti

Commenti e suggerimenti

Risorse aggiuntive