Como restaurar contas de usuário excluídas e suas associações de grupo no Active Directory

Artigo
02/19/2024

Este artigo fornece informações sobre como restaurar contas de usuário excluídas e associações de grupo no Active Directory.

Aplica-se a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Número de KB original: 840001

Introdução

Você pode usar vários métodos para restaurar contas de usuário excluídas, contas de computador e grupos de segurança. Esses objetos são conhecidos coletivamente como entidades de segurança.

O método mais comum é habilitar o recurso AD Recycle Bin com suporte em controladores de domínio com base no Windows Server 2008 R2 e posterior. Para obter mais informações sobre esse recurso, incluindo como habilitá-lo e restaurar objetos, consulte Guia Passo a Passo da Lixeira do Active Directory.

Se esse método não estiver disponível para você, os três métodos a seguir poderão ser usados. Em todos os três métodos, você restaura com autorização os objetos excluídos e restaura as informações de associação de grupo para as entidades de segurança excluídas. Ao restaurar um objeto excluído, você deve restaurar os valores anteriores dos atributos e memberOf na entidade de member segurança afetada.

Observação

A recuperação de objetos excluídos no Active directory pode ser simplificada habilitando o recurso AD Recycle Bin com suporte em controladores de domínio com base no Windows Server 2008 R2 e posterior. Para obter mais informações sobre esse recurso, incluindo como habilitá-lo e restaurar objetos, consulte Guia Passo a Passo da Lixeira do Active Directory.

Mais informações

Os métodos 1 e 2 fornecem uma experiência melhor para usuários de domínio e administradores. Esses métodos preservam as adições aos grupos de segurança que foram feitos entre a hora do último backup de estado do sistema e a hora em que a exclusão ocorreu. No método 3, você não faz ajustes individuais em entidades de segurança. Em vez disso, você reverte as associações do grupo de segurança ao estado deles no momento do último backup.

A maioria das exclusões em larga escala são acidentais. A Microsoft recomenda que você tome várias etapas para impedir que outras pessoas excluam objetos em massa.

Observação

Para evitar a exclusão acidental ou a movimentação de objetos (especialmente unidades organizacionais), duas ACEs (entradas de controle de acesso negação) podem ser adicionadas ao descritor de segurança de cada objeto (DENY DELETE & DELETE TREE) e uma ACEs (Negar entradas de controle de acesso) pode ser adicionada ao descritor de segurança do PAI de cada objeto (DENY DELETE CHILD). Para fazer isso, use Usuários e Computadores do Active Directory, ADSIEdit, LDP ou a ferramenta de linha de comando DSACLS. Você também pode alterar as permissões padrão no esquema do AD para unidades organizacionais para que essas ACEs sejam incluídas por padrão.

Por exemplo, para proteger a unidade de organização chamada CONTOSO.COM de ser movida acidentalmente ou excluída de sua unidade organizacional pai chamada MyCompany, faça a seguinte configuração:

Para a unidade organizacional MyCompany , adicione DENY ACE for Everyone to DELETE CHILD with This object only scope:

DSACLS "OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:DC"/

Para a unidade organizacional Usuários, adicione DENY ACE para Todospara EXCLUIR e EXCLUIR ÁRVORE com Este objeto somente escopo:

DSACLS "OU=Users,OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:SDDT"

O snap-in Usuários e Computadores do Active Directory no Windows Server 2008 inclui uma caixa Proteger contra exclusão acidental marcar na guia Objeto.

Observação

A caixa marcar de Recursos Avançados deve estar habilitada para exibir essa guia.

Quando você cria uma unidade organizacional usando Usuários e Computadores do Active Directory no Windows Server 2008, a caixa Proteger contra exclusão acidental marcar é exibida. Por padrão, a caixa marcar é selecionada e pode ser dessemarcada.

Embora você possa configurar todos os objetos no Active Directory usando esses ACEs, ele é mais adequado para unidades organizacionais. A exclusão ou os movimentos de todos os objetos folha podem ter um efeito importante. Essa configuração impede tais exclusões ou movimentos. Para realmente excluir ou mover um objeto usando essa configuração, os ACEs Deny devem ser removidos primeiro.

Este artigo discute como restaurar contas de usuário, contas de computador e suas associações de grupo depois de terem sido excluídas do Active Directory. Em variações desse cenário, contas de usuário, contas de computador ou grupos de segurança podem ter sido excluídos individualmente ou em alguma combinação. Em todos esses casos, as mesmas etapas iniciais se aplicam. Você restaura com autorização, ou restauração de auth, os objetos que foram excluídos inadvertidamente. Alguns objetos excluídos exigem mais trabalho para serem restaurados. Esses objetos incluem objetos como contas de usuário que contêm atributos que são links de volta dos atributos de outros objetos. Dois desses atributos são managedBy e memberOf.

Quando você adiciona entidades de segurança, como uma conta de usuário, um grupo de segurança ou uma conta de computador a um grupo de segurança, você faz as seguintes alterações no Active Directory:

O nome da entidade de segurança é adicionado ao atributo membro de cada grupo de segurança.
Para cada grupo de segurança do qual o usuário, o computador ou o grupo de segurança é membro, um link de volta é adicionado ao atributo da entidade de memberOf segurança.

Da mesma forma, quando um usuário, um computador ou um grupo é excluído do Active Directory, as seguintes ações ocorrem:

A entidade de segurança excluída é movida para o contêiner de objetos excluídos.
Alguns valores de atributo, incluindo o memberOf atributo, são retirados da entidade de segurança excluída.
As entidades de segurança excluídas são removidas de todos os grupos de segurança dos quais eram membros. Em outras palavras, as entidades de segurança excluídas são removidas do atributo membro de cada grupo de segurança.

Quando você recupera as entidades de segurança excluídas e restaura suas associações de grupo, cada entidade de segurança deve existir no Active Directory antes de restaurar sua associação de grupo. O membro pode ser um usuário, um computador ou outro grupo de segurança. Para reafirmar essa regra de forma mais ampla, um objeto que contém atributos cujos valores são links de volta deve existir no Active Directory antes que o objeto que contém esse link de encaminhamento possa ser restaurado ou modificado.

Este artigo se concentra em como recuperar contas de usuário excluídas e suas associações em grupos de segurança. Seus conceitos se aplicam igualmente a outras exclusões de objeto. Os conceitos deste artigo se aplicam igualmente a objetos excluídos cujos valores de atributo usam links de encaminhamento e links de back para outros objetos no Active Directory.

Você pode usar um dos três métodos para recuperar entidades de segurança. Ao usar o método 1, você deixa no local todas as entidades de segurança adicionadas a qualquer grupo de segurança em toda a floresta. E você adiciona apenas as entidades de segurança que foram excluídas de seus respectivos domínios de volta aos seus grupos de segurança. Por exemplo, você faz um backup de estado do sistema, adiciona um usuário a um grupo de segurança e restaura o backup de estado do sistema. Quando você usa os métodos 1 ou 2, preserva todos os usuários que foram adicionados a grupos de segurança que contêm usuários excluídos entre as datas em que o backup de estado do sistema foi criado e a data em que o backup foi restaurado. Quando você usa o método 3, reverte as associações de grupo de segurança para todos os grupos de segurança que contêm usuários excluídos para seu estado no momento do backup de estado do sistema.

Método 1 – Restaurar as contas de usuário excluídas e, em seguida, adicionar os usuários restaurados de volta aos seus grupos usando a ferramenta de linha de comando Ntdsutil.exe

A ferramenta de linha de comando Ntdsutil.exe permite restaurar os backlinks de objetos excluídos. Dois arquivos são gerados para cada operação de restauração autoritativa. Um arquivo contém uma lista de objetos restaurados com autorização. O outro arquivo é um arquivo .ldf que é usado com o utilitário Ldifde.exe. Esse arquivo é usado para restaurar os backlinks para os objetos restaurados com autorização. Uma restauração autoritativa de um objeto de usuário também gera arquivos LDIF (Formato de Intercâmbio de Dados) LDAP com a associação do grupo. Esse método evita uma restauração dupla.

Ao usar esse método, você executa as seguintes etapas de alto nível:

Verifique se um catálogo global no domínio do usuário não foi replicado na exclusão. E, em seguida, impedir que esse catálogo global seja replicado. Se não houver um catálogo global latente, localize o backup de estado do sistema mais atual de um controlador de domínio do catálogo global no domínio inicial do usuário excluído.
Restaure todas as contas de usuário excluídas e permita a replicação de ponta a ponta dessas contas de usuário.
Adicione todos os usuários restaurados de volta a todos os grupos em todos os domínios dos quais as contas de usuário eram membro antes de serem excluídos.

Para usar o método 1, siga este procedimento:

Verifique se há um controlador de domínio de catálogo global no domínio doméstico do usuário excluído que não tenha replicado nenhuma parte da exclusão.

Observação

Concentre-se nos catálogos globais que têm os agendamentos de replicação menos frequentes.

Se existir um ou mais desses catálogos globais, use a ferramenta Repadmin.exe linha de comando para desabilitar imediatamente a replicação de entrada seguindo estas etapas:
1. Selecione Iniciar e Executar.
2. Digite cmd na caixa Abrir e selecione OK.
3. Digite o seguinte comando no prompt de comando e pressione ENTER:
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
  Observação
  
  Se você não puder emitir o Repadmin comando imediatamente, remova toda a conectividade de rede do catálogo global latente até que você possa usar Repadmin para desabilitar a replicação de entrada e, em seguida, retornar imediatamente a conectividade de rede.
Esse controlador de domínio será chamado de controlador de domínio de recuperação. Se não houver esse catálogo global, vá para a etapa 2.
É melhor parar de fazer alterações em grupos de segurança na floresta se todas as seguintes instruções forem verdadeiras:
- Você está usando o método 1 para restaurar com autorização usuários excluídos ou contas de computador pelo caminho de nome (dn) distinto.
- A exclusão foi replicada para todos os controladores de domínio na floresta, exceto o controlador de domínio de recuperação latente.
- Você não está restaurando grupos de segurança ou seus contêineres pai.
Se você estiver restaurando grupos de segurança ou contêineres da UA (unidade organizacional) que hospedam grupos de segurança ou contas de usuário, interrompa temporariamente todas essas alterações.

Notifique os administradores e os administradores do help desk nos domínios apropriados, além dos usuários de domínio no domínio em que ocorreu a exclusão sobre como interromper essas alterações.
Crie um novo backup de estado do sistema no domínio em que a exclusão ocorreu. Você pode usar esse backup se precisar reverter suas alterações.

Observação

Se os backups de estado do sistema estiverem atualizados até o ponto da exclusão, ignore esta etapa e vá para a etapa 4.

Se você identificou um controlador de domínio de recuperação na etapa 1, faça backup do estado do sistema agora.

Se todos os catálogos globais localizados no domínio em que a exclusão ocorreu foram replicados na exclusão, faça backup do estado do sistema de um catálogo global no domínio em que a exclusão ocorreu.

Ao criar um backup, você pode retornar o controlador de domínio de recuperação de volta ao estado atual. E execute seu plano de recuperação novamente se sua primeira tentativa não for bem-sucedida.
Se você não conseguir encontrar um controlador de domínio de catálogo global latente no domínio em que ocorreu a exclusão do usuário, localize o backup de estado do sistema mais recente de um controlador de domínio de catálogo global nesse domínio. Esse backup de estado do sistema deve conter os objetos excluídos. Use esse controlador de domínio como o controlador de domínio de recuperação.

Somente restaurações dos controladores de domínio do catálogo global no domínio do usuário contêm informações globais e universais de associação de grupo para grupos de segurança que residem em domínios externos. Se não houver nenhum backup de estado do sistema de um controlador de domínio de catálogo global no domínio em que os usuários foram excluídos, você não poderá usar o memberOf atributo em contas de usuário restauradas para determinar a associação global ou universal do grupo ou para recuperar a associação em domínios externos. Além disso, é uma boa ideia encontrar o backup de estado do sistema mais recente de um controlador de domínio de catálogo não global.
Se você souber a senha da conta de administrador offline, inicie o controlador de domínio de recuperação no modo Disrepair. Se você não souber a senha da conta de administrador offline, redefina a senha usando ntdsutil.exe enquanto o controlador de domínio de recuperação ainda estiver no modo active directory normal.

Você pode usar a ferramenta de linha de comando setpwd para redefinir a senha em controladores de domínio enquanto eles estão no modo active directory online.

Observação

A Microsoft não dá mais suporte ao Windows 2000.

Administradores do Windows Server 2003 e controladores de domínio posteriores podem usar o set dsrm password comando na ferramenta de linha de comando Ntdsutil para redefinir a senha da conta de administrador offline.

Para obter mais informações sobre como redefinir a conta de administrador do Modo de Restauração dos Serviços de Diretório, consulte Como redefinir a senha da conta de administrador do modo de restauração dos Serviços de Diretório no Windows Server.
Pressione F8 durante o processo de inicialização para iniciar o controlador de domínio de recuperação no modo Disrepair. Entre no console do controlador de domínio de recuperação com a conta de administrador offline. Se você redefinir a senha na etapa 5, use a nova senha.

Se o controlador de domínio de recuperação for um controlador de domínio de catálogo global latente, não restaure o estado do sistema. Vá para a etapa 7.

Se você estiver criando o controlador de domínio de recuperação usando um backup de estado do sistema, restaure o backup de estado do sistema mais atual que foi feito no controlador de domínio de recuperação agora.
Restaure as contas de usuário excluídas, as contas de computador excluídas ou os grupos de segurança excluídos.

Observação

Os termos restauração de auth e restauração autoritativa referem-se ao processo de uso do comando de restauração autoritativa na ferramenta de linha de comando Ntdsutil para incrementar os números de versão de objetos específicos ou de contêineres específicos e todos os seus objetos subordinados. Assim que ocorre a replicação de ponta a ponta, os objetos direcionados na cópia local do Active Directory do controlador de domínio de recuperação tornam-se autoritativos em todos os controladores de domínio que compartilham essa partição. Uma restauração autoritativa é diferente de uma restauração do estado do sistema. Uma restauração do estado do sistema preenche a cópia local do Active Directory do controlador de domínio restaurado com as versões dos objetos no momento em que o backup de estado do sistema foi feito.

Restaurações autoritativas são executadas com a ferramenta de linha de comando Ntdsutil e referem-se ao caminho de nome de domínio (dn) dos usuários excluídos ou dos contêineres que hospedam os usuários excluídos.

Quando você auth restore, use caminhos de nome de domínio (dn) que são tão baixos na árvore de domínio quanto precisam ser. A finalidade é evitar reverter objetos que não estão relacionados à exclusão. Esses objetos podem incluir objetos que foram modificados depois que o backup de estado do sistema foi feito.

Restaurar usuários excluídos na seguinte ordem:
1. Auth restore the domain name (dn) path for each deleted user account, computer account or security group.
  
  Restaurações autoritativas de objetos específicos levam mais tempo, mas são menos destrutivas do que restaurações autoritativas de uma sub-árvore inteira. Restaure o contêiner pai comum mais baixo que contém os objetos excluídos.
  
  O Ntdsutil usa a seguinte sintaxe:
```
ntdsutil "authoritative restore" "restore object <object DN path>" q q
```
  Por exemplo, para restaurar com autorização o usuário excluído John Doe na U Mayberry do Contoso.com domínio, use o seguinte comando:
```
ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
```
  Para restaurar com autorização o grupo de segurança excluído ContosoPrintAccess no Mayberry OU do Contoso.com domínio, use o seguinte comando:
```
ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
```
  Importante
  
  O uso de aspas é necessário.
  
  Para cada usuário que você restaura, pelo menos dois arquivos são gerados. Esses arquivos têm o seguinte formato:
  
  ar_YYYYYMMDD-HHMMSS_objects.txt
  Este arquivo contém uma lista dos objetos restaurados com autorização. Use esse arquivo com o comando de restauração create ldif file from autoritativa ntdsutil em qualquer outro domínio na floresta em que o usuário fosse membro de grupos do Domain Local.
  
  ar_YYYYYMMDD-HHMMSS_links_usn.loc.ldf
  Se você executar a restauração de auth em um catálogo global, um desses arquivos será gerado para todos os domínios da floresta. Este arquivo contém um script que você pode usar com o utilitário Ldifde.exe. O script restaura os backlinks dos objetos restaurados. No domínio inicial do usuário, o script restaura todas as associações de grupo para os usuários restaurados. Em todos os outros domínios na floresta em que o usuário tem associação de grupo, o script restaura apenas associações de grupo universais e globais. O script não restaura nenhuma associação de grupo do Domain Local. Essas associações não são rastreadas por um catálogo global.
2. Restaure apenas os contêineres de U ou Common-Name (CN) que hospedam as contas ou grupos de usuários excluídos.
  
  As restaurações autoritativas de uma sub-árvore inteira são válidas quando a OU direcionada pelo comando de restauração autoritativa ntdsutil contém a maioria dos objetos que você está tentando restaurar com autorização. Idealmente, a OU direcionada contém todos os objetos que você está tentando restaurar com autorização.
  
  Uma restauração autoritativa em uma sub-árvore da U restaura todos os atributos e objetos que residem no contêiner. Todas as alterações que foram feitas até o momento em que um backup de estado do sistema é restaurado são revertidas para seus valores no momento do backup. Com contas de usuário, contas de computador e grupos de segurança, essa reversão pode significar a perda das alterações mais recentes para:
  - Senhas
  - o diretório inicial
  - o caminho do perfil
  - localização
  - informações de contato
  - associação de grupo
  - quaisquer descritores de segurança definidos nesses objetos e atributos.
  O Ntdsutil usa a seguinte sintaxe:
```
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
```
  Por exemplo, para restaurar com autorização a U Mayberry do Contoso.com domínio, use o seguinte comando:
```
ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
```
  Observação
  
  Repita esta etapa para cada OU par que hospeda usuários ou grupos excluídos.
  
  Importante
  
  Quando você restaura um objeto subordinado de uma OU, todos os contêineres pai excluídos dos objetos subordinados excluídos devem ser explicitamente restaurados.
  
  Para cada unidade organizacional que você restaura, pelo menos dois arquivos são gerados. Esses arquivos têm o seguinte formato:
  
  ar_YYYYYMMDD-HHMMSS_objects.txt
  Este arquivo contém uma lista dos objetos restaurados com autorização. Use este arquivo com o comando de restauração create ldif file from autoritativa ntdsutil em qualquer outro domínio na floresta em que os usuários restaurados eram membros de grupos do Domain Local.
  
  ar_YYYYYMMDD-HHMMSS_links_usn.loc.ldf
  Este arquivo contém um script que você pode usar com o utilitário Ldifde.exe. O script restaura os backlinks dos objetos restaurados. No domínio inicial do usuário, o script restaura todas as associações de grupo para os usuários restaurados.
Se objetos excluídos foram recuperados no controlador de domínio de recuperação devido a uma restauração de estado do sistema, remova todos os cabos de rede que fornecem conectividade de rede a todos os outros controladores de domínio na floresta.
Reinicie o controlador de domínio de recuperação no modo active directory normal.
Digite o seguinte comando para desabilitar a replicação de entrada no controlador de domínio de recuperação:
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
Habilite a conectividade de rede de volta ao controlador de domínio de recuperação cujo estado do sistema foi restaurado.
Replicar de saída os objetos restaurados por auth do controlador de domínio de recuperação para os controladores de domínio no domínio e na floresta.

Enquanto a replicação de entrada para o controlador de domínio de recuperação permanece desabilitada, digite o seguinte comando para enviar os objetos restaurados por auth para todos os controladores de domínio réplica entre sites no domínio e para todos os catálogos globais na floresta:
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Se todas as instruções a seguir forem verdadeiras, os links de associação de grupo serão reconstruídos com a restauração e a replicação das contas de usuário excluídas. Vá para a etapa 14.

Observação

Se uma ou mais das instruções a seguir não forem verdadeiras, vá para a etapa 12.
- Sua floresta está em execução no nível funcional da floresta do Windows Server 2003 e posterior ou posterior ou no nível funcional da floresta provisória do Windows Server 2003 e posterior ou posterior.
- Somente contas de usuário ou contas de computador foram excluídas e não grupos de segurança.
- Os usuários excluídos foram adicionados a grupos de segurança em todos os domínios da floresta depois que a floresta foi transicionada para o Windows Server 2003 e posterior ou nível funcional de floresta posterior.
No console do controlador de domínio de recuperação, use o utilitário Ldifde.exe e o ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf para restaurar as associações de grupo do usuário. Para fazer isso, siga estas etapas:
- Selecione Iniciar, selecione Executar, digite cmd na caixa Abrir e selecione OK.
- No prompt de comando, digite o seguinte comando e pressione ENTER:
```
ldifde -i -f ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
```
Habilite a replicação de entrada para o controlador de domínio de recuperação usando o seguinte comando:
```
repadmin /options <recovery dc name> -DISABLE_INBOUND_REPL
```
Se os usuários excluídos foram adicionados a grupos locais em domínios externos, tome uma das seguintes ações:
- Adicione manualmente os usuários excluídos a esses grupos.
- Restaure o estado do sistema e restaure cada um dos grupos de segurança locais que contém os usuários excluídos.
Verifique a associação de grupo no domínio do controlador de domínio de recuperação e em catálogos globais em outros domínios.
Faça um novo backup de estado do sistema de controladores de domínio no domínio do controlador de domínio de recuperação.
Notifique todos os administradores florestais, administradores delegados, administradores do help desk na floresta e usuários no domínio em que a restauração do usuário está concluída.

Os administradores do help desk podem ter que redefinir as senhas de contas de usuário e contas de computador restauradas por auth cujas senhas de domínio foram alteradas depois que o sistema restaurado foi feito.

Os usuários que alteraram suas senhas depois que o backup de estado do sistema foi feito descobrirão que sua senha mais recente não funciona mais. Faça com que esses usuários tentem fazer logon usando suas senhas anteriores se os conhecerem. Caso contrário, os administradores do help desk devem redefinir a senha e selecionar que o usuário deve alterar a senha na próxima caixa de logon marcar. Faça-o preferencialmente em um controlador de domínio no mesmo site do Active Directory em que o usuário está localizado.

Método 2 – Restaurar as contas de usuário excluídas e, em seguida, adicionar os usuários restaurados de volta aos seus grupos

Ao usar esse método, você executa as seguintes etapas de alto nível:

Verifique se um catálogo global no domínio do usuário não foi replicado na exclusão. E, em seguida, impedir que esse catálogo global seja replicado. Se não houver um catálogo global latente, localize o backup de estado do sistema mais atual de um controlador de domínio do catálogo global no domínio inicial do usuário excluído.
Restaure todas as contas de usuário excluídas e permita a replicação de ponta a ponta dessas contas de usuário.
Adicione todos os usuários restaurados de volta a todos os grupos em todos os domínios dos quais as contas de usuário eram membro antes de serem excluídos.

Para usar o método 2, siga este procedimento:

Verifique se há um controlador de domínio de catálogo global no domínio doméstico do usuário excluído que não tenha replicado nenhuma parte da exclusão.

Observação

Concentre-se nos catálogos globais que têm os agendamentos de replicação menos frequentes.

Se existir um ou mais desses catálogos globais, use o Repadmin.exe ferramenta de linha de comando para desabilitar imediatamente a replicação de entrada. Para fazer isso, siga estas etapas:
1. Selecione Iniciar e Executar.
2. Digite cmd na caixa Abrir e selecione OK.
3. Digite o seguinte comando no prompt de comando e pressione ENTER:
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
Observação

Se você não puder emitir o comando Repadmin imediatamente, remova toda a conectividade de rede do catálogo global latente até que você possa usar o Repadmin para desabilitar a replicação de entrada e, em seguida, retornar imediatamente a conectividade de rede.

Esse controlador de domínio será chamado de controlador de domínio de recuperação. Se não houver esse catálogo global, vá para a etapa 2.
Decida se adições, exclusões e alterações em contas de usuário, contas de computador e grupos de segurança devem ser temporariamente interrompidas até que todas as etapas de recuperação sejam concluídas.

Para manter o caminho de recuperação mais flexível, pare temporariamente de fazer alterações nos itens a seguir. As alterações incluem redefinições de senha por usuários de domínio, administradores do help desk e administradores no domínio em que a exclusão ocorreu, além de alterações de associação de grupo nos grupos de usuários excluídos. Considere interromper adições, exclusões e modificações nos seguintes itens:
1. Contas de usuário e atributos em contas de usuário
2. Contas de computador e atributos em contas de computador
3. Contas de serviço
4. Grupos de segurança
É melhor parar de fazer alterações em grupos de segurança na floresta se todas as seguintes instruções forem verdadeiras:
- Você está usando o método 2 para restaurar com autorização usuários excluídos ou contas de computador pelo caminho do nome de domínio (dn).
- A exclusão foi replicada para todos os controladores de domínio na floresta, exceto o controlador de domínio de recuperação latente.
- Você não está restaurando grupos de segurança ou seus contêineres pai.
Se você estiver restaurando grupos de segurança ou contêineres da UA (unidade organizacional) que hospedam grupos de segurança ou contas de usuário, interrompa temporariamente todas essas alterações.

Notifique os administradores e os administradores do help desk nos domínios apropriados, além dos usuários de domínio no domínio em que ocorreu a exclusão sobre como interromper essas alterações.
Crie um novo backup de estado do sistema no domínio em que a exclusão ocorreu. Você pode usar esse backup se precisar reverter suas alterações.

Observação

Se os backups de estado do sistema estiverem atualizados até o ponto da exclusão, ignore esta etapa e vá para a etapa 4.

Se você identificou um controlador de domínio de recuperação na etapa 1, faça backup do estado do sistema agora.

Se todos os catálogos globais localizados no domínio em que a exclusão ocorreu foram replicados na exclusão, faça backup do estado do sistema de um catálogo global no domínio em que a exclusão ocorreu.

Ao criar um backup, você pode retornar o controlador de domínio de recuperação de volta ao estado atual. E execute seu plano de recuperação novamente se sua primeira tentativa não for bem-sucedida.
Se você não conseguir encontrar um controlador de domínio de catálogo global latente no domínio em que ocorreu a exclusão do usuário, localize o backup de estado do sistema mais recente de um controlador de domínio de catálogo global nesse domínio. Esse backup de estado do sistema deve conter os objetos excluídos. Use esse controlador de domínio como o controlador de domínio de recuperação.

Somente restaurações dos controladores de domínio do catálogo global no domínio do usuário contêm informações globais e universais de associação de grupo para grupos de segurança que residem em domínios externos. Se não houver nenhum backup de estado do sistema de um controlador de domínio de catálogo global no domínio em que os usuários foram excluídos, você não poderá usar o memberOf atributo em contas de usuário restauradas para determinar a associação global ou universal do grupo ou para recuperar a associação em domínios externos. Além disso, é uma boa ideia encontrar o backup de estado do sistema mais recente de um controlador de domínio de catálogo não global.
Se você souber a senha da conta de administrador offline, inicie o controlador de domínio de recuperação no modo Disrepair. Se você não souber a senha da conta de administrador offline, redefina a senha enquanto o controlador de domínio de recuperação ainda estiver no modo Active Directory normal.

Você pode usar a ferramenta de linha de comando setpwd para redefinir a senha em controladores de domínio que estão executando o Windows 2000 Service Pack 2 (SP2) e posterior enquanto eles estão no modo Active Directory online.

Observação

A Microsoft não dá mais suporte ao Windows 2000.

Administradores do Windows Server 2003 e controladores de domínio posteriores podem usar o set dsrm password comando na ferramenta de linha de comando Ntdsutil para redefinir a senha da conta de administrador offline.

Para obter mais informações sobre como redefinir a conta de administrador do Modo de Restauração dos Serviços de Diretório, consulte Como redefinir a senha da conta de administrador do modo de restauração dos Serviços de Diretório no Windows Server.
Pressione F8 durante o processo de inicialização para iniciar o controlador de domínio de recuperação no modo Disrepair. Entre no console do controlador de domínio de recuperação com a conta de administrador offline. Se você redefinir a senha na etapa 5, use a nova senha.

Se o controlador de domínio de recuperação for um controlador de domínio de catálogo global latente, não restaure o estado do sistema. Vá para a etapa 7.

Se você estiver criando o controlador de domínio de recuperação usando um backup de estado do sistema, restaure o backup de estado do sistema mais atual que foi feito no controlador de domínio de recuperação agora.
Restaure as contas de usuário excluídas, as contas de computador excluídas ou os grupos de segurança excluídos.

Observação

Os termos restauração de auth e restauração autoritativa referem-se ao processo de uso do comando de restauração autoritativa na ferramenta de linha de comando Ntdsutil para incrementar os números de versão de objetos específicos ou de contêineres específicos e todos os seus objetos subordinados. Assim que ocorre a replicação de ponta a ponta, os objetos direcionados na cópia local do Active Directory do controlador de domínio de recuperação tornam-se autoritativos em todos os controladores de domínio que compartilham essa partição. Uma restauração autoritativa é diferente de uma restauração do estado do sistema. Uma restauração do estado do sistema preenche a cópia local do Active Directory do controlador de domínio restaurado com as versões dos objetos no momento em que o backup de estado do sistema foi feito.

Restaurações autoritativas são executadas com a ferramenta de linha de comando Ntdsutil e referem-se ao caminho de nome de domínio (dn) dos usuários excluídos ou dos contêineres que hospedam os usuários excluídos.

Quando você auth restore, use caminhos de nome de domínio (dn) que são tão baixos na árvore de domínio quanto precisam ser. A finalidade é evitar reverter objetos que não estão relacionados à exclusão. Esses objetos podem incluir objetos que foram modificados depois que o backup de estado do sistema foi feito.

Restaurar usuários excluídos na seguinte ordem:
1. Auth restore the domain name (dn) path for each deleted user account, computer account or security group.
  
  Restaurações autoritativas de objetos específicos levam mais tempo, mas são menos destrutivas do que restaurações autoritativas de uma sub-árvore inteira. Restaure o contêiner pai comum mais baixo que contém os objetos excluídos.
  
  O Ntdsutil usa a seguinte sintaxe:
```
ntdsutil "authoritative restore" "restore object <object DN path>" q q
```
  Por exemplo, para restaurar com autorização o usuário excluído John Doe na U Mayberry do Contoso.com domínio, use o seguinte comando:
```
ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
```
  Para restaurar com autorização o grupo de segurança excluído ContosoPrintAccess no Mayberry OU do Contoso.com domínio, use o seguinte comando:
```
ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
```
  Importante
  
  O uso de aspas é necessário.
  
  Observação
  
  Essa sintaxe só está disponível no Windows Server 2003 e posterior. A única sintaxe no Windows 2000 é usar o seguinte:
```
ntdsutil "authoritative restore" "restore subtree object DN path"
```
  Observação
  
  A operação de restauração autoritativa do Ntdsutil não será bem-sucedida se o DN (caminho de nome distinto) contiver caracteres ou espaços estendidos. Para que a restauração com script tenha êxito, o restore object <DN path> comando deve ser passado como uma cadeia de caracteres completa.
  
  Para contornar esse problema, embrulhe o DN que contém caracteres estendidos e espaços com sequências de escape backslash-double-quotation-mark. Veja um exemplo:
```
ntdsutil "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\"" q q
```
  Observação
  
  O comando deve ser modificado ainda mais se o DN dos objetos que estão sendo restaurados contiver vírgulas. Veja o seguinte exemplo:
```
ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\"" q q
```
  Observação
  
  Se os objetos foram restaurados da fita, marcados como autoritativos e a restauração não funcionarem conforme o esperado e, em seguida, a mesma fita for usada para restaurar o banco de dados NTDS mais uma vez, a versão USN dos objetos a serem restaurados com autorização deve ser aumentada com autorização maior do que o padrão de 100000 ou os objetos não serão replicados após a segunda restauração. A sintaxe abaixo é necessária para criar um script de um número de versão maior que 100000 (padrão):
```
ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
```
  Observação
  
  Se o script solicitar a confirmação de cada objeto que está sendo restaurado, você poderá desativar os prompts. A sintaxe a ser desativada é:
```
ntdsutil "popups off" "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
```
2. Restaure apenas os contêineres de U ou Common-Name (CN) que hospedam as contas ou grupos de usuários excluídos.
  
  As restaurações autoritativas de uma sub-árvore inteira são válidas quando a OU direcionada pelo comando de restauração autoritativa ntdsutil contém a maioria dos objetos que você está tentando restaurar com autorização. Idealmente, a OU direcionada contém todos os objetos que você está tentando restaurar com autorização.
  
  Uma restauração autoritativa em uma sub-árvore da U restaura todos os atributos e objetos que residem no contêiner. Todas as alterações que foram feitas até o momento em que um backup de estado do sistema é restaurado são revertidas para seus valores no momento do backup. Com contas de usuário, contas de computador e grupos de segurança, essa reversão pode significar a perda das alterações mais recentes para senhas, para o diretório inicial, para o caminho do perfil, para localização e para informações de contato, para associação de grupo e para quaisquer descritores de segurança definidos nesses objetos e atributos.
  
  O Ntdsutil usa a seguinte sintaxe:
```
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
```
  Por exemplo, para restaurar com autorização a U Mayberry do Contoso.com domínio, use o seguinte comando:
```
ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
```
  Observação
  
  Repita esta etapa para cada OU par que hospeda usuários ou grupos excluídos.
  
  Importante
  
  Quando você restaura um objeto subordinado de uma OU, todos os contêineres pai excluídos dos objetos subordinados excluídos devem ser explicitamente restaurados.
Se objetos excluídos foram recuperados no controlador de domínio de recuperação devido a uma restauração de estado do sistema, remova todos os cabos de rede que fornecem conectividade de rede a todos os outros controladores de domínio na floresta.
Reinicie o controlador de domínio de recuperação no modo active directory normal.
Digite o seguinte comando para desabilitar a replicação de entrada no controlador de domínio de recuperação:
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
Habilite a conectividade de rede de volta ao controlador de domínio de recuperação cujo estado do sistema foi restaurado.
Replicar de saída os objetos restaurados por auth do controlador de domínio de recuperação para os controladores de domínio no domínio e na floresta.

Enquanto a replicação de entrada para o controlador de domínio de recuperação permanece desabilitada, digite o seguinte comando para enviar os objetos restaurados por auth para todos os controladores de domínio réplica entre sites no domínio e para todos os catálogos globais na floresta:
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Se todas as instruções a seguir forem verdadeiras, os links de associação de grupo serão reconstruídos com a restauração e a replicação das contas de usuário excluídas. Vá para a etapa 14.

Observação

Se uma ou mais das instruções a seguir não forem verdadeiras, vá para a etapa 12.
- Sua floresta está em execução no nível funcional da floresta do Windows Server 2003 e posterior ou no nível funcional da floresta provisória do Windows Server 2003 e posterior.
- Somente contas de usuário ou contas de computador foram excluídas e não grupos de segurança.
- Os usuários excluídos foram adicionados a grupos de segurança em todos os domínios da floresta depois que a floresta foi transicionada para o Windows Server 2003 e posterior nível funcional de floresta.
Determine de quais grupos de segurança os usuários excluídos eram membros e adicione-os a esses grupos.

Observação

Antes de adicionar usuários a grupos, os usuários que você restaurou na etapa 7 e que você replicaram de saída na etapa 11 devem ter replicado para os controladores de domínio no domínio do controlador de domínio referenciado e para todos os controladores de domínio do catálogo global na floresta.

Se você implantou um utilitário de provisionamento de grupo para repovoar a associação para grupos de segurança, use esse utilitário para restaurar usuários excluídos para os grupos de segurança dos quais eles eram membros antes de serem excluídos. Faça isso depois que todos os controladores de domínio diretos e transitivos nos servidores de catálogo global e de domínio da floresta tiverem replicado de entrada os usuários restaurados por auth e todos os contêineres restaurados.

Se você não tiver o utilitário, as Ldifde.exe ferramentas de linha de comando e Groupadd.exe poderão automatizar essa tarefa quando elas forem executadas no controlador de domínio de recuperação. Essas ferramentas estão disponíveis nos Serviços de Suporte ao Produto da Microsoft. Nesse cenário, Ldifde.exe cria um arquivo de informações LDIF (Formato de Intercâmbio de Dados LDAP) que contém os nomes das contas de usuário e seus grupos de segurança. Ele começa em um contêiner de U que o administrador especifica. Groupadd.exe lê o memberOf atributo de cada conta de usuário listada no arquivo .ldf. Em seguida, gera informações LDIF separadas e exclusivas para cada domínio na floresta. Essas informações LDIF contêm os nomes dos grupos de segurança associados aos usuários excluídos. Use as informações do LDIF para adicionar as informações aos usuários para que as associações de grupo possam ser restauradas. Siga estas etapas para esta fase da recuperação:
1. Entre no console do controlador de domínio de recuperação usando uma conta de usuário que é membro do grupo de segurança do administrador de domínio.
2. Use o comando Ldifde para despejar os nomes das contas de usuário anteriormente excluídas e seus memberOf atributos, começando no contêiner de OU mais alto em que a exclusão ocorreu. O comando Ldifde usa a seguinte sintaxe:
```
ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=user)" -l memberof -p subtree -f user_membership_after_restore.ldf
```
  Use a seguinte sintaxe se as contas de computador excluídas forem adicionadas a grupos de segurança:
```
ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=computer)" -l memberof -p subtree -f computer_membership_after_restore.ldf
```
3. Execute o Groupadd comando para criar mais arquivos .ldf que contêm os nomes de domínios e os nomes de grupos de segurança globais e universais dos quais os usuários excluídos eram membros. O Groupadd comando usa a seguinte sintaxe:
```
Groupadd / after_restore users_membership_after_restore.ldf
```
  Repita esse comando se contas de computador excluídas forem adicionadas a grupos de segurança.
4. Importe cada Groupaddarquivo _fully.qualified.domain.name.ldf que você criou na etapa 12c para um único controlador de domínio do catálogo global que corresponde ao arquivo .ldf de cada domínio. Use a seguinte sintaxe Ldifde:
```
Ldifde -i -k -f Groupadd_<fully.qualified.domain.name>.ldf
```
  Execute o arquivo .ldf para o domínio do qual os usuários foram excluídos em qualquer controlador de domínio, exceto no controlador de domínio de recuperação.
5. No console de cada controlador de domínio usado para importar o arquivo Groupadd_<fully.qualified.domain.name.ldf> para um determinado domínio, replique as adições de associação de grupo aos outros controladores de domínio no domínio e aos controladores de domínio do catálogo global na floresta. Para fazer isso, use o seguinte comando:
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Para desabilitar a replicação de saída, digite o texto a seguir e pressione ENTER:
```
repadmin /options +DISABLE_OUTBOUND_REPL
```
Observação

Para habilitar novamente a replicação de saída, digite o seguinte texto e pressione ENTER:
```
repadmin /options -DISABLE_OUTBOUND_REPL
```
Se os usuários excluídos foram adicionados a grupos locais em domínios externos, tome uma das seguintes ações:
- Adicione manualmente os usuários excluídos a esses grupos.
- Restaure o estado do sistema e restaure cada um dos grupos de segurança locais que contém os usuários excluídos.
Verifique a associação de grupo no domínio do controlador de domínio de recuperação e em catálogos globais em outros domínios.
Faça um novo backup de estado do sistema de controladores de domínio no domínio do controlador de domínio de recuperação.
Notifique todos os administradores florestais, administradores delegados, administradores do help desk na floresta e usuários no domínio em que a restauração do usuário está concluída.

Os administradores do help desk podem ter que redefinir as senhas de contas de usuário e contas de computador restauradas por auth cujas senhas de domínio foram alteradas depois que o sistema restaurado foi feito.

Os usuários que alteraram suas senhas depois que o backup de estado do sistema foi feito descobrirão que sua senha mais recente não funciona mais. Faça com que esses usuários tentem fazer logon usando suas senhas anteriores se os conhecerem. Caso contrário, os administradores do help desk devem redefinir a senha e selecionar que o usuário deve alterar a senha na próxima caixa de logon marcar. Faça-o preferencialmente em um controlador de domínio no mesmo site do Active Directory em que o usuário está localizado.

Método 3 – Restaurar com autorização os usuários excluídos e os grupos de segurança dos usuários excluídos duas vezes

Ao usar esse método, você executa as seguintes etapas de alto nível:

Verifique se um catálogo global no domínio do usuário não foi replicado na exclusão. E, em seguida, impedir que o controlador de domínio replica a exclusão de entrada. Se não houver um catálogo global latente, localize o backup de estado do sistema mais atual de um controlador de domínio do catálogo global no domínio inicial do usuário excluído.
Restaure com autorização todas as contas de usuário excluídas e todos os grupos de segurança no domínio do usuário excluído.
Aguarde a replicação de ponta a ponta dos usuários restaurados e dos grupos de segurança para todos os controladores de domínio no domínio do usuário excluído e para os controladores de domínio do catálogo global da floresta.
Repita as etapas 2 e 3 para restaurar com autorização usuários e grupos de segurança excluídos. (Você restaura o estado do sistema apenas uma vez.)
Se os usuários excluídos fossem membros de grupos de segurança em outros domínios, restaure com autorização todos os grupos de segurança dos quais os usuários excluídos eram membros nesses domínios. Ou, se os backups de estado do sistema forem atuais, restaure com autorização todos os grupos de segurança nesses domínios. Para atender ao requisito de que os membros do grupo excluídos devem ser restaurados antes dos grupos de segurança para corrigir links de associação de grupo, você restaura os dois tipos de objeto duas vezes neste método. A primeira restauração coloca todas as contas de usuário e contas de grupo em vigor. A segunda restauração restaura grupos excluídos e repara as informações de associação do grupo, incluindo informações de associação para grupos aninhados.

Para usar o método 3, siga este procedimento:

Verifique se existe um controlador de domínio de catálogo global no domínio inicial dos usuários excluídos e se não foi replicado em nenhuma parte da exclusão.

Observação

Concentre-se em catálogos globais no domínio que tem os agendamentos de replicação menos frequentes. Se esses controladores de domínio existirem, use a ferramenta de linha de comando Repadmin.exe para desabilitar imediatamente a replicação de entrada. Para fazer isso, siga estas etapas:
1. Selecione Iniciar e Executar.
2. Digite cmd na caixa Abrir e selecione OK.
3. Digite repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL no prompt de comando e pressione ENTER.
Observação

Se você não puder emitir o comando Repadmin imediatamente, remova toda a conectividade de rede do controlador de domínio até que você possa usar o Repadmin para desabilitar a replicação de entrada e, em seguida, retornar imediatamente a conectividade de rede.

Esse controlador de domínio será chamado de controlador de domínio de recuperação.
Evite fazer adições, exclusões e alterações nos itens a seguir até que todas as etapas de recuperação sejam concluídas. As alterações incluem redefinições de senha por usuários de domínio, administradores do help desk e administradores no domínio em que a exclusão ocorreu, além de alterações de associação de grupo nos grupos de usuários excluídos.
1. Contas de usuário e atributos em contas de usuário
2. Contas de computador e atributos em contas de computador
3. Contas de serviço
4. Grupos de segurança
  
  Observação
  
  Evite especialmente alterações na associação de grupo para usuários, computadores, grupos e contas de serviço na floresta em que a exclusão ocorreu.
5. Notifique todos os administradores florestais, os administradores delegados e os administradores do help desk na floresta do impasse temporário. Esse stand-down é necessário no método 2 porque você está restaurando com autorização todos os grupos de segurança dos usuários excluídos. Portanto, todas as alterações feitas em grupos após a data do backup de estado do sistema são perdidas.
Crie um novo backup de estado do sistema no domínio em que a exclusão ocorreu. Você pode usar esse backup se precisar reverter suas alterações.

Observação

Se os backups de estado do sistema estiverem atualizados até o momento em que a exclusão ocorreu, ignore esta etapa e vá para a etapa 4.

Se você identificou um controlador de domínio de recuperação na etapa 1, faça backup do estado do sistema agora.

Se todos os catálogos globais localizados no domínio em que a exclusão ocorreu replicaram a exclusão, faça backup do estado do sistema de um catálogo global no domínio em que a exclusão ocorreu.

Ao criar um backup, você pode retornar o controlador de domínio de recuperação de volta ao estado atual. E execute seu plano de recuperação novamente se sua primeira tentativa não for bem-sucedida.
Se você não conseguir encontrar um controlador de domínio de catálogo global latente no domínio em que ocorreu a exclusão do usuário, localize o backup de estado do sistema mais recente de um controlador de domínio de catálogo global nesse domínio. Esse backup de estado do sistema deve conter os objetos excluídos. Use esse controlador de domínio como o controlador de domínio de recuperação.

Somente bancos de dados dos controladores de domínio do catálogo global no domínio do usuário contêm informações de associação de grupo para domínios externos na floresta. Se não houver nenhum backup de estado do sistema de um controlador de domínio de catálogo global no domínio em que os usuários foram excluídos, você não poderá usar o memberOf atributo em contas de usuário restauradas para determinar a associação global ou universal do grupo ou para recuperar a associação em domínios externos. Vá para a etapa seguinte. Se houver um registro externo de associação de grupo em domínios externos, adicione os usuários restaurados a grupos de segurança nesses domínios após a restauração das contas de usuário.
Se você souber a senha da conta de administrador offline, inicie o controlador de domínio de recuperação no modo Disrepair. Se você não souber a senha da conta de administrador offline, redefina a senha enquanto o controlador de domínio de recuperação ainda estiver no modo Active Directory normal.

Você pode usar a ferramenta de linha de comando setpwd para redefinir a senha em controladores de domínio que estão executando o Windows 2000 SP2 e posterior enquanto eles estão no modo Active Directory online.

Observação

A Microsoft não dá mais suporte ao Windows 2000.

Administradores do Windows Server 2003 e controladores de domínio posteriores podem usar o set dsrm password comando na ferramenta de linha de comando Ntdsutil para redefinir a senha da conta de administrador offline.

Para obter mais informações sobre como redefinir a conta de administrador do Modo de Restauração dos Serviços de Diretório, consulte Como redefinir a senha da conta de administrador do modo de restauração dos Serviços de Diretório no Windows Server.
Pressione F8 durante o processo de inicialização para iniciar o controlador de domínio de recuperação no modo Disrepair. Faça logon no console do controlador de domínio de recuperação com a conta de administrador offline. Se você redefinir a senha na etapa 5, use a nova senha.

Se o controlador de domínio de recuperação for um controlador de domínio de catálogo global latente, não restaure o estado do sistema. Vá diretamente para a etapa 7.

Se você estiver criando o controlador de domínio de recuperação usando um backup de estado do sistema, restaure o backup de estado do sistema mais atual que foi feito no controlador de domínio de recuperação que contém os objetos excluídos agora.
Restaure as contas de usuário excluídas, as contas de computador excluídas ou os grupos de segurança excluídos.

Observação

Os termos restauração de auth e restauração autoritativa referem-se ao processo de uso do comando de restauração autoritativa na ferramenta de linha de comando Ntdsutil para incrementar os números de versão de objetos específicos ou de contêineres específicos e todos os seus objetos subordinados. Assim que ocorre a replicação de ponta a ponta, os objetos direcionados na cópia local do Active Directory do controlador de domínio de recuperação tornam-se autoritativos em todos os controladores de domínio que compartilham essa partição. Uma restauração autoritativa é diferente de uma restauração do estado do sistema. Uma restauração do estado do sistema preenche a cópia local do Active Directory do controlador de domínio restaurado com as versões dos objetos no momento em que o backup de estado do sistema foi feito.

Restaurações autoritativas são executadas com a ferramenta de linha de comando Ntdsutil fazendo referência ao caminho de nome de domínio (dn) dos usuários excluídos ou dos contêineres que hospedam os usuários excluídos.

Quando você auth restore, use caminhos de nome de domínio que são tão baixos na árvore de domínio quanto precisam ser. A finalidade é evitar reverter objetos que não estão relacionados à exclusão. Esses objetos podem incluir objetos que foram modificados depois que o backup de estado do sistema foi feito.

Restaurar usuários excluídos na seguinte ordem:
1. Restaure o caminho do nome de domínio (dn) para cada conta de usuário excluída, conta de computador ou grupo de segurança excluído.
  
  Restaurações autoritativas de objetos específicos levam mais tempo, mas são menos destrutivas do que restaurações autoritativas de uma sub-árvore inteira. Restaure o contêiner pai comum mais baixo que contém os objetos excluídos.
  
  O Ntdsutil usa a seguinte sintaxe:
```
ntdsutil "authoritative restore" "restore object <object DN path>" q q
```
  Por exemplo, para restaurar com autorização o usuário excluído John Doe na U Mayberry do Contoso.com domínio, use o seguinte comando:
```
ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
```
  Para restaurar com autorização o grupo de segurança excluído ContosoPrintAccess no Mayberry OU do Contoso.com domínio, use o seguinte comando:
```
ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
```
  Importante
  
  O uso de aspas é necessário.
  
  Usando esse formato Ntdsutil, você também pode automatizar a restauração autoritativa de muitos objetos em um arquivo em lote ou em um script.
  
  Observação
  
  Essa sintaxe só está disponível no Windows Server 2003 e posterior. A única sintaxe no Windows 2000 é usar: ntdsutil "authoritative restore" "restore subtree object DN path".
2. Restaure apenas os contêineres de U ou Common-Name (CN) que hospedam as contas ou grupos de usuários excluídos.
  
  As restaurações autoritativas de uma sub-árvore inteira são válidas quando a OU direcionada pelo comando de restauração autoritativa Ntdsutil contém a maioria dos objetos que você está tentando restaurar com autorização. Idealmente, a OU direcionada contém todos os objetos que você está tentando restaurar com autorização.
  
  Uma restauração autoritativa em uma sub-árvore da U restaura todos os atributos e objetos que residem no contêiner. Todas as alterações que foram feitas até o momento em que um backup de estado do sistema é restaurado são revertidas para seus valores no momento do backup. Com contas de usuário, contas de computador e grupos de segurança, essa reversão pode significar a perda das alterações mais recentes para senhas, para o diretório inicial, para o caminho do perfil, para localização e para informações de contato, para associação de grupo e para quaisquer descritores de segurança definidos nesses objetos e atributos.
  
  O Ntdsutil usa a seguinte sintaxe:
```
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
```
  Por exemplo, para restaurar com autorização a U Mayberry do Contoso.com domínio, use o seguinte comando:
```
ntdsutil "authoritative restore" "restore subtree ou=Mayberry,dc=contoso,dc=com" q q
```
  Observação
  
  Repita esta etapa para cada OU par que hospeda usuários ou grupos excluídos.
  
  Importante
  
  Quando você restaura um objeto subordinado de uma OU, todos os contêineres pai dos objetos subordinados excluídos devem ser explicitamente restaurados.
Reinicie o controlador de domínio de recuperação no modo active directory normal.
Replicar de saída os objetos restaurados com autorização do controlador de domínio de recuperação para os controladores de domínio no domínio e na floresta.

Enquanto a replicação de entrada para o controlador de domínio de recuperação permanece desabilitada, digite o seguinte comando para enviar os objetos restaurados com autorização para todos os controladores de domínio réplica entre sites no domínio e para catálogos globais na floresta:
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Depois que todos os controladores de domínio diretos e transitivos nos servidores de catálogo global e de domínio da floresta forem replicados nos usuários restaurados com autorização e em todos os contêineres restaurados, vá para a etapa 11.

Se todas as instruções a seguir forem verdadeiras, os links de associação de grupo serão reconstruídos com a restauração das contas de usuário excluídas. Vá para a etapa 13.
- Sua floresta está em execução no nível funcional da floresta do Windows Server 2003 e posterior ou no nível funcional da floresta provisória do Windows Server 2003 e posterior.
- Somente grupos de segurança não foram excluídos.
- Todos os usuários excluídos foram adicionados a todos os grupos de segurança em todos os domínios da floresta.
Considere usar o Repadmin comando para acelerar a replicação de saída dos usuários do controlador de domínio restaurado.

Se os grupos também foram excluídos ou se você não puder garantir que todos os usuários excluídos foram adicionados a todos os grupos de segurança após a transição para o Windows Server 2003 e posterior nível funcional provisório ou floresta, vá para a etapa 12.
Repita as etapas 7, 8 e 9 sem restaurar o estado do sistema e vá para a etapa 11.
Se os usuários excluídos foram adicionados a grupos locais em domínios externos, tome uma das seguintes ações:
- Adicione manualmente os usuários excluídos a esses grupos.
- Restaure o estado do sistema e restaure cada um dos grupos de segurança locais que contém os usuários excluídos.
Verifique a associação de grupo no domínio do controlador de domínio de recuperação e em catálogos globais em outros domínios.
Use o seguinte comando para habilitar a replicação de entrada para o controlador de domínio de recuperação:
```
repadmin /options recovery dc name -DISABLE_INBOUND_REPL
```
Faça um novo backup de estado do sistema de controladores de domínio no domínio do controlador de domínio de recuperação e catálogos globais em outros domínios na floresta.
Notifique todos os administradores florestais, os administradores delegados, os administradores do help desk na floresta e os usuários no domínio que a restauração do usuário está concluída.

Os administradores do help desk podem ter que redefinir as senhas de contas de usuário e contas de computador restauradas por auth cujas senhas de domínio foram alteradas depois que o sistema restaurado foi feito.

Os usuários que alteraram suas senhas depois que o backup de estado do sistema foi feito descobrirão que sua senha mais recente não funciona mais. Faça com que esses usuários tentem fazer logon usando suas senhas anteriores se os conhecerem. Caso contrário, os administradores do help desk devem redefinir a senha com o usuário deve alterar a senha na próxima caixa de logon marcar marcada. Faça-o preferencialmente em um controlador de domínio no mesmo site do Active Directory em que o usuário está localizado.

Como recuperar usuários excluídos em um controlador de domínio quando você não tem um backup de estado válido do sistema

Se você não tiver backups de estado do sistema atual em um domínio em que contas de usuário ou grupos de segurança foram excluídos e a exclusão ocorreu em domínios que contêm o Windows Server 2003 e controladores de domínio posteriores, siga estas etapas para reanimar manualmente objetos excluídos do contêiner de objetos excluídos:

Siga as etapas na seção a seguir para reanimar usuários, computadores, grupos ou todos excluídos:
Como desaexar objetos manualmente em um contêiner de objetos excluídos
Use Usuários e Computadores do Active Directory para alterar a conta de desabilitada para habilitada. (A conta é exibida na OU original.)
Use os recursos de redefinição em massa no Windows Server 2003 e na versão posterior do Usuários e Computadores do Active Directory para executar redefinições em massa na senha deve ser alterado na próxima configuração de política de logon, no diretório inicial, no caminho do perfil e na associação de grupo para a conta excluída, conforme necessário. Você também pode usar um equivalente programático desses recursos.
Se o Microsoft Exchange 2000 ou posterior foi usado, conserto a caixa de correio do Exchange para o usuário excluído.
Se o Exchange 2000 ou posterior foi usado, reassocie o usuário excluído com a caixa de correio do Exchange.
Verifique se o usuário recuperado pode fazer logon e acessar diretórios locais, diretórios compartilhados e arquivos.

Você pode automatizar algumas ou todas essas etapas de recuperação usando os seguintes métodos:

Escreva um script que automatiza as etapas de recuperação manuais listadas na etapa 1. Ao escrever esse script, considere examinar o objeto excluído por data, hora e último contêiner pai conhecido e automatizar a reanimação do objeto excluído. Para automatizar a reanimação, altere o isDeleted atributo de TRUE para FALSE e altere o nome distinto relativo para o valor definido no lastKnownParent atributo ou em um contêiner CN (nome comum ou OU) que é especificado pelo administrador. (O nome distinto relativo também é conhecido como RDN.)
Obtenha um programa que não seja da Microsoft que dê suporte à reanimação de objetos excluídos no Windows Server 2003 e em controladores de domínio posteriores. Um desses utilitários é o AdRestore. O AdRestore usa o Windows Server 2003 e, posteriormente, undelete primitivos para desdeleter objetos individualmente. A Aelita Software Corporation e a Commvault Systems também oferecem produtos que dão suporte à funcionalidade undelete no Windows Server 2003 e controladores de domínio baseados posteriormente.

Para obter o AdRestore, consulte AdRestore v1.1.

A Microsoft fornece informações de contato de terceiros para ajudá-lo a encontrar suporte técnico. Essas informações de contato podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão dessas informações de contato de terceiros.

Como desaexar objetos manualmente no contêiner de um objeto excluído

Para desdelete manualmente objetos no contêiner de um objeto excluído, siga estas etapas:

Selecione Iniciar, selecione Executar e digite ldp.exe.

ldp.exe está disponível:
- Em computadores em que a função controlador de domínio foi instalada.
- Em computadores em que o RSAT (Remote Server Administration Tools) foi instalado.
Use o menu Conexão no Ldp para executar as operações de conexão e as operações de associação a um controlador de domínio do Windows Server 2003 e posterior.

Especifique as credenciais de administrador de domínio durante a operação de associação.
No menu Opções , selecione Controles.
Na lista Predefinida de Carga , selecione Retornar Objetos Excluídos.

Observação

O controle 1.2.840.113556.1.4.417 passa para a janela Controles Ativos .
Em Tipo de Controle, selecione Servidor e selecione OK.
No menu Exibir , selecione Árvore, digite o caminho de nome distinto do contêiner de objetos excluídos no domínio em que ocorreu a exclusão e selecione OK.

Observação

O caminho de nome diferenciado também é conhecido como o caminho DN. Por exemplo, se a exclusão ocorreu no contoso.com domínio, o caminho DN será o seguinte caminho:
cn=deleted Objects,dc=contoso,dc=com
No painel esquerdo da janela, clique duas vezes no Contêiner de Objeto Excluído.

Observação

Como resultado de pesquisa da consulta Idap, apenas 1000 objetos são retornados por padrão. Exemplo de fot, se houver mais de 1000 objetos no contêiner Objetos Excluídos, nem todos os objetos serão exibidos neste contêiner. Se o objeto de destino não aparecer, use ntdsutil e defina o número máximo usando o maxpagesize para obter os resultados da pesquisa.
Clique duas vezes no objeto que você deseja desdeleter ou reanimar.
Clique com o botão direito do mouse no objeto que você deseja reanimar e selecione Modificar.

Altere o valor do isDeleted atributo e o caminho DN em uma única operação de modificação LDAP (Protocolo de Acesso ao Diretório Leve). Para configurar a caixa de diálogo Modificar , siga estas etapas:
1. Na caixa Editar Atributo de Entrada, digiteisDeleted. Deixe a caixa Valor em branco.
2. Selecione o botão Excluir opção e selecione Inserir para fazer a primeira de duas entradas na caixa de diálogo Lista de Entradas .
  
  Importante
  
  Não selecione Executar.
3. Na caixa Atributo, digitedistinguishedName.
4. Na caixa Valores , digite o novo caminho DN do objeto reanimado.
  
  Por exemplo, para reanimar a conta de usuário johnDoe para a U Mayberry, use o seguinte caminho DN: cn= JohnDoe,ou= Mayberry,dc= contoso,dc= com
  
  Observação
  
  Se você quiser reanimar um objeto excluído em seu contêiner original, adicione o valor do último atributoKnownParent do objeto excluído ao seu valor CN e cole o caminho DN completo na caixa Valores .
5. Na caixa Operação , selecione SUBSTITUIR.
6. Selecione ENTER.
7. Selecione a caixa marcar síncrona.
8. Selecione a caixa marcar Estendida.
9. Selecione EXECUTAR.
Depois de reanimar os objetos, selecione Controles no menu Opções , selecione o botão Sair para remover (1.2.840.113556.1.4.417) na lista de caixa Controles Ativos .
Redefinir senhas da conta de usuário, perfis, diretórios domésticos e associações de grupo para os usuários excluídos.

Quando o objeto foi excluído, todos os valores de atributo, exceto SID, ObjectGUID, LastKnownParente SAMAccountName foram retirados.
Habilite a conta reanimada no Usuários e Computadores do Active Directory.

Observação

O objeto reanimado tem o mesmo SID primário que tinha antes da exclusão, mas o objeto deve ser adicionado novamente aos mesmos grupos de segurança para ter o mesmo nível de acesso aos recursos. A primeira versão do Windows Server 2003 e posterior não preserva o sIDHistory atributo em contas de usuário reanimadas, contas de computador e grupos de segurança. O Windows Server 2003 e posterior com o Service Pack 1 preserva o sIDHistory atributo em objetos excluídos.
Remova os atributos do Microsoft Exchange e reconecte o usuário à caixa de correio do Exchange.

Observação

Há suporte para a reanimação de objetos excluídos quando a exclusão ocorre em um controlador de domínio do Windows Server 2003 e posterior. A reanimação de objetos excluídos não tem suporte quando a exclusão ocorre em um controlador de domínio do Windows 2000 que é posteriormente atualizado para o Windows Server 2003 e posterior.

Observação

Se a exclusão ocorrer em um controlador de domínio do Windows 2000 no domínio, o lastParentOf atributo não será preenchido no Windows Server 2003 e em controladores de domínio posteriores.

Como determinar quando e onde ocorreu uma exclusão

Quando os usuários são excluídos por causa de uma exclusão em massa, talvez você queira saber de onde a exclusão se originou. Para fazer isso, siga estas etapas:

Para localizar entidades de segurança excluídas, siga as etapas 1 a 7 na seção Como desdelete manualmente objetos na seção contêiner de um objeto excluído . Se uma árvore foi excluída, siga estas etapas para localizar um contêiner pai do objeto excluído.
Copie o valor do objectGUID atributo para a área de transferência do Windows. Você pode colar esse valor ao inserir o Repadmin comando na etapa 4.
Na linha de comando, execute o seguinte comando:
```
repadmin /showmeta GUID=<objectGUID> <FQDN>
```
Por exemplo, se o objectGUID do objeto ou contêiner excluído for 791273b2-eba7-4285-a117-aa804ea76e95 e o nome de domínio totalmente qualificado (FQDN) for dc.contoso.com, execute o seguinte comando:
```
repadmin /showmeta GUID=791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com
```
A sintaxe deste comando deve incluir o GUID do objeto ou contêiner excluído e o FQDN do servidor do qual você deseja obter.

Na saída de comando, localize a data, a hora e o Repadmin controlador de domínio de origem para o isDeleted atributo. Por exemplo, as informações do isDeleted atributo são exibidas na quinta linha da seguinte saída de exemplo:

Loc.USN	DC de origem	Org.USN	Org.Time/Date	Ver	Atributo
134759	Default-First-Site-Name\NA-DC1	134759	DateTime	1	Objectclass
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	2	ou
134759	Default-First-Site-Name\NA-DC1	134759	DateTime	1	instanceType
134759	Default-First-Site-Name\NA-DC1	134759	DateTime	1	whenCreated
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	1	isDeleted
134759	Default-First-Site-Name\NA-DC1	134759	DateTime	1	Ntsecuritydescriptor
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	2	nome
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	1	lastKnownParent
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	2	Objectcategory

Se o nome do controlador de domínio de origem for exibido como um GUID alfa-numérico de 32 caracteres, use o comando Ping para resolve GUID para o endereço IP e o nome do controlador de domínio que originou a exclusão. O comando Ping usa a seguinte sintaxe:
```
ping -a <originating DC GUID>._msdomain controllers.<fully qualified path for forest root domain>
```
Observação

A opção -a é sensível ao caso. Use o nome de domínio totalmente qualificado do domínio raiz da floresta, independentemente do domínio no qual o controlador de domínio de origem reside.

Por exemplo, se o controlador de domínio originário residia em qualquer domínio na Contoso.com floresta e tivesse um GUID de 644eb7e7-1566-4f29-a778-4b487637564b, execute o seguinte comando:
```
ping -a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com
```
A saída retornada por este comando é semelhante à seguinte:
```
Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:

Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
```

Como minimizar o impacto das exclusões em massa no futuro

As chaves para minimizar o impacto da exclusão em massa de usuários, computadores e grupos de segurança são:

Verifique se você tem backups de estado do sistema atualizados.
Controlar fortemente o acesso a contas de usuário privilegiadas.
Controle firmemente o que essas contas podem fazer.
Pratique a recuperação de exclusões em massa.

As alterações de estado do sistema ocorrem todos os dias. Essas alterações podem incluir:

Redefinições de senha em contas de usuário e contas de computador
Alterações de associação de grupo
Outras alterações de atributo em contas de usuário, contas de computador e grupos de segurança.

Se seu hardware ou software falhar ou seu site sofrer outro desastre, você desejará restaurar os backups que foram feitos após cada conjunto significativo de alterações em cada domínio e site do Active Directory na floresta. Se você não mantiver os backups atuais, poderá perder dados ou pode ter que reverter objetos restaurados.

A Microsoft recomenda que você siga as seguintes etapas para evitar exclusões em massa:

Não compartilhe a senha das contas de administrador internas ou permita que contas de usuário administrativas comuns sejam compartilhadas. Se a senha da conta de administrador interna for conhecida, altere a senha e defina um processo interno que desanime seu uso. Eventos de auditoria para contas de usuário compartilhadas tornam impossível determinar a identidade do usuário que está fazendo alterações no Active Directory. Portanto, o uso de contas de usuário compartilhadas deve ser desencorajado.
É raro que contas de usuário, contas de computador e grupos de segurança sejam excluídos intencionalmente. É especialmente verdade para exclusões de árvores. Desassociar a capacidade do serviço e dos administradores delegados de excluir esses objetos da capacidade de criar e gerenciar contas de usuário, contas de computador, grupos de segurança, contêineres de OU e seus atributos. Conceda apenas às contas de usuário ou grupos de segurança mais privilegiados o direito de executar exclusões de árvore. Essas contas de usuário privilegiadas podem incluir administradores corporativos.
Conceda aos administradores delegados acesso somente à classe de objeto que esses administradores têm permissão para gerenciar. Por exemplo, o trabalho principal de um administrador do help desk é modificar propriedades em contas de usuário. Ele não tem permissões para criar e excluir contas de computador, grupos de segurança ou contêineres da UA. Essa restrição também se aplica a permissões de exclusão para os administradores de outras classes de objeto específicas.
Experimente as configurações de auditoria para controlar operações de exclusão em um domínio de laboratório. Depois de se sentir confortável com os resultados, aplique sua melhor solução ao domínio de produção.
Alterações de controle de acesso e auditoria por atacado em contêineres que hospedam dezenas de milhares de objetos podem fazer com que o banco de dados do Active Directory cresça significativamente, especialmente em domínios do Windows 2000. Use um domínio de teste que espelha o domínio de produção para avaliar possíveis alterações no espaço livre em disco. Verifique os volumes de unidade de disco rígido que hospedam os arquivos Ntds.dit e os arquivos de log de controladores de domínio no domínio de produção para obter espaço livre em disco. Evite definir alterações de controle de acesso e auditoria na cabeça do controlador de rede de domínio. Fazer essas alterações se aplicaria desnecessariamente a todos os objetos de todas as classes em todos os contêineres na partição. Por exemplo, evite fazer alterações no DNS (Sistema de Nomes de Domínio) e no registro de registro DLT (controle de link distribuído) na pasta CN=SYSTEM da partição de domínio.
Use a estrutura de OU de prática recomendada para separar contas de usuário, contas de computador, grupos de segurança e contas de serviço, em sua própria unidade organizacional. Ao usar essa estrutura, você pode aplicar DACLs (listas de controle de acesso discricionário) a objetos de uma única classe para administração delegada. E você torna possível que os objetos sejam restaurados de acordo com a classe de objeto se eles tiverem que ser restaurados. A estrutura de OU de prática recomendada é discutida na seção Criando um Design de Unidade Organizacional do seguinte artigo:
Design do Active Directory de práticas recomendadas para gerenciar redes do Windows
Teste exclusões em massa em um ambiente de laboratório que espelha seu domínio de produção. Escolha o método de recuperação que faz sentido para você e, em seguida, personalize-o para sua organização. Talvez você queira identificar:
- Os nomes dos controladores de domínio em cada domínio com backup regular
- Onde as imagens de backup são armazenadas
  Idealmente, essas imagens são armazenadas em um disco rígido extra que é local para um catálogo global em cada domínio na floresta.
- Quais membros da organização do help desk entrar em contato
- A melhor maneira de fazer esse contato
A maioria das exclusões em massa de contas de usuário, de contas de computador e de grupos de segurança que a Microsoft vê são acidentais. Discuta esse cenário com sua equipe de TI e desenvolva um plano de ação interno. Concentre-se na detecção precoce. E retorne a funcionalidade aos usuários de domínio e aos negócios o mais rápido possível. Você também pode tomar medidas para evitar que exclusões em massa acidentais ocorram editando as ACLs (listas de controle de acesso) de unidades organizacionais.

Para obter mais informações sobre como usar ferramentas de interface do Windows para evitar exclusões em massa acidentais, consulte Proteger contra exclusões em massa acidentais no Active Directory.

Ferramentas e scripts que podem ajudá-lo a se recuperar de exclusões em massa

O utilitário de linha de comando Groupadd.exe lê o memberOf atributo em uma coleção de usuários em uma OU e cria um arquivo .ldf que adiciona cada conta de usuário restaurada aos grupos de segurança em cada domínio na floresta.

Groupadd.exe descobre automaticamente os domínios e grupos de segurança dos quais os usuários excluídos eram membros e os adiciona a esses grupos. Esse processo é explicado com mais detalhes na etapa 11 do método 1.

Groupadd.exe é executado no Windows Server 2003 e em controladores de domínio posteriores.

Groupadd.exe usa a seguinte sintaxe:

groupadd / after_restore ldf_file [/ before_restore ldf_file ]

Aqui, ldf_file representa o nome do arquivo .ldf a ser usado com o argumento anterior, after_restore representa a fonte de dados do arquivo de usuário e before_restore representa os dados do usuário do ambiente de produção. (A fonte de dados do arquivo de usuário é os bons dados do usuário.)

Para obter Groupadd.exe, entre em contato com os Serviços de Suporte ao Produto da Microsoft.

Os produtos de terceiros mencionados neste artigo são produzidos por empresas independentes da Microsoft. A Microsoft não oferece nenhuma garantia, implícita ou não, do desempenho ou da confiabilidade desses produtos.

Referências

Para obter mais informações sobre como usar o recurso AD Recycle Bin incluído no Windows Server 2008 R2, consulte Guia passo a passo da lixeira do Active Directory.

Como restaurar contas de usuário excluídas e suas associações de grupo no Active Directory

Introdução

Mais informações

Método 1 – Restaurar as contas de usuário excluídas e, em seguida, adicionar os usuários restaurados de volta aos seus grupos usando a ferramenta de linha de comando Ntdsutil.exe

Método 2 – Restaurar as contas de usuário excluídas e, em seguida, adicionar os usuários restaurados de volta aos seus grupos

Método 3 – Restaurar com autorização os usuários excluídos e os grupos de segurança dos usuários excluídos duas vezes

Como recuperar usuários excluídos em um controlador de domínio quando você não tem um backup de estado válido do sistema

Como desaexar objetos manualmente no contêiner de um objeto excluído

Como determinar quando e onde ocorreu uma exclusão

Como minimizar o impacto das exclusões em massa no futuro

Ferramentas e scripts que podem ajudá-lo a se recuperar de exclusões em massa

Referências

Comentários

Comentários

Recursos adicionais