Como restaurar contas de utilizador eliminadas e respectivos membros do grupo no Active Directory

Traduções de Artigos Traduções de Artigos
Artigo: 840001 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Pode utilizar três métodos para restauro eliminada contas de utilizador, contas de computador e grupos de segurança. Estes objectos são conhecidos colectivamente como principais de segurança. Na todos os três métodos restaurar autoritariamente objectos eliminados e, em seguida, restaurar informações sobre os membros do grupo para os principais de segurança eliminados. Quando restaura um objecto eliminado, tem de restaurar os valores anteriores dos atributos de Membro e memberOf no principal de segurança afectado. Os três métodos são:
  • Método 1: Restaurar as contas de utilizador eliminada e, em seguida, adicione os utilizadores restaurados para os grupos utilizando a ferramenta da linha de comandos Ntdsutil.exe (Microsoft Windows Server 2003 com Service Pack 1 [SP1] apenas)
  • Método 2: Restaurar as contas de utilizador eliminada e, em seguida, adicione os utilizadores restaurados para os grupos
  • Método 3: Restaurar autoritariamente as contas de utilizador eliminada e grupos de segurança dos utilizadores eliminados duas vezes
Nota: Este artigo da base de dados de conhecimento não abrange os pormenores sobre a funcionalidade de reciclagem AD incluída no Windows Server 2008 R2; examine o a secção de referências para obter mais detalhes sobre esta funcionalidade.

Métodos 1 e 2 fornecem uma melhor experiência para os utilizadores do domínio e administradores porque eles preservar as adições aos grupos de segurança que foram efectuados entre o momento em que o estado do sistema último cópia de segurança e a hora em que ocorreu a eliminação. Método 3, em vez de efectuar ajustes individuais para principais de segurança, reverter segurança grupos para seu estado no momento da última cópia de segurança.

Se não tiver uma cópia de segurança válida do Estado do sistema e o domínio onde ocorreu a eliminação contém controladores de domínio baseado no Windows Server 2003, pode manualmente ou programaticamente recuperar objectos eliminados. Também pode utilizar o utilitário Repadmin para determinar quando e onde foi eliminado um utilizador.

Eliminações em grande escala mais são acidentais. A Microsoft recomenda que efectue vários passos para impedir outros de eliminação de objectos em massa.

NotaPara impedir a eliminação acidental ou circulação de objectos (unidades organizacionais especialmente), entradas de controlo de dois negar acesso (ACE) podem ser adicionadas o descritor de segurança de cada objecto (DENY "DELETE" & "DELETE TREE") e entradas de controlo de um negar acesso (ACE) podem ser adicionados ao descritor de segurança de PARENT de cada objecto (DENY "DELETE CHILD"). Para efectuar este procedimento no Windows 2000 Server e no Windows Server 2003, utilize computadores e utilizadores do Active Directory, ADSIEdit, LDP ou a ferramenta da linha de comandos DSACLS. Também pode alterar as permissões predefinidas do esquema de AD para unidades organizacionais para que estas ACEs sejam incluídas por predefinição.

Por exemplo, para proteger a unidade organizacional denominada utilizadores no domínio de AD denomina-se contoso.com acidentalmente seja movido ou eliminado respectiva unidade organizacional principal que é chamada aminhaempresa, criar a seguinte configuração:

Para a unidade organizacional aminhaempresa, adicione DENY ACE para todos ao DELETE CHILD com o âmbito apenas este objecto:
DSACLS "OU = aminhaempresa, DC = CONTOSO, DC = COM" /D "EVERYONE: DC"

Para a unidade organizacional de utilizadores, adicione DENY ACE para todosDELETE e DELETE TREE com o âmbito apenas este objecto:
DSACLS "OU = utilizadores, OU = aminhaempresa, DC = CONTOSO, DC = COM" /D "EVERYONE: SDDT"

O snap-in computadores e utilizadores do Active Directory no Windows Server 2008 inclui uma caixa de verificação, objecto de protecção de eliminação acidental no separador objecto.

Nota A caixa de verificação de Funções avançadas tem de estar activada para ver esse separador.

Quando cria uma unidade organizacional ao utilizar computadores e utilizadores do Active Directory no Windows Server 2008, a caixa de verificação proteger o contentor da eliminação acidental aparece. Por predefinição, a caixa de verificação está seleccionada e pode ser desmarcada.

Embora seja possível configurar todos os objectos no Active Directory utilizando estas ACEs, isto é mais adequado para unidades organizacionais. Eliminação ou movimentos de todos os objectos da folha podem ter uma incidência importante. Esta configuração impede essa eliminações ou movimentos. Para realmente eliminar ou mover um objecto utilizando tal configuração, as ACEs negar tem de ser removidas pela primeira vez.

Mais Informação

Este artigo passo a passo descreve como restaurar contas de utilizador, contas de computador e respectivos membros do grupo após terem tem sido eliminados do Active Directory. Em variações de neste cenário, contas de utilizador, contas de computador ou grupos de segurança podem ter sido eliminados individualmente ou em algum tipo de combinação. Nestes casos, os mesmos passos iniciais aplicam-se--restaura autoritariamente, ou Restaurar auth, os objectos que foram eliminados inadvertidamente. Alguns objectos eliminados requerem mais trabalho a ser restaurada. Estes objectos incluem objectos tais como contas de utilizador que contêm atributos que são hiperligações anteriores dos atributos de outros objectos. Dois destes atributos são managedBy e memberOf.

Quando adiciona principais de segurança, tais como uma conta de utilizador, um grupo de segurança ou uma conta de computador a um grupo de segurança, tornar as seguintes alterações no Active Directory:
  1. O nome do principal de segurança é adicionado ao atributo de Membro de cada grupo de segurança.
  2. Para cada grupo de segurança que o utilizador, computador ou o grupo de segurança é membro, back é adicionada uma hiperligação para memberOf atributo o principal de segurança.
Do mesmo modo, quando um utilizador, computador ou um grupo é eliminado do Active Directory, ocorrerão as seguintes acções:
  1. O principal de segurança eliminados for movido para o contentor de objectos eliminados.
  2. Um número de valores de atributo, incluindo o atributo memberOf, é removido do principal de segurança eliminados.
  3. Principais de segurança eliminados são removidos do quaisquer grupos de segurança que se encontravam membro de. Por outras palavras, os principais de segurança eliminados são removidos do atributo de Membro de cada grupo de segurança.
Quando recuperar principais de segurança eliminados e restaurar os respectivos membros do grupo, o ponto chave a lembrar é que cada principal de segurança tem de existir no Active Directory antes de restaurar a respectiva associação a grupos. (O membro pode ser um utilizador, computador ou outro grupo de segurança.) Para refazer mais amplamente a esta regra, um objecto que contém atributos cujos valores são novamente hiperligações tem de existir no Active Directory antes do objecto que contém essa ligação sequencial pode ser restaurado ou modificado.

Embora este artigo foca como recuperar contas de utilizador eliminadas e respectivos membros do grupos de segurança, seus conceitos igualmente aplicam às outras eliminações de objectos. Conceitos neste artigo aplicam-se igualmente a objectos eliminados cujos valores de atributo utilizam hiperligações forward e novamente hiperligações para outros objectos no Active Directory.

Pode utilizar qualquer um dos três métodos para recuperar principais de segurança. Quando utiliza o método 1, deixar no local segurança todos os principais que foram adicionados a qualquer grupo de segurança em toda a floresta e adicionar apenas os principais de segurança que foram eliminados de seus respectivos domínios para os grupos de segurança. Por exemplo, pode efectuar uma cópia de segurança de estado do sistema, adicionar um utilizador a um grupo de segurança e, em seguida, restaurar a cópia de segurança do Estado do sistema. Quando utiliza métodos 1 ou 2, pode preserva todos os utilizadores que foram adicionados aos grupos de segurança que contêm utilizadores eliminados entre as datas que foi criada a cópia de segurança do Estado do sistema e a data em que a cópia de segurança foi restaurada. Quando utiliza o método 3, reverter segurança de grupos para todos os grupos de segurança que contêm utilizadores eliminados seu estado no momento em que foi efectuada cópia de segurança do Estado da sistema.

Método 1: Restaurar as contas de utilizador eliminada e, em seguida, adicione os utilizadores restaurados para os grupos utilizando a ferramenta da linha de comandos Ntdsutil.exe (Microsoft Windows Server 2003 com Service Pack 1 [SP1] apenas)

Nota Este método só é válido em controladores de domínio com o Windows Server 2003 com SP1. Se não tiver sido instalado o Windows Server 2003 SP1 nos controladores de domínio que utiliza para recuperação, utilize o método 2.

No Windows Server 2003 SP1, a funcionalidade foi adicionada ao Ntdsutil.exe ferramenta da linha de comandos para ajudar os administradores mais facilmente restaurar backlinks dos objectos eliminados. Dois ficheiros são gerados para cada operação de restauro autoritário. Um ficheiro contém uma lista de objectos restaurados com autoridade. O outro ficheiro é um ficheiro .ldf que é utilizado com o utilitário Ldifde.exe. Este ficheiro é utilizado para restaurar o backlinks para os objectos que são restaurados com autoridade. No Windows Server 2003 SP1, um restauro autoritário sobre um objecto de utilizador também gera ficheiros LDIF com membros do grupo. Este método evita um restauro duplo.

Quando utiliza este método, efectue os seguintes passos de alto nível:
  1. Verifique se um catálogo global no domínio do utilizador não ter replicado a eliminação e impede o catálogo global de replicar. Se não existir nenhum catálogo global latente, localize o mais recente sistema de cópias de estado segurança de um controlador de domínio do catálogo global no domínio raiz do utilizador eliminado.
  2. Autenticação restaurar todas as contas de utilizador eliminada e, em seguida, permitir a replicação ponto-a-ponto dessas contas de utilizador.
  3. Adicione todos os utilizadores restaurados novamente a todos os os grupos em todos os domínios que as contas de utilizador estavam um membro do antes de terem sido eliminados.
Para utilizar o método 1, siga este procedimento:
  1. Verifique se existe um controlador de domínio do catálogo global no domínio de raiz do utilizador eliminado que não foi replicado qualquer parte da eliminação.

    Nota Concentrar-se os catálogos globais que tenham as agendas de replicação menos frequentes.

    Se existirem uma ou mais destes catálogos globais, utilize a ferramenta da linha de comandos Repadmin.exe para desactivar imediatamente a replicação de entrada. Para tal, siga estes passos:
    1. Clique em Iniciar e, em seguida, clique em Executar.
    2. Escreva cmd na caixa Abrir e, em seguida, clique em OK.
    3. Escreva o seguinte comando na linha de comandos e, em seguida, prima ENTER:
      repadmin /options <recovery dc name> + DISABLE_INBOUND_REPL
      NotaSe não pode emitir o comando <a0>Repadmin imediatamente, remova todas as ligações de rede do catálogo global latente até utilizar Repadmin para desactivar a replicação de entrada e, em seguida, de imediato a conectividade de rede.
    Este controlador de domínio será referido como o controlador de domínio de recuperação. Se não existir nenhum desse catálogo global, avance para o passo 2.
  2. É aconselhável deixar de efectuar alterações a grupos de segurança na floresta, caso se verifiquem as seguintes instruções:
    • Método 1 para auth restauro eliminado utilizadores ou contas de computador está a utilizar pelo respectivo caminho de nome distinto (dn).
    • A eliminação tem replicada para todos os os controladores de domínio na floresta excepto o controlador de domínio recuperação latente.
    • Não são auth restaurar grupos de segurança ou respectivos contentores principais.
    Se restaurar grupos de segurança ou contentores da unidade organizacional (UO) que hospedem contas de utilizador ou grupos de segurança de autenticação, pare temporariamente todas estas alterações.

    Notificar os administradores e ajudar os administradores de secretária nos domínios apropriados em complemento aos utilizadores do domínio no domínio onde ocorreu a eliminação sobre como parar estas alterações.
  3. Crie uma cópia de segurança do Estado do sistema de novo no domínio onde ocorreu a eliminação. Pode utilizar esta cópia de segurança se tiver de recuperar as alterações.

    Nota Se cópias de segurança do Estado de sistema actuais até da eliminação, ignorar este passo e vá para o passo 4.

    Se identificar um controlador de domínio de recuperação no passo 1, cópia o estado do sistema agora.

    Se todos os catálogos globais localizado no domínio onde ocorreu a eliminação replicado a eliminação, cópia de segurança do Estado do sistema de um catálogo global no domínio onde ocorreu a eliminação.

    Quando cria uma cópia de segurança, pode voltar o controlador de domínio de recuperação ao seu estado actual e efectue novamente o plano de recuperação se a primeira tentativa não tiver êxito.
  4. Se não conseguir localizar um controlador de domínio do catálogo global latente no domínio onde ocorreu a eliminação do utilizador, localizar a cópia de segurança mais recente sistema estado de um controlador de domínio do catálogo global nesse domínio. Esta cópia de segurança do Estado do sistema deve conter objectos eliminados. Utilize este controlador de domínio como controlador de domínio de recuperação.

    Apenas restauros de controladores de domínio do catálogo global no domínio do utilizador contêm informações de membros de grupo globais e universais para grupos de segurança que residam em domínios externos. Se não existir nenhuma cópia de segurança do Estado do sistema de um controlador de domínio do catálogo global no domínio em que os utilizadores foram eliminados, não pode utilizar o atributo memberOf nas contas de utilizador restaurado para determinar os membros do grupo global ou universal ou recuperar os membros de domínios externos. Além disso, é uma boa ideia para localizar a cópia de segurança mais recente sistema estado de um controlador de domínio do catálogo não global.
  5. Se souber a palavra-passe da conta de administrador offline, inicie o controlador de domínio de recuperação no modo de Dsrepair. Se não souber a palavra-passe da conta de administrador offline, repor a palavra-passe enquanto o controlador de domínio recuperação está ainda no normal Active Directory modo.

    Pode utilizar a ferramenta da linha de comandos setpwd para repor a palavra-passe no domínio são controladores que estiverem a executar o Microsoft Windows 2000 Service Pack 2 (SP2) e posterior enquanto no modo do Active Directory online.

    Nota Microsoft já não suporta o Windows 2000 SP2. Instale o service pack mais recente do Windows 2000 para obter esta funcionalidade.

    Para obter mais informações sobre como alterar a palavra-passe de administrador de consola de recuperação, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
    239803Como alterar a palavra-passe do administrador da consola de recuperação num controlador de domínio
    Os administradores de controladores de domínio do Windows Server 2003 podem utilizar o comando Definir palavra-passe dsrm na ferramenta da linha de comandos Ntdsutil para repor a palavra-passe da conta de administrador offline.

    Para obter mais informações sobre como repor a conta de administrador do modo de restauro dos serviços de directório, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
    322672Como repor a palavra-passe da conta do administrador de modo de restauro dos serviços de directório no Windows Server 2003
  6. Prima a tecla F8 durante o processo de arranque para iniciar o controlador de domínio de recuperação no modo Dsrepair. Inicie sessão na consola do controlador de domínio de recuperação com a conta de administrador offline. Se repuser a palavra-passe no passo 5, utilize a nova palavra-passe.

    Se o controlador de domínio de recuperação for um controlador de domínio latente catálogo global, não restaure o estado do sistema. Vá para o passo 7.

    Se estiver a criar o controlador de domínio de recuperação utilizando uma cópia de segurança do Estado do sistema, restaure a mais recente sistema cópia de estado segurança efectuada no controlador de domínio recuperação agora.
  7. Autenticação restaurar as contas de utilizador eliminada, as contas de computador eliminada ou os grupos de segurança eliminados.

    Nota Os termos auth restaurar e restauro autoritário consulte o processo de utilizar o comando authoritative restore na ferramenta da linha de comandos Ntdsutil para incrementar os números de versão de objectos específicos ou de contentores específicos e todos os respectivos objectos subordinados. Logo que ocorre uma replicação ponto-a-ponto, alvo objectos na cópia local de recuperação do controlador de domínio do Active Directory ficam autoritários em todos os controladores de domínio que partilham essa partição. Um restauro autoritário é diferente de um restauro de estado do sistema. Um restauro do sistema Estado povoa cópia local do controlador de domínio restaurados do Active Directory com as versões dos objectos no momento em que foi efectuada cópia de segurança do Estado da sistema.

    Para obter mais informações sobre como restaurar um controlador de domínio de autenticação, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
    241594Como efectuar um restauro autoritário num controlador de domínio no Windows 2000


    Restauros autoritários forem realizados com a ferramenta da linha de comandos Ntdsutil e refira o caminho do nome (dn) do domínio de utilizadores eliminados ou os contentores nesse anfitrião utilizadores eliminados.

    Quando auth restauro, utilização domínio nome (dn) caminhos que são tão baixos na árvore de domínio tenha a evitar reverter objectos que não estão relacionadas com a eliminação. Estes objectos podem incluir objectos que foram modificados depois de concluída a cópia de segurança do Estado do sistema.

    Autenticação restauro eliminados os utilizadores na seguinte ordem:
    1. Autenticação restaurar o caminho do nome (dn) do domínio para cada conta de utilizador eliminada, conta de computador ou grupo de segurança.

      Restauros autoritários de objectos específicos demoram mais tempo mas são menos destrutivos que restauros autoritários de uma subárvore inteira. Autenticação restaurar mais baixo comum contentor principal que contém objectos eliminados.

      O Ntdsutil utiliza a seguinte sintaxe:
      Ntdsutil "authoritative restore" "restauro objecto <object DN path>" q q
      Por exemplo, para autenticação de restaurar o utilizador eliminado JohnDoe no Mayberry OU do domínio Contoso.com, utilize o seguinte comando:
      "authoritative restore" Ntdsutil "restaurar o objecto cn = JoãoSilva, ou = Mayberry, dc = contoso, dc = com" q q
      Para restaurar auth segurança eliminada agrupar ContosoPrintAccess na UO Mayberry do domínio Contoso.com, utilize o seguinte comando:
      "authoritative restore" Ntdsutil "restaurar o objecto cn = ContosoPrintAccess, ou = Mayberry, dc = contoso, dc = com" q q


      Importante A utilização de aspas é necessária.

      Para cada utilizador que restaurar, são gerados pelo menos dois ficheiros. Estes ficheiros têm o seguinte formato:

      ar_ YYYYMMDD-HHMMSS _objects.txt
      Este ficheiro contém uma lista de objectos restaurados com autoridade. Utilize este ficheiro com o comando ntdsutil authoritatative restaurar "criar o ficheiro ldif de" em qualquer outro domínio na floresta onde o utilizador foi um membro dos grupos de domínios locais.

      ar_ YYYYMMDD-HHMMSS _links_usn.loc.ldf
      Se efectuar o restauro auth num catálogo global, um destes ficheiros é gerado para cada domínio na floresta. Este ficheiro contém um script que pode utilizar com o utilitário Ldifde.exe. O script restaura backlinks para os objectos restaurados. Domínio raiz do utilizador, o script restaura todos os membros de grupos para os utilizadores restaurados. Em todos os outros domínios na floresta onde o utilizador tem membros do grupo, o script restaura grupos globais e universais apenas. O script não restaura quaisquer domínio membros do grupo local. Estes membros não são registados por um catálogo global.
    2. Autenticação restaurar apenas os contentores OU ou nome comum (CN) que hospedam as contas de utilizador eliminada ou os grupos.

      Restauros autoritários de uma subárvore inteira são válidos quando a UO que tem o destino o comando ntdsutil "authoritative restore" contém a maioria dos objectos que está a tentar restaurar auth confuso. Idealmente, OU de destino contém todos os objectos que está a tentar auth restauro.

      Um restauro autoritário de uma subárvore OU restaura todos os atributos e objectos que residam no contentor. Quaisquer alterações efectuadas o tempo que é restaurada uma cópia de segurança do Estado do sistema são recuperadas para os respectivos valores no momento da cópia de segurança. Com contas de utilizador, contas de computador e grupos de segurança, esta anulação poderá significar a perda das alterações mais recentes para palavras-passe, para o directório raiz, o caminho de perfil, para localização e informações de contacto, para membros do grupo e para quaisquer descritores de segurança definidos nos objectos e atributos.

      O Ntdsutil utiliza a seguinte sintaxe:
      Ntdsutil "authoritative restore" "restauro subárvore <container DN path>" q q
      Por exemplo, para autenticação restaurar OU de Mayberry do domínio Contoso.com, utilize o seguinte comando:
      "authoritative restore" Ntdsutil "restaurar subárvore or = Mayberry, dc = contoso, dc = com" q q
    Nota Repita este passo para cada peer OU esse anfitriões eliminadas utilizadores ou grupos.

    Importante Quando restaurar um objecto subordinado de uma UO, todos os contentores principal eliminada dos objectos eliminados subordinados tem de ser explicitamente auth restaurado.

    Para cada unidade organizacional que restaurar, são gerados pelo menos dois ficheiros. Estes ficheiros têm o seguinte formato:

    ar_ YYYYMMDD-HHMMSS _objects.txt

    Este ficheiro contém uma lista de objectos restaurados com autoridade. Utilize este ficheiro com o comando ntdsutil authoritatative restaurar "criar o ficheiro ldif de" em qualquer outro domínio na floresta onde os utilizadores restaurados eram membros dos grupos de domínios locais.

    Para mais informações, visite o seguinte Web site da Microsoft:
    http://technet2.microsoft.com/WindowsServer/en/library/5ec3a3b1-c4b2-4c74-9d8a-61f7cb555f821033.mspx?mfr=true
    ar_ YYYYMMDD-HHMMSS _links_usn.loc.ldf
    Este ficheiro contém um script que pode utilizar com o utilitário Ldifde.exe. O script restaura backlinks para os objectos restaurados. Domínio raiz do utilizador, o script restaura todos os membros de grupos para os utilizadores restaurados.
  8. Se objectos eliminados foram recuperados no controlador de domínio recuperação devido a de um Estado de restauro do sistema, remova todos os cabos de rede que fornecem conectividade de rede para todos os outros controladores de domínio na floresta.
  9. Reinicie o controlador de domínio de recuperação no normal modo do Active Directory.
  10. Escreva o seguinte comando para desactivar a replicação de entrada para o controlador de domínio de recuperação:
    repadmin /options <recovery dc name> + DISABLE_INBOUND_REPL
    Active a conectividade de rede novamente para o controlador de domínio de recuperação cujo estado do sistema foi restaurado.
  11. Replicam saída o auth restaurado objectos de controlador de domínio de recuperação para os controladores de domínio no domínio e na floresta.

    Enquanto a replicação de entrada para o controlador de domínio recuperação permanece desactivada, escreva o seguinte comando para empurrar os objectos restaurados auth para todos os controladores de domínio sites réplica no domínio e para todos os catálogos globais na floresta:
    repadmin /syncall /d /e /P <recovery dc> <Naming Context>
    Se se verificarem as seguintes instruções, ligações de membros de grupo são reconstruídas com o restauro e a replicação das contas de utilizador eliminada. Vá para o passo 14.

    Nota Se um ou mais das seguintes afirmações não forem verdadeira, vá para o passo 12.
    • A floresta é o no Windows Server funcional de floresta 2003 nível ou o nível de funcionalidade da floresta Windows Server 2003 interim.
    • Contas de utilizador único ou contas de computador foram eliminadas e não os grupos de segurança.
    • Os utilizadores eliminados foram adicionados aos grupos de segurança em todos os domínios na floresta depois da floresta foi transitou para o nível de funcionalidade de floresta do Windows Server 2003.
  12. Na consola do controlador de domínio de recuperação, use o utilitário Ldifde.exe e YYYYMMDD-HHMMSS ar_ _links_usn.loc.ldf ficheiro para restaurar grupos do utilizador. Para tal, siga estes passos:
    • Clique em Iniciar, clique em Executar, escreva cmd na caixa Abrir e, em seguida, clique em OK.
    • Na linha de comandos, escreva o seguinte comando e, em seguida, prima ENTER:
      ldifde -i -f ar_ YYYYMMDD-HHMMSS _links_usn.loc.ldf
    A importação LDIFDE poderá falhar e poderá receber a seguinte mensagem de erro:
    Erro de adição na linha <xxx >: Sintaxe inválida o erro no lado do servidor é "O parâmetro está incorrecto."
    Se o número de linha causar problemas no ficheiro LINKS.LDF se referir a uma das três atributos itinerante credencial, msPKIDPAPIMasterKeys, msPKIAccountCredentials ou msPKIRoamingTimeStamp, consulte o seguinte artigo da base de dados de conhecimento da Microsoft (KB):
    2014074Erro "O parâmetro está incorrecto" tentar importar ficheiro de LDF para restauro autoritário
    NotaEste artigo descreve as alterações necessárias para importar com êxito o ficheiro LDF hiperligações.
  13. Activar a replicação de entrada para o controlador de domínio de recuperação utilizando o seguinte comando:
    repadmin /options <recovery dc name>-DISABLE_INBOUND_REPL
  14. Se tiverem sido adicionados utilizadores eliminados a grupos locais em domínios externos, efectue um dos seguintes procedimentos:
    • Adicione manualmente os utilizadores eliminados novamente a esses grupos.
    • Restaurar o estado do sistema e auth restaurar cada um dos grupos de segurança local que contém os utilizadores eliminados.
  15. Verifique se a associação a grupos no domínio de recuperação do controlador de domínio e em catálogos globais noutros domínios.
  16. Crie um novo Estado do sistema cópia de segurança dos controladores de domínio no domínio de recuperação do controlador de domínio.
  17. Notificar todos os administradores de floresta, administradores delegados, ajudar os administradores de secretária na floresta e utilizadores do domínio que o restauro de utilizador foi concluído.

    Os administradores de secretária ajuda poderão ter de repor as palavras-passe de contas de utilizador restaurado auth e contas de computador cuja palavra-passe do domínio alterado depois do sistema restaurado foi efectuado.

    Utilizadores que modificou as respectivas palavras-passe depois de concluída a cópia de segurança do Estado do sistema irão constatar que a sua palavra-passe mais recente já não funciona. Ter esses utilizadores tentar iniciar sessão utilizando as palavras-passe anterior se conhecerem-los. Caso contrário, os administradores de secretária ajuda devem repor a palavra-passe e seleccione a caixa de verificação o utilizador tem de alterar a palavra-passe no próximo início de sessão, preferencialmente num controlador de domínio no mesmo local do Active Directory, tal como o utilizador está localizado na.

Método 2: Restaurar as contas de utilizador eliminada e, em seguida, adicione os utilizadores restaurados para os grupos

Quando utiliza este método, efectue os seguintes passos de alto nível:
  1. Verifique se um catálogo global no domínio do utilizador não ter replicado a eliminação e impede o catálogo global de replicar. Se não existir nenhum catálogo global latente, localize o mais recente sistema de cópias de estado segurança de um controlador de domínio do catálogo global no domínio raiz do utilizador eliminado.
  2. Autenticação restaurar todas as contas de utilizador eliminada e, em seguida, permitir a replicação ponto-a-ponto dessas contas de utilizador.
  3. Adicione todos os utilizadores restaurados novamente a todos os os grupos em todos os domínios que as contas de utilizador estavam um membro do antes de terem sido eliminados.
Para utilizar o método 2, siga este procedimento:
  1. Verifique se existe um controlador de domínio do catálogo global no domínio de raiz do utilizador eliminado que não foi replicado qualquer parte da eliminação.

    Nota Concentrar-se os catálogos globais que tenham as agendas de replicação menos frequentes.

    Se existirem uma ou mais destes catálogos globais, utilize a ferramenta da linha de comandos Repadmin.exe para desactivar imediatamente a replicação de entrada. Para tal, siga estes passos:
    1. Clique em Iniciar e, em seguida, clique em Executar.
    2. Escreva cmd na caixa Abrir e, em seguida, clique em OK.
    3. Escreva o seguinte comando na linha de comandos e, em seguida, prima ENTER:
      repadmin /options <recovery dc name> + DISABLE_INBOUND_REPL
      NotaSe não pode emitir o comando <a0>Repadmin imediatamente, remova todas as ligações de rede do catálogo global latente até utilizar Repadmin para desactivar a replicação de entrada e, em seguida, de imediato a conectividade de rede.
    Este controlador de domínio será referido como o controlador de domínio de recuperação. Se não existir nenhum desse catálogo global, avance para o passo 2.
  2. Decida se adições, eliminações e alterações a contas de utilizador, contas de computador e grupos de segurança tem de ser temporariamente paradas até tem concluídos os passos de recuperação.

    Para manter o caminho de recuperação mais flexível, pare temporariamente os seguintes itens a efectuar alterações. Alterações incluem reposições de palavra-passe pelos utilizadores do domínio, ajuda os administradores de secretária e administradores do domínio onde ocorreu a eliminação, para além da grupo Membros alterações em grupos de utilizadores eliminadas. Considere halting adições, eliminações e modificações aos seguintes aspectos:
    1. Contas de utilizador e os atributos nas contas de utilizador
    2. Atributos de contas de computador e contas de computador
    3. Contas de serviço
    4. Grupos de segurança
    É aconselhável deixar de efectuar alterações a grupos de segurança na floresta, caso se verifiquem as seguintes instruções:
    • Método 2 para autenticação restauro eliminado utilizadores ou contas de computador está a utilizar pelo respectivo caminho de nome (dn) do domínio.
    • A eliminação tem replicada para todos os os controladores de domínio na floresta excepto o controlador de domínio recuperação latente.
    • Não são auth restaurar grupos de segurança ou respectivos contentores principais.
    Se restaurar grupos de segurança ou contentores da unidade organizacional (UO) que hospedem contas de utilizador ou grupos de segurança de autenticação, pare temporariamente todas estas alterações.

    Notificar os administradores e ajudar os administradores de secretária nos domínios apropriados em complemento aos utilizadores do domínio no domínio onde ocorreu a eliminação sobre como parar estas alterações.
  3. Crie uma cópia de segurança do Estado do sistema de novo no domínio onde ocorreu a eliminação. Pode utilizar esta cópia de segurança se tiver de recuperar as alterações.

    Nota Se cópias de segurança do Estado de sistema actuais até da eliminação, ignorar este passo e vá para o passo 4.

    Se identificar um controlador de domínio de recuperação no passo 1, cópia o estado do sistema agora.

    Se todos os catálogos globais localizado no domínio onde ocorreu a eliminação replicado a eliminação, cópia de segurança do Estado do sistema de um catálogo global no domínio onde ocorreu a eliminação.

    Quando cria uma cópia de segurança, pode voltar o controlador de domínio de recuperação ao seu estado actual e efectue novamente o plano de recuperação se a primeira tentativa não tiver êxito.
  4. Se não conseguir localizar um controlador de domínio do catálogo global latente no domínio onde ocorreu a eliminação do utilizador, localizar a cópia de segurança mais recente sistema estado de um controlador de domínio do catálogo global nesse domínio. Esta cópia de segurança do Estado do sistema deve conter objectos eliminados. Utilize este controlador de domínio como controlador de domínio de recuperação.

    Apenas restauros de controladores de domínio do catálogo global no domínio do utilizador contêm informações de membros de grupo globais e universais para grupos de segurança que residam em domínios externos. Se não existir nenhuma cópia de segurança do Estado do sistema de um controlador de domínio do catálogo global no domínio em que os utilizadores foram eliminados, não pode utilizar o atributo memberOf nas contas de utilizador restaurado para determinar os membros do grupo global ou universal ou recuperar os membros de domínios externos. Além disso, é uma boa ideia para localizar a cópia de segurança mais recente sistema estado de um controlador de domínio do catálogo não global.
  5. Se souber a palavra-passe da conta de administrador offline, inicie o controlador de domínio de recuperação no modo de Dsrepair. Se não souber a palavra-passe da conta de administrador offline, repor a palavra-passe enquanto o controlador de domínio recuperação está ainda no normal Active Directory modo.

    Pode utilizar a ferramenta da linha de comandos setpwd para repor a palavra-passe no domínio são controladores que estiverem a executar o Microsoft Windows 2000 Service Pack 2 (SP2) e posterior enquanto no modo do Active Directory online.

    Nota Microsoft já não suporta o Windows 2000 SP2. Instale o service pack mais recente do Windows 2000 para obter esta funcionalidade.

    Para obter mais informações sobre como alterar a palavra-passe de administrador de consola de recuperação, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
    239803Como alterar a palavra-passe do administrador da consola de recuperação num controlador de domínio
    Os administradores de controladores de domínio do Windows Server 2003 podem utilizar o comando Definir palavra-passe dsrm na ferramenta da linha de comandos Ntdsutil para repor a palavra-passe da conta de administrador offline.

    Para obter mais informações sobre como repor a conta de administrador do modo de restauro dos serviços de directório, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
    322672Como repor a palavra-passe da conta do administrador de modo de restauro dos serviços de directório no Windows Server 2003
  6. Prima a tecla F8 durante o processo de arranque para iniciar o controlador de domínio de recuperação no modo Dsrepair. Inicie sessão na consola do controlador de domínio de recuperação com a conta de administrador offline. Se repuser a palavra-passe no passo 5, utilize a nova palavra-passe.

    Se o controlador de domínio de recuperação for um controlador de domínio latente catálogo global, não restaure o estado do sistema. Vá para o passo 7.

    Se estiver a criar o controlador de domínio de recuperação utilizando uma cópia de segurança do Estado do sistema, restaure a mais recente sistema cópia de estado segurança efectuada no controlador de domínio recuperação agora.
  7. Autenticação restaurar as contas de utilizador eliminada, as contas de computador eliminada ou os grupos de segurança eliminados.

    Nota Os termos auth restaurar e restauro autoritário consulte o processo de utilizar o comando authoritative restore na ferramenta da linha de comandos Ntdsutil para incrementar os números de versão de objectos específicos ou de contentores específicos e todos os respectivos objectos subordinados. Logo que ocorre uma replicação ponto-a-ponto, alvo objectos na cópia local de recuperação do controlador de domínio do Active Directory ficam autoritários em todos os controladores de domínio que partilham essa partição. Um restauro autoritário é diferente de um restauro de estado do sistema. Um restauro do sistema Estado povoa cópia local do controlador de domínio restaurados do Active Directory com as versões dos objectos no momento em que foi efectuada cópia de segurança do Estado da sistema.

    Para obter mais informações sobre como restaurar um controlador de domínio de autenticação, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
    241594Como efectuar um restauro autoritário num controlador de domínio no Windows 2000


    Restauros autoritários forem realizados com a ferramenta da linha de comandos Ntdsutil e refira o caminho do nome (dn) do domínio de utilizadores eliminados ou os contentores nesse anfitrião utilizadores eliminados.

    Quando auth restauro, utilização domínio nome (dn) caminhos que são tão baixos na árvore de domínio tenha a evitar reverter objectos que não estão relacionadas com a eliminação. Estes objectos podem incluir objectos que foram modificados depois de concluída a cópia de segurança do Estado do sistema.

    Autenticação restauro eliminados os utilizadores na seguinte ordem:
    1. Autenticação restaurar o caminho do nome (dn) do domínio para cada conta de utilizador eliminada, conta de computador ou grupo de segurança.

      Restauros autoritários de objectos específicos demoram mais tempo mas são menos destrutivos que restauros autoritários de uma subárvore inteira. Autenticação restaurar mais baixo comum contentor principal que contém objectos eliminados.

      O Ntdsutil utiliza a seguinte sintaxe:
      Ntdsutil "authoritative restore" "restauro objecto <object DN path>" q q
      Por exemplo, para autenticação de restaurar o utilizador eliminado JohnDoe no Mayberry OU do domínio Contoso.com, utilize o seguinte comando:
      "authoritative restore" Ntdsutil "restaurar o objecto cn = JoãoSilva, ou = Mayberry, dc = contoso, dc = com" q q
      Para restaurar auth segurança eliminada agrupar ContosoPrintAccess na UO Mayberry do domínio Contoso.com, utilize o seguinte comando:
      "authoritative restore" Ntdsutil "restaurar o objecto cn = ContosoPrintAccess, ou = Mayberry, dc = contoso, dc = com" q q


      Importante A utilização de aspas é necessária.

      NotaEsta sintaxe está disponível apenas no Windows Server 2003. A sintaxe apenas no Windows 2000 é utilizar o seguinte:
      Ntdsutil "authoritative restore" "restauro subárvore object DN path"
      Nota A operação de restauro autoritário Ntdsutil não tem êxito se o caminho do nome distinto (DN) contém caracteres expandidos ou espaços. Para que o script restauro tenha êxito, o ? restauro objecto <DN path> ? comando tem de ser transmitido como uma cadeia completa.
      Para contornar este problema, molda o DN que contêm caracteres expandidos e espaços com sequências de escape de barra invertida dupla-aspa. Eis um exemplo:
      "authoritative restore" Ntdsutil "restauro objecto \"CN=John Silva, OU = Mayberry NC, DC = contoso, DC = com\ ""q q

      NotaO comando tem de ser modificado ainda se o DN de objectos que está a ser restaurado conter vírgulas. Consulte o seguinte exemplo:
      Ntdsutil "authoritative restore" "restaurar objecto \"CN=Doe\, João, UO = Mayberry NC, DC = contoso, DC = com\ ""q q

      NotaSe os objectos foram restaurados da cassete, marcado como autoritário e o restauro não funcionar conforme esperado e, em seguida, a mesma banda é utilizada para restaurar a base de dados do NTDS novamente, a versão de USN de objectos a ser restaurados com autoridade deve ser aumentada superior aos 100000 ou os objectos predefinidos não serão replicados fora depois do restauro segundo. A sintaxe seguinte é necessária para o script de um número de versão de um aumento superior a 100000 (predefinição): ntdsutil "authoritative restore" "restaurar objecto \"CN=Doe\, João, OU = Mayberry NC, DC = contoso, DC = com\ "verinc 150000\" "q q

      NotaSe o script pede confirmação em cada objecto que está a ser restaurado, pode desactivar os pedidos. A sintaxe para desactivar a resposta é: ntdsutil "as janelas de pop-up desactivado""authoritative restore" "restaurar objecto \"CN=John Silva, OU = Mayberry NC, DC = contoso, DC = com\ "verinc 150000\" "q q
    2. Autenticação restaurar apenas os contentores OU ou nome comum (CN) que hospedam as contas de utilizador eliminada ou os grupos.

      Restauros autoritários de uma subárvore inteira são válidos quando a UO que tem o destino o comando ntdsutil "authoritative restore" contém a maioria dos objectos que está a tentar restaurar auth confuso. Idealmente, OU de destino contém todos os objectos que está a tentar auth restauro.

      Um restauro autoritário de uma subárvore OU restaura todos os atributos e objectos que residam no contentor. Quaisquer alterações efectuadas o tempo que é restaurada uma cópia de segurança do Estado do sistema são recuperadas para os respectivos valores no momento da cópia de segurança. Com contas de utilizador, contas de computador e grupos de segurança, esta anulação poderá significar a perda das alterações mais recentes para palavras-passe, para o directório raiz, o caminho de perfil, para localização e informações de contacto, para membros do grupo e para quaisquer descritores de segurança definidos nos objectos e atributos.

      O Ntdsutil utiliza a seguinte sintaxe:
      Ntdsutil "authoritative restore" "restauro subárvore <container DN path>" q q
      Por exemplo, para autenticação restaurar OU de Mayberry do domínio Contoso.com, utilize o seguinte comando:
      "authoritative restore" Ntdsutil "restaurar subárvore or = Mayberry, dc = contoso, dc = com" q q
    Nota Repita este passo para cada peer OU esse anfitriões eliminadas utilizadores ou grupos.

    Importante Quando restaurar um objecto subordinado de uma UO, todos os contentores principal eliminada dos objectos eliminados subordinados tem de ser explicitamente auth restaurado.
  8. Se objectos eliminados foram recuperados no controlador de domínio recuperação devido a de um Estado de restauro do sistema, remova todos os cabos de rede que fornecem conectividade de rede para todos os outros controladores de domínio na floresta.
  9. Reinicie o controlador de domínio de recuperação no normal modo do Active Directory.
  10. Escreva o seguinte comando para desactivar a replicação de entrada para o controlador de domínio de recuperação:
    repadmin /options <recovery dc name> + DISABLE_INBOUND_REPL
    Active a conectividade de rede novamente para o controlador de domínio de recuperação cujo estado do sistema foi restaurado.
  11. Replicam saída o auth restaurado objectos de controlador de domínio de recuperação para os controladores de domínio no domínio e na floresta.

    Enquanto a replicação de entrada para o controlador de domínio recuperação permanece desactivada, escreva o seguinte comando para empurrar os objectos restaurados auth para todos os controladores de domínio sites réplica no domínio e para todos os catálogos globais na floresta:
    repadmin /syncall /d /e /P <recovery dc> <Naming Context>
    Se se verificarem as seguintes instruções, ligações de membros de grupo são reconstruídas com o restauro e a replicação das contas de utilizador eliminada. Vá para o passo 14.

    Nota Se um ou mais das seguintes afirmações não forem verdadeira, vá para o passo 12.
    • A floresta é o no Windows Server funcional de floresta 2003 nível ou o nível de funcionalidade da floresta Windows Server 2003 interim.
    • Contas de utilizador único ou contas de computador foram eliminadas e não os grupos de segurança.
    • Os utilizadores eliminados foram adicionados aos grupos de segurança em todos os domínios na floresta depois da floresta foi transitou para o nível de funcionalidade de floresta do Windows Server 2003.
  12. Determinar quais os grupos de segurança utilizadores eliminados eram membros do e, em seguida, adicione-os a esses grupos.

    Nota Antes de poder adicionar utilizadores a grupos, os utilizadores que auth restaurado no passo 7 e que lhe saída-replicadas no passo 11 deve ter replicado para os controladores de domínio no domínio do controlador de domínio referenciada e para todos os controladores de domínio do catálogo global da floresta.

    Se tiver implementado um utilitário de aprovisionamento de grupo para re-populate membros de grupos de segurança, utilize agora desse utilitário para restaurar eliminados os utilizadores os grupos de segurança que estavam membros antes de terem sido eliminados. Fazer isto depois de todos os controladores de domínio directa e transitivas no domínio da floresta e servidores de catálogo global tem entrada-replicado os utilizadores auth restauradas e quaisquer contentores restaurados.

    Se não tiver um utilitário tal, a ferramenta da linha de comandos LDIFDE.exe e Groupadd.exe da linha de comandos ferramenta pode automatizar esta tarefa para quando estes são executados no controlador de domínio de recuperação. Estas ferramentas estão disponíveis a partir de Microsoft Product Support Services. Neste cenário, Ldifde.exe cria um ficheiro de informações de LDAP Data Interchange Format (LDIF) que contém os nomes das contas utilizador e respectivos grupos de segurança, começando por um contentor OU que o administrador especifica. Groupadd.exe, em seguida, lê o atributo memberOf para cada conta de utilizador que está listado no ficheiro .ldf e, em seguida, gera informações de LDIF separadas e únicos para cada domínio na floresta. Estas informações LDIF contém os nomes dos grupos de segurança que os utilizadores eliminados têm de ser adicionado novamente para que os respectivos membros do grupo podem ser restaurados. Siga estes passos para esta fase da recuperação.
    1. Sessão a consola de recuperação do controlador de domínio utilizando uma conta de utilizador é membro do grupo de segurança do administrador de domínio.
    2. Utilize o comando Ldifde para copiar os nomes de contas de utilizador eliminada anteriormente e respectivos atributos memberOf, começando pelo mais elevado OU contentor onde ocorreu a eliminação. O comando Ldifde utiliza a seguinte sintaxe:
      LDIFDE -d <dn path of container that hosts deleted users> "(objectClass=user) - r" -l memberof -p subárvore -f user_membership_after_restore.ldf
      Se eliminar computador contas foram adicionadas aos grupos de segurança, utilize a seguinte sintaxe:
      LDIFDE -d <dn path of container that hosts deleted users> "(objectClass=computer) - r" -l memberof -p subárvore -f computer_membership_after_restore.ldf
    3. Execute o comando Groupadd para criar mais ficheiros .ldf que contêm os nomes de domínios e os nomes dos grupos de segurança globais e universais que os utilizadores eliminados foram membro de. O comando Groupadd utiliza a seguinte sintaxe:
      after_restore users_membership_after_restore.ldf
      Repita este comando se eliminado computador contas foram adicionadas aos grupos de segurança.
    4. Importe cada ficheiro .ldf fully.qualified.domainname de Groupadd_ que criou no passo 12 c para um controlador de domínio único catálogo global correspondente ao ficheiro .ldf de cada domínio. Utilize a seguinte sintaxe de Ldifde:
      Ldifde ?i ?k f: Groupadd_ <fully.qualified.domain.name>.ldf
      Execute o ficheiro .ldf no domínio em que os utilizadores foram eliminados em qualquer controlador de domínio, excepto o controlador de domínio de recuperação.
    5. Na consola de cada controlador de domínio que é utilizado para importar o Groupadd_ <fully.qualified.domain.name> ficheiro .ldf para um determinado domínio, saída-replicam adições de membros do grupo para outros controladores de domínio no domínio e os controladores de domínio do catálogo global na floresta utilizando o seguinte comando:
      repadmin /syncall /d /e /P <recovery dc> <Naming Context>
  13. Para desactivar a replicação de saída, escreva o seguinte texto e, em seguida, prima ENTER:
    repadmin /options + DISABLE_OUTBOUND_REPL
    Nota Para reactivar a saída de replicações, escreva o seguinte texto e, em seguida, prima ENTER:
    repadmin /options - DISABLE_OUTBOUND_REPL
  14. Se tiverem sido adicionados utilizadores eliminados a grupos locais em domínios externos, efectue um dos seguintes procedimentos:
    • Adicione manualmente os utilizadores eliminados novamente a esses grupos.
    • Restaurar o estado do sistema e auth restaurar cada um dos grupos de segurança local que contém os utilizadores eliminados.
  15. Verifique se a associação a grupos no domínio de recuperação do controlador de domínio e em catálogos globais noutros domínios.
  16. Crie um novo Estado do sistema cópia de segurança dos controladores de domínio no domínio de recuperação do controlador de domínio.
  17. Notificar todos os administradores de floresta, administradores delegados, ajudar os administradores de secretária na floresta e utilizadores do domínio que o restauro de utilizador foi concluído.

    Os administradores de secretária ajuda poderão ter de repor as palavras-passe de contas de utilizador restaurado auth e contas de computador cuja palavra-passe do domínio alterado depois do sistema restaurado foi efectuado.

    Utilizadores que modificou as respectivas palavras-passe depois de concluída a cópia de segurança do Estado do sistema irão constatar que a sua palavra-passe mais recente já não funciona. Ter esses utilizadores tentar iniciar sessão utilizando as palavras-passe anterior se conhecerem-los. Caso contrário, os administradores de secretária ajuda devem repor a palavra-passe e seleccione a caixa de verificação o utilizador tem de alterar a palavra-passe no próximo início de sessão, preferencialmente num controlador de domínio no mesmo local do Active Directory, tal como o utilizador está localizado na.

Método 3: Restaurar autoritariamente utilizadores eliminados e grupos de segurança dos utilizadores eliminados duas vezes

Quando utiliza este método, efectue os seguintes passos de alto nível:
  1. Verifique se um catálogo global no domínio do utilizador não ter replicado a eliminação e, em seguida, impedir que o controlador de domínio de entrada-replicar a eliminação. Se não existir nenhum catálogo global latente, localize o mais recente sistema de cópias de estado segurança de um controlador de domínio do catálogo global no domínio raiz do utilizador eliminado.
  2. Restaure autoritariamente todas as contas de utilizador eliminada e todos os grupos de segurança do domínio do utilizador eliminado.
  3. Aguarde que a replicação ponto-a-ponto os utilizadores restaurados e dos grupos de segurança para todos os controladores de domínio no domínio do utilizador eliminado e controladores de domínio do catálogo global da floresta.
  4. Repita os passos 2 e 3 para autoritariamente restauro eliminado utilizadores e grupos de segurança. (Pode restaurar o estado do sistema apenas uma vez.)
  5. Se os utilizadores eliminados eram membros dos grupos de segurança noutros domínios, restaure autoritariamente todos os grupos de segurança que os utilizadores eliminados eram membros nesses domínios. Ou, se cópias de segurança do sistema estado actuais, restaurar autoritariamente todos os grupos de segurança nesses domínios.
Para satisfazer o requisito de que os membros do grupo eliminado deve ser restaurado antes de grupos de segurança para corrigir ligações de membros do grupo, restaurar ambos os tipos de objecto duas vezes no presente método. O primeiro restauro coloca todas as contas de utilizador e contas de grupo num local e o restauro segundo restaura grupos eliminados e repara as informações de membro de grupo, incluindo informações sobre os membros de grupos aninhados.

Para utilizar o método 3, siga este procedimento:
  1. Verifique se um controlador de domínio do catálogo global existe no domínio raiz de utilizadores eliminadas e não foi replicado em qualquer parte da eliminação.

    Nota Concentrar-se em catálogos globais no domínio que tenha as agendas de replicação menos frequentes. Se existirem estes controladores de domínio, utilize a ferramenta da linha de comandos Repadmin.exe para desactivar imediatamente a replicação de entrada. Para tal, siga estes passos:
    1. Clique em Iniciar e, em seguida, clique em Executar.
    2. Escreva o comando na caixa Abrir e, em seguida, clique em OK.
    3. Escreva repadmin/opções <recovery dc name> + DISABLE_INBOUND_REPL na linha de comandos, e, em seguida, prima ENTER.

      NotaSe não pode emitir o comando <a0>Repadmin imediatamente, remova todas as ligações de rede do controlador de domínio até utilizar Repadmin para desactivar a replicação de entrada e, em seguida, de imediato a conectividade de rede.
    Este controlador de domínio será referido como o controlador de domínio de recuperação.
  2. Evite efectuar adições, eliminações e alterações aos seguintes aspectos até tem concluídos os passos de recuperação. Alterações incluem reposições de palavra-passe pelos utilizadores do domínio, ajuda os administradores de secretária e administradores do domínio onde ocorreu a eliminação, para além da grupo Membros alterações em grupos de utilizadores eliminadas.
    1. Contas de utilizador e os atributos nas contas de utilizador
    2. Atributos de contas de computador e contas de computador
    3. Contas de serviço
    4. Grupos de segurança

      NotaEspecialmente Evite alterações aos membros do grupo de utilizadores, computadores, grupos e contas de serviço na floresta onde ocorreu a eliminação.
    5. Notificar todos os administradores a floresta, os administradores delegados e os administradores de secretária ajuda na floresta de stand-down temporária.
    Este stand-down é necessária no método 2 uma vez que está a restaurar autoritariamente grupos de segurança todas eliminadas utilizadores de. Por conseguinte, quaisquer alterações efectuadas aos grupos após a data de estado do sistema de cópia de segurança serão perdidas.
  3. Crie uma cópia de segurança do Estado do sistema de novo no domínio onde ocorreu a eliminação. Pode utilizar esta cópia de segurança se tiver de recuperar as alterações.

    NotaSe as cópias de segurança de estado do sistema actuais até ao tempo de que ocorreu a eliminação, ignorar este passo e vá para o passo 4.

    Se identificar um controlador de domínio de recuperação no passo 1, cópia o estado do sistema agora.

    Se todos os catálogos globais localizados no domínio onde ocorreu a eliminação replicado a eliminação, cópia de segurança do Estado do sistema de um catálogo global no domínio onde ocorreu a eliminação.

    Quando cria uma cópia de segurança, pode voltar o controlador de domínio de recuperação ao seu estado actual e efectue novamente o plano de recuperação se a primeira tentativa não tiver êxito.
  4. Se não conseguir localizar um controlador de domínio do catálogo global latente no domínio onde ocorreu a eliminação do utilizador, localizar a cópia de segurança mais recente sistema estado de um controlador de domínio do catálogo global nesse domínio. Esta cópia de segurança do Estado do sistema deve conter objectos eliminados. Utilize este controlador de domínio como controlador de domínio de recuperação.

    Apenas bases de dados de controladores de domínio do catálogo global no domínio do utilizador contêm informações de membros de grupo para domínios externos na floresta. Se não existir nenhuma cópia de segurança do Estado do sistema de um controlador de domínio do catálogo global no domínio em que os utilizadores foram eliminados, não pode utilizar o atributo memberOf nas contas de utilizador restaurado para determinar os membros do grupo global ou universal ou recuperar os membros de domínios externos. Vá para o passo seguinte. Se existir um registo externo de membros do grupo em domínios externos, adicione os utilizadores restaurados a grupos de segurança nesses domínios depois de tem sido restauradas as contas de utilizador.
  5. Se souber a palavra-passe da conta de administrador offline, inicie o controlador de domínio de recuperação no modo de Dsrepair. Se não souber a palavra-passe da conta de administrador offline, repor a palavra-passe enquanto o controlador de domínio recuperação está ainda no normal Active Directory modo.

    Pode utilizar a ferramenta da linha de comandos setpwd para repor a palavra-passe no domínio são controladores que estiverem a executar o Microsoft Windows 2000 Service Pack 2 (SP2) e posterior enquanto no modo do Active Directory online.

    Nota Microsoft já não suporta o Windows 2000 SP2. Instale o service pack mais recente do Windows 2000 para obter esta funcionalidade.

    Para obter mais informações sobre como alterar a palavra-passe de administrador de consola de recuperação, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
    239803Como alterar a palavra-passe do administrador da consola de recuperação num controlador de domínio
    Os administradores de controladores de domínio do Windows Server 2003 podem utilizar o comando Definir palavra-passe dsrm na ferramenta da linha de comandos Ntdsutil para repor a palavra-passe da conta de administrador offline.

    Para obter mais informações sobre como repor a conta de administrador do modo de restauro dos serviços de directório, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
    322672Como repor a palavra-a serviços de directório restauro passe da conta de administrador do modo no Windows Server 2003
  6. Prima a tecla F8 durante o processo de arranque para iniciar o controlador de domínio de recuperação no Dsrepair mode.Log à consola do controlador de domínio recuperação com a conta de administrador offline. Se repuser a palavra-passe no passo 5, utilize a nova palavra-passe.

    Se o controlador de domínio de recuperação for um controlador de domínio latente catálogo global, não restaure o estado do sistema. Vá directamente para o passo 7.

    Se estiver a criar o controlador de domínio de recuperação utilizando uma cópia de segurança do Estado do sistema, restaure a mais recente sistema cópia de estado segurança efectuada no controlador de domínio de recuperação que contém os objectos eliminados agora.
  7. Autenticação restaurar as contas de utilizador eliminada, as contas de computador eliminada ou os grupos de segurança eliminados.

    Nota Os termos auth restaurar e restauro autoritário consulte o processo de utilizar o comando authoritative restore na ferramenta da linha de comandos Ntdsutil para incrementar os números de versão de objectos específicos ou de contentores específicos e todos os respectivos objectos subordinados. Logo que ocorre uma replicação ponto-a-ponto, alvo objectos na cópia local de recuperação do controlador de domínio do Active Directory ficam autoritários em todos os controladores de domínio que partilham essa partição. Um restauro autoritário é diferente de um restauro de estado do sistema. Um restauro do sistema Estado povoa cópia local do controlador de domínio restaurados do Active Directory com as versões dos objectos no momento em que foi efectuada cópia de segurança do Estado da sistema.

    Para obter mais informações sobre como restaurar um controlador de domínio de autenticação, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
    241594Como efectuar um restauro autoritário num controlador de domínio no Windows 2000


    Restauros autoritários são executados com a ferramenta da linha de comandos Ntdsutil referenciando o caminho do nome (dn) do domínio de utilizadores eliminados ou os contentores que hospedam os utilizadores eliminados.

    Quando auth restauro, utilização domínio nome (dn) caminhos que são tão baixos na árvore de domínio tenha a evitar reverter objectos que não estão relacionadas com a eliminação. Estes objectos podem incluir objectos que foram modificados depois de concluída a cópia de segurança do Estado do sistema.

    Autenticação restauro eliminados os utilizadores na seguinte ordem:
    1. Autenticação restaurar o caminho do nome (dn) do domínio para cada conta de utilizador eliminada, conta de computador ou grupo de segurança eliminados.

      Restauros autoritários de objectos específicos demoram mais tempo mas são menos destrutivos que restauros autoritários de uma subárvore inteira. Autenticação restaurar mais baixo comum contentor principal que contém objectos eliminados.

      O Ntdsutil utiliza a seguinte sintaxe:
      Ntdsutil "authoritative restore" "restauro objecto <object DN path>" q q
      Por exemplo, para autenticação de restaurar o utilizador eliminado JohnDoe no Mayberry OU do domínio Contoso.com, utilize o seguinte comando:
      "authoritative restore" Ntdsutil "restaurar o objecto cn = JoãoSilva, ou = Mayberry, dc = contoso, dc = com" q q
      Para restaurar auth segurança eliminada agrupar ContosoPrintAccess na UO Mayberry do domínio Contoso.com, utilize o seguinte comando:
      "authoritative restore" Ntdsutil "restaurar o objecto cn = ContosoPrintAccess, ou = Mayberry, dc = contoso, dc = com" q q


      Importante A utilização de aspas é necessária.

      Utilizando este Ntdsutil formatar, também pode automatizar o restauro autoritário de muitos objectos existentes num ficheiro batch ou um script.
      NotaEsta sintaxe está disponível apenas no Windows Server 2003. A sintaxe apenas no Windows 2000 está a utilizar: ntdsutil "authoritative restore" "restauro subárvore object DN path".
    2. Autenticação restaurar apenas os contentores OU ou nome comum (CN) que hospedam as contas de utilizador eliminada ou os grupos.

      Restauros autoritários de uma subárvore inteira são válidos quando a UO que tem o destino o comando Ntdsutil Authoritative restore contém a maioria dos objectos que está a tentar restaurar auth confuso. Idealmente, OU de destino contém todos os objectos que está a tentar auth restauro.

      Um restauro autoritário de uma subárvore OU restaura todos os atributos e objectos que residam no contentor. Quaisquer alterações efectuadas o tempo que é restaurada uma cópia de segurança do Estado do sistema são recuperadas para os respectivos valores no momento da cópia de segurança. Com contas de utilizador, contas de computador e grupos de segurança, esta anulação poderá significar a perda das alterações mais recentes para palavras-passe, para o directório raiz, o caminho de perfil, para localização e informações de contacto, para membros do grupo e para quaisquer descritores de segurança definidos nos objectos e atributos.

      O Ntdsutil utiliza a seguinte sintaxe:
      Ntdsutil "authoritative restore" "restauro subárvore <container DN path>" q q
      Por exemplo, para autenticação restaurar OU de Mayberry do domínio Contoso.com, utilize o seguinte comando:
      "authoritative restore" Ntdsutil "restaurar subárvore or = Mayberry, dc = contoso, dc = com" q q
    Nota Repita este passo para cada peer OU esse anfitriões eliminadas utilizadores ou grupos.

    Importante Quando restaurar um objecto subordinado de uma UO, todos os contentores principais dos objectos eliminados subordinados tem de ser explicitamente auth restaurado.
  8. Reinicie o controlador de domínio de recuperação no normal modo do Active Directory.
  9. Saída replicam os objectos restaurados com autoridade do controlador de domínio recuperação os controladores de domínio no domínio e na floresta.

    Enquanto a replicação de entrada para o controlador de domínio recuperação permanece desactivada, escreva o seguinte comando para empurrar os objectos restaurados com autoridade para todos os controladores de domínio sites réplica no domínio e a catálogos globais na floresta:
    repadmin /syncall /d /e /P <recovery dc> <Naming Context>
    Depois de todos os controladores de domínio directa e transitivas a floresta domínio e catálogo global servidores foram replicadas nos utilizadores restaurados com autoridade e quaisquer restaurado contentores, vá para o passo 11.

    Se se verificarem as seguintes instruções, ligações de membros de grupo são reconstruídas com o restauro das contas de utilizador eliminada. Vá para o passo 13.
    • A floresta é o no Windows Server funcional de floresta 2003 nível ou o nível de funcionalidade intermédio da floresta Windows Server 2003.
    • Apenas os grupos de segurança não foram eliminados.
    • Foram adicionados todos os utilizadores eliminados todos os grupos de segurança em todos os domínios na floresta.
    Considere utilizar o comando <a0>Repadmin para acelerar a replicação de saída de utilizadores do controlador de domínio restaurados.

    Se os grupos também foram eliminados ou se não pode garantir que todos os utilizadores eliminados tenham sido adicionados aos todos os grupos de segurança após a passagem para o Windows Server 2003 intermédio ou nível de funcionalidade da floresta, vá para o passo 12.
  10. Repita os passos 7, 8 e 9 sem restaurar o estado do sistema e, em seguida, vá para o passo 11.
  11. Se tiverem sido adicionados utilizadores eliminados a grupos locais em domínios externos, efectue um dos seguintes procedimentos:
    • Adicione manualmente os utilizadores eliminados novamente a esses grupos.
    • Restaurar o estado do sistema e auth restaurar cada um dos grupos de segurança local que contém os utilizadores eliminados.
  12. Verifique se a associação a grupos no domínio de recuperação do controlador de domínio e em catálogos globais noutros domínios.
  13. Utilize o seguinte comando para activar a replicação de entrada para o controlador de domínio de recuperação:
    repadmin /options recovery dc name - DISABLE_INBOUND_REPL
  14. Crie um novo Estado do sistema cópia de segurança dos controladores de domínio no domínio de recuperação do controlador de domínio e catálogos globais em outros domínios na floresta.
  15. Notifica os administradores de floresta, os administradores delegados, os administradores de secretária ajuda na floresta e os utilizadores do domínio que o restauro de utilizador foi concluído.

    Os administradores de secretária ajuda poderão ter de repor as palavras-passe das contas de utilizador auth restaurado e contas de computador cuja palavra-passe do domínio alterado depois do sistema restaurado foi efectuado.

    Utilizadores que modificou as respectivas palavras-passe depois de concluída a cópia de segurança do Estado do sistema irão constatar que a sua palavra-passe mais recente já não funciona. Ter esses utilizadores tentar iniciar sessão utilizando as palavras-passe anterior se conhecerem-los. Caso contrário, os administradores de secretária ajuda devem repor a palavra-passe com a caixa de verificação o utilizador tem de alterar a palavra-passe no próximo início de sessão verificada, preferencialmente num controlador de domínio no mesmo local do Active Directory como o utilizador está localizado na.

Como recuperar utilizadores eliminados um controlador de domínio do Windows Server 2003, quando não tiver uma cópia de segurança do Estado do sistema válido

Se possui cópias de actual estado de segurança do sistema num domínio em que contas de utilizador ou grupos de segurança foram eliminados e a eliminação ocorreu em domínios que contêm controladores de domínio do Windows Server 2003, siga estes passos para reanimar manualmente objectos eliminados do contentor de objectos eliminados:
  1. Siga os passos na secção "Como manualmente anular a eliminação de objectos no contentor de objectos eliminados" para reanimar eliminados os utilizadores, computadores, grupos ou todos estes elementos.
  2. Computadores e utilizadores do uso Active Directory para alterar a conta de desactivado para activada. (A conta aparece na UO original.)
  3. Utilize a granel repor funcionalidades no Windows Server 2003 versão de computadores e utilizadores do Active Directory para efectuar a granel repõe a definição de política "palavra-passe tem de alterar no próximo início de sessão", no directório raiz, no caminho de perfil e nos membros do grupo para a conta eliminada conforme necessário. Também pode utilizar um equivalente de programação destas funcionalidades.
  4. Se tiver sido utilizado o Microsoft Exchange 2000 ou posterior, repare na caixa de correio do Exchange para o utilizador eliminado.
  5. Se tiver sido utilizado o Exchange 2000 ou posterior, reassociate utilizador eliminado com a caixa de correio do Exchange.
  6. Verifique se o utilizador recuperado pode iniciar sessão e aceder a ficheiros, directórios partilhados e directórios locais.
Pode automatizar alguns ou todos estes passos de recuperação, utilizando os seguintes métodos:
  • Escreva um script que automatiza os passos de recuperação manual listados no passo 1. Quando escrever esse script, considere a hipótese de âmbitos objecto eliminado por data, hora e último principal conhecido contentor e, em seguida, automatizar a reactivação do objecto eliminado. Para automatizar a reactivação, altere o atributo isDeleted do verdadeiro para FALSO e alteração de nome ao valor definido no atributo lastKnownParent ou numa nova UO ou comuns contentor nome (CN) que é especificada pelo administrador distinto o relativo. (O nome distinto relativo é também conhecido como o RDN.)
  • Obtenha um programa sem ser da Microsoft suporta a reactivação de objectos eliminados em controladores de domínio do Windows Server 2003. Uma tal utilitário é AdRestore. AdRestore utiliza o Windows Server 2003 anular a eliminação de primitivas para anular a eliminação de objectos individualmente. Sistemas de Commvault e Aelita Software Corporation também oferecem anular a eliminação de produtos que suportam a funcionalidade em controladores de domínio baseado no Windows Server 2003.

    Para obter AdRestore, visite o seguinte Web site:
    http://technet.microsoft.com/en-us/sysinternals/bb963906.aspx
A Microsoft fornece informações de contactos de terceiros para o ajudar a encontrar suporte técnico. Estas informações de contacto podem ser alterado sem aviso prévio. Microsoft não garante o rigor das informações sobre o contacto destes fabricantes.

Como anular a eliminação manualmente objectos no contentor de um objecto eliminado

Para anular a eliminação de objectos no contentor de um objecto eliminado manualmente, siga estes passos:
  1. Clique em Iniciar, clique em Executar e, em seguida, escreva o ldp.exe.

    Nota Se o utilitário LDP não estiver instalado, instale as ferramentas de suporte partir do CD de instalação do Windows Server 2003.
  2. Utilize o menu de ligação de LDP para efectuar as operações de ligação e as operações de vincular a um controlador de domínio do Windows Server 2003.

    Especificar credenciais de administrador de domínio durante a operação de enlace.
  3. No menu Opções, clique em <a1>controlos</a1>.
  4. Na lista de Carga predefinido, clique em Devolver objectos eliminados.

    Nota Move o controlo 1.2.840.113556.1.4.417 para os Controlos Active janela.
  5. Em Tipo de controlo, clique em servidor e, em seguida, clique em ' OK '.
  6. No menu Ver, clique em árvore, escreva o caminho do nome distinto do contentor de objectos eliminados no domínio onde ocorreu a eliminação e, em seguida, clique em OK.

    Nota O nome de caminho distinto é também conhecido como o caminho de DN. Por exemplo, se a eliminação ocorreu no domínio de contoso.com, o caminho de DN deverá ser o seguinte caminho:
    CN = objectos eliminados, dc = contoso, dc = com
  7. No painel esquerdo da janela, faça duplo clique no Contentor de objecto de eliminados.

    Nota Como resultado da procura de consulta Idap, 1000 só objectos são devolvidos por predefinição. Fot exemplo, se existem mais de 1000 objectos no contentor de objectos eliminados, nem todos os objectos aparecem neste contentor. Se o objecto de destino não for apresentado, utilize o ntdsutil e, em seguida, defina o número máximo utilizando maxpagesize para obter os resultados da procura.
  8. Faça duplo clique no objecto que pretende anular a eliminação ou a reanimar.
  9. Clique com o botão direito do rato no objecto que pretende reanimar e, em seguida, clique em modificar.

    Alterar o valor para o atributo isDeleted e o caminho de DN num único directório simples Access Protocol (LDAP) modificar a operação. Para configurar a caixa de diálogo Modificar, siga estes passos:
    1. Na caixa Edit Attribute de entrada, escreva isDeleted.

      Deixe a caixa de valor em branco.
    2. Clique no botão de opção Eliminar e, em seguida, clique em ENTER para efectuar a primeira das duas entradas na caixa de diálogo de Entrada de lista.

      Importante Não clique em Executar.
    3. Na caixa de atributo, escreva distinguishedName.
    4. Na caixa de valores, tipo DN novo caminho do objecto reanimated.

      Por exemplo, para a JoãoSilva reanimar utilizador conta à OU de Mayberry, utilização o DN seguinte caminho:
      cn = JohnDoe, ou = Mayberry, dc = contoso, dc = com
      Nota Se pretender reanimar um objecto eliminado ao respectivo contentor original, acrescente o valor do atributo do objecto eliminado lastKnownParent para o respectivo valor NC e, em seguida, cole o caminho completo de DN na caixa de valores.
    5. Na caixa de operação, clique em Substituir.
    6. Prima ENTER.
    7. Clique para seleccionar a caixa de verificação síncrono.
    8. Clique para seleccionar a caixa de verificação expandidos.
    9. Clique em Executar.
  10. Depois de reanimar os objectos, clique em controlos no menu Opções, clique no botão Concluir Compras para remover (1.2.840.113556.1.4.417) da lista da caixa de Controlos Active.
  11. Repor palavras-passe de conta de utilizador, perfis, directórios raiz e de grupos para os utilizadores eliminados.

    Quando o objecto foi eliminado, todos os valores de atributo excepto SID, ObjectGUID, LastKnownParent e SAMAccountName foram removidos.
  12. Activa a conta reanimated em computadores e utilizadores do Active Directory.

    Nota O objecto reanimated tem o mesmo SID primário que tinha antes da eliminação, mas o objecto tem de ser adicionado novamente os mesmos grupos de segurança para que o mesmo nível de acesso a recursos. A primeira versão do Windows Server 2003 não mantém o atributo sIDHistory em contas de utilizador reanimated, contas de computador e grupos de segurança. Windows Server 2003 com Service Pack 1 preservar o atributo sIDHistory no objectos eliminados.
  13. Remover os atributos do Microsoft Exchange e volte a ligar o utilizador na caixa de correio do Exchange.

    Nota A reactivação de objectos eliminados é suportada quando a eliminação ocorre num controlador de domínio do Windows Server 2003. A reactivação de objectos eliminados não é suportada quando a eliminação ocorre num controlador de domínio Windows 2000 que seja actualizado posteriormente para o Windows Server 2003.

    Nota Se a eliminação ocorrer num controlador de domínio Windows 2000 no domínio, o atributo lastParentOf não está preenchido nos controladores de domínio do Windows Server 2003.

Como determinar quando e onde ocorreu uma eliminação

Quando os utilizadores são eliminados devido a de uma eliminação em massa, convém saber onde provém a eliminação. Para o fazer, siga estes passos:
  1. Se a auditoria foi correctamente configurada para controlar a eliminação de contentores da unidade organizacional (UO) ou de objectos subordinados, utilize um utilitário que procura no registo de eventos de segurança dos controladores de domínio no domínio onde ocorreu a eliminação. Uma tal utilitário que procura em registos de eventos num âmbito conjunto de controladores de domínio é o utilitário EventCombMT. EventCombMT faz parte do conjunto de ferramentas ferramentas do Windows Server 2003 Resource Kit.

    Para obter mais informações sobre como obter o Windows Server 2003 Resource Kit Tools ferramentas definido, visite a seguinte página Web da Microsoft:
    http://technet.microsoft.com/en-us/windowsserver/bb693323.aspx
  2. Siga os passos 1 a 7 da secção "Como manualmente anular a eliminação de objectos no contentor de um objecto eliminado" para localizar objectos principais de segurança eliminados. Se uma árvore foi eliminada, siga estes passos para localizar um contentor principal do objecto eliminado.
  3. Copie o valor do atributo objectGUID para a área de transferência do Windows.

    Pode colar este valor quando introduzir o comando <a0>Repadmin no passo 4.
  4. Escreva o seguinte comando:
    repadmin /showmeta GUID = <objectGUID > <FQDN>
    Por exemplo, se for o objectGUID do contentor ou objecto eliminado 791273b2-eba7-4285-a117-aa804ea76e95 e o nome de domínio totalmente qualificado (FQDN, Fully Qualified Domain Name) é dc.contoso.com, escreva o seguinte comando:
    repadmin /showmeta GUID = 791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com
    A sintaxe deste comando tem de incluir o GUID do objecto eliminado ou contentor e o nome de domínio completamente QUALIFICADO do servidor que pretende da origem de.
  5. Na saída do comando Repadmin, localize o controlador de datas, horas e domínio origem para o atributo isDeleted. For example, information for the isDeleted attribute appears in the fifth line of the following sample output:
    Loc.USN  Originating DC                  Org.USN  Org.Time/Date       Ver  Attribute
    -----------------------------------------------------------------------------------------------
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  objectClass
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  ou
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  instanceType
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  whenCreated
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   1  isDeleted
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  nTSecurityDescriptor
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  name
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   1  lastKnownParent
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  objectCategory
  6. Se o nome do controlador de domínio originador na segunda coluna do resultado é apresentado como um GUID alfanumérico de 32 caracteres, utilize o comando ping para resolver o GUID para o endereço IP e o nome do controlador de domínio que originou a eliminação. O comando ping utiliza a seguinte sintaxe:
    efectuar o ping ?a <originating DC GUID> controladores ._msdomain. <fully qualified path for forest root domain>
    Nota A opção "-a" é sensível a maiúsculas e minúsculas. Utilize o nome de domínio totalmente qualificado do domínio raiz da floresta independentemente do domínio que reside o controlador de domínio de origem.

    Por exemplo, se o controlador de domínio originador residido em qualquer domínio na floresta contoso.com e tinha um GUID de 644eb7e7-1566-4f29-a778-4b487637564b, escreva o seguinte comando:
    ping ?a 644eb7e7 - 1566 - 4f29 - a778 - 4b487637564b._msdomain controllers.contoso.com
    A saída devolvida por este comando é semelhante à seguinte:
    Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:
    
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
  7. Visualize o registo de segurança do controlador de domínio que originou a eliminação em ou sobre a hora em que foi indicada na saída do comando Repadmin no passo 5.

    Dar conta skews tempo e alterações de fuso horário entre os computadores que foram utilizados para chegar neste momento. Se eliminar a auditoria estiver activada OU contentores ou para os objectos eliminados, preste atenção para os eventos de auditoria relevantes. Se a auditoria não estiver activada, preste atenção aos utilizadores que tinha as permissões para eliminar OU contentores ou os objectos subordinados-las, e que também tinha autenticados através do controlador de domínio de origem o tempo antes da eliminação.

Como minimizar o impacto das eliminações em massa no futuro

As chaves para minimizar o impacto da eliminação em massa de utilizadores, dos computadores e grupos são para se certificar de que tem cópias de segurança de estado de sistema actualizados, perfeitamente controlar acesso a contas de utilizador com privilégios, para controlar firmemente o podem fazer essas contas de segurança e, finalmente, a recuperação de práticas de eliminações em massa.

Estado do sistema alterado ocorre todos os dias. Estas alterações podem incluir reposições de palavra-passe em contas de utilizador e em contas de computador, para além de alterações de membros do grupo e outras alterações de atributo nas contas de utilizador, contas de computador e no grupos de segurança. Se falhar o hardware, software falhar ou se o site experiências outro desastre, poderá pretender restaurar as cópias de segurança efectuadas após cada conjunto significativo de alterações em cada domínio do Active Directory e site na floresta. Se não a manutenção cópias de segurança actuais, poderá perder dados ou pode ter que recuperar objectos restaurados.

A Microsoft recomenda que execute os seguintes passos para evitar em massa eliminações:
  1. Não partilhe a palavra-passe para as contas de administrador incorporada ou permitir a contas de utilizador administrativos comuns para ser partilhado. Se for conhecida a palavra-passe da conta de administrador incorporada, altere a palavra-passe e definir um processo interno desencoraja a sua utilização. Eventos de auditoria para contas de utilizador partilhada tornam impossível determinar a identidade do utilizador que está a efectuar alterações no Active Directory. Por conseguinte, a utilização de contas de utilizador partilhada deve ser desencorajada.
  2. É muito raro que contas de utilizador, contas de computador e grupos de segurança intencionalmente são eliminados. Isto é especialmente verdade de eliminações de árvore. Dissociar a capacidade de serviço e administradores delegados para eliminar estes objectos da capacidade para criar e gerir contas de utilizador, contas de computador, grupos de segurança, OU contentores e respectivos atributos. Conceda apenas as contas de utilizador mais privilegiadas ou grupos de segurança elimina o direito de efectuar a árvore. Estas contas de utilizador com privilégios podem incluir os administradores da empresa.
  3. Conceda acesso apenas à classe de objecto que os administradores têm permissão para gerir administradores delegados. Por exemplo, é melhor se um administrador de secretária ajuda cujo trabalho principal consiste em modificar as propriedades nas contas de utilizador não tiver permissões para criar e eliminar contas de computador, grupos de segurança ou OU contentores. Esta restrição também se aplica a eliminar permissões para os administradores das outras classes de objecto específico.
  4. Experiências com as definições de auditoria para controlar operações de eliminação de um domínio de laboratório. Depois de estiver familiarizado com os resultados, aplica a melhor solução para o domínio de produção.
  5. Alterações de auditoria e controlo de acesso grossistas nos contentores hospedam dezenas de milhares de objectos podem efectuar a base de dados do Active Directory aumentar significativamente, especialmente em domínios do Windows 2000. Utilize um domínio de ensaio que espelha o domínio de produção para avaliar os potenciais alterações para libertar espaço em disco. Verifique se os volumes de disco rígido que hospedam os ficheiros NTDS.dit e os ficheiros de registo dos controladores de domínio no domínio do produção gratuitamente o espaço em disco. Evitar a definição de controlo de acesso e auditar alterações da cabeça de controlador de rede de domínio. Efectuar estas alterações desnecessárias seria aplicáveis a todos os objectos de todas as classes em todos os contentores na partição. Por exemplo, evite efectuar alterações ao sistema de nomes de domínio (DNS) e ligação distribuída (DLT) registo de registos na nomenclatura combinada de rastreio = pasta SYSTEM da partição de domínio.
  6. Utilize a estrutura de UO de melhores práticas para separar as contas de utilizador, contas de computador, grupos de segurança e contas de serviço na sua própria unidade organizacional. Quando utilizar essa estrutura, listas de controlo de acesso discricionário (DACL) pode ser aplicada a objectos de uma única classe de administração delegada e pode tornar possível a objectos sejam restaurados em conformidade com a classe do objecto se tiverem de ser restaurado. A estrutura de UO de melhores práticas é discutida na secção "Criar uma estrutura de unidade organizacional" do papel branco Best Practice Active Directory estrutura para gerir redes Windows. Para obter esta documentação técnica, visite o seguinte Web site da Microsoft:
    http://technet.microsoft.com/en-us/library/Bb727085.aspx
  7. Ensaio em massa eliminações num ambiente de teste que espelha no domínio da produção. Escolha o método de recuperação que faça sentido para si e, em seguida, personalizá-la à organização. Poderá identificar o seguinte:
    • Os nomes de cada domínio é regularmente cópia os controladores de domínio
    • Onde são armazenadas as imagens de cópia de segurança

      Idealmente, estas imagens são armazenadas num disco rígido adicional para um catálogo global em cada domínio na floresta local.
    • Os membros da organização de secretária à ajuda a contacte
    • A melhor forma de tornar esse contacto
  8. A maioria das eliminações em massa de contas de utilizador, contas de computador e dos grupos de segurança Microsoft vê são acidental. Debater este cenário com o pessoal de TI e desenvolver um plano de acção interna. Em primeiro lugar, foco precoce e devolver funcionalidade os utilizadores do domínio e a sua empresa tão rapidamente quanto possível. Também pode tomar medidas para impedir eliminações acidentais granel ocorra editando as listas de controlo de acesso (ACLs) de unidades organizacionais. Para mais informações sobre como utilizar ferramentas de interface do Windows para impedir eliminações acidentais a granel, visite o seguinte Web site da Microsoft para visualizar "A proteger contra acidental em massa eliminações no Active Directory":
    http://technet.microsoft.com/en-us/library/cc773347(WS.10).aspx
    Para obter mais informações sobre como impedir eliminações acidentais em massa utilizando Dsacls.exe na linha de comandos ou utilizando um script, visite o seguinte Web site da Microsoft para visualizar "Script para proteger unidades organizacionais (UO) da eliminação acidental":
    http://go.microsoft.com/fwlink/?LinkId=162623

Ferramentas e scripts que poderão ajudá-lo a recuperar eliminações em massa

O utilitário da linha de comandos Groupadd.exe lê o atributo memberOf numa colecção de utilizadores de uma UO e cria um ficheiro .ldf que adiciona cada conta de utilizador restaurado aos grupos de segurança em cada domínio na floresta.

Groupadd.exe detecta automaticamente os domínios e grupos de segurança que eliminou os utilizadores eram membros do e adiciona-os novamente para esses grupos. Este processo é explicado em detalhe mais no passo 11 do método 1.

Groupadd.exe executa os seguintes controladores de domínio:
  • Controladores de domínio do Windows Server 2003
  • Controladores de domínio do Windows 2000 que tenham o 1.1 do .NET framework instalado
Groupadd.exe utiliza a seguinte sintaxe:
after_restore ldf_file [/ before_restore ldf_file]
Aqui, ldf_file representa o nome do ficheiro a ser utilizado com o anterior argumento .ldf, after_restore representa a origem de dados do ficheiro de utilizador e before_restore representa os dados de utilizador do ambiente de produção. (A origem de dados do ficheiro de utilizador está nos dados de utilizador boa.)

Para obter Groupadd.exe, contacte o suporte técnico da Microsoft dos serviços.

Os produtos de outros fabricantes que este artigo aborda são fabricados por empresas independentes da Microsoft. A Microsoft não oferece nenhuma garantia, implícita ou outra, sobre o desempenho ou fiabilidade destes produtos.

Referências

Para obter mais informações sobre como restaurar um objecto que contém caracteres expandidos, clique nos números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
886689A operação de restauro autoritário Ntdsutil não tem êxito se o nome de caminho distinto contém caracteres expandidos no Windows Server 2003 e no Windows 2000
Para obter mais informações, clique nos números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft:
824684Descrição da terminologia padrão utilizada para descrever actualizações de software da Microsoft
910823Mensagem de erro quando tenta importar ficheiros .ldf num computador com o Windows Server 2003 com Service Pack 1: "Adicionar erro na linha LineNumber: sem esse objecto"
937855Depois de restaurar objectos eliminados executando um restauro autoritário num controlador de domínio baseado no Windows Server 2003, os atributos de alguns objectos ligados não são replicados para outros controladores de domínio

Para mais informações sobre como utilizar a funcionalidade de reciclagem AD incluída no Windows Server 2008 R2, consulte o Active Directory Reciclagem posição Step-by-Step Guide disponível a partir deste Web site da Microsoft: http://technet.microsoft.com/en-us/library/dd392261(WS.10).aspx

Propriedades

Artigo: 840001 - Última revisão: 30 de março de 2010 - Revisão: 13.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Server 2008 Foundation
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Palavras-chave: 
kbmt kbhowto kbwinservds kbactivedirectory KB840001 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 840001

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com