Restauración de cuentas de usuario eliminadas y sus pertenencias a grupos en Active Directory

Artículo
02/23/2024

En este artículo se proporciona información sobre cómo restaurar cuentas de usuario eliminadas y pertenencias a grupos en Active Directory.

Se aplica a: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Número de KB original: 840001

Introducción

Puede usar varios métodos para restaurar cuentas de usuario eliminadas, cuentas de equipo y grupos de seguridad. Estos objetos se conocen colectivamente como entidades de seguridad.

El método más común es habilitar la característica Papelera de reciclaje de AD compatible con controladores de dominio basados en Windows Server 2008 R2 y versiones posteriores. Para obtener más información sobre esta característica, incluido cómo habilitarla y restaurar objetos, consulte guía paso a paso de la papelera de reciclaje de Active Directory.

Si este método no está disponible, se pueden usar los tres métodos siguientes. En los tres métodos, restaura de forma autoritativa los objetos eliminados y, a continuación, restaura la información de pertenencia a grupos para las entidades de seguridad eliminadas. Al restaurar un objeto eliminado, debe restaurar los valores anteriores de los member atributos y memberOf en la entidad de seguridad afectada.

Nota:

La recuperación de objetos eliminados en Active Directory se puede simplificar habilitando la característica Papelera de reciclaje de AD compatible con controladores de dominio basados en Windows Server 2008 R2 y versiones posteriores. Para obtener más información sobre esta característica, incluido cómo habilitarla y restaurar objetos, consulte guía paso a paso de la papelera de reciclaje de Active Directory.

Más información

Los métodos 1 y 2 proporcionan una mejor experiencia para los usuarios y administradores del dominio. Estos métodos conservan las adiciones a los grupos de seguridad que se realizaron entre la hora de la última copia de seguridad de estado del sistema y el momento en que se produjo la eliminación. En el método 3, no se realizan ajustes individuales en las entidades de seguridad. En su lugar, revertirá las pertenencias a grupos de seguridad a su estado en el momento de la última copia de seguridad.

La mayoría de las eliminaciones a gran escala son accidentales. Microsoft recomienda realizar varios pasos para evitar que otros usuarios eliminen objetos de forma masiva.

Nota:

Para evitar la eliminación accidental o el movimiento de objetos (especialmente unidades organizativas), se pueden agregar dos entradas de control de acceso deny (ACE) al descriptor de seguridad de cada objeto (DENY DELETE & DELETE TREE) y se puede agregar una entrada de control de acceso deny (ACE) al descriptor de seguridad del elemento PRIMARIO de cada objeto (DENY DELETE CHILD). Para ello, use Usuarios y equipos de Active Directory, ADSIEdit, LDP o la herramienta de línea de comandos DSACLS. También puede cambiar los permisos predeterminados en el esquema de AD para las unidades organizativas para que estas ACE se incluyan de forma predeterminada.

Por ejemplo, para proteger la unidad de organización a la que se llama CONTOSO.COM para que no se mueva o elimine accidentalmente de su unidad organizativa primaria denominada MyCompany, realice la siguiente configuración:

Para la unidad organizativa MyCompany , agregue DENY ACE for Everyone to DELETE CHILD con este ámbito de solo objeto :

DSACLS "OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:DC"/

Para la unidad organizativa Usuarios, agregue DENY ACE for Everyone to DELETE y DELETE TREE con este ámbito de solo objeto :

DSACLS "OU=Users,OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:SDDT"

El complemento Usuarios y equipos de Active Directory en Windows Server 2008 incluye una casilla Proteger el objeto de eliminación accidental en la pestaña Objeto.

Nota:

La casilla Características avanzadas debe estar habilitada para ver esa pestaña.

Al crear una unidad organizativa mediante Usuarios y equipos de Active Directory en Windows Server 2008, aparece la casilla Proteger el contenedor de la eliminación accidental. De forma predeterminada, la casilla está seleccionada y se puede anular la selección.

Aunque puede configurar todos los objetos de Active Directory mediante estas ACE, es más adecuado para las unidades organizativas. La eliminación o los movimientos de todos los objetos hoja pueden tener un efecto importante. Esta configuración impide dichas eliminaciones o movimientos. Para eliminar o mover realmente un objeto mediante esta configuración, primero se deben quitar las ACE de denegación.

En este artículo se describe cómo restaurar cuentas de usuario, cuentas de equipo y sus pertenencias a grupos después de que se hayan eliminado de Active Directory. En las variaciones de este escenario, es posible que las cuentas de usuario, las cuentas de equipo o los grupos de seguridad se hayan eliminado individualmente o en alguna combinación. En todos estos casos, se aplican los mismos pasos iniciales. Restauración autoritativa o restauración de autenticación de los objetos que se eliminaron involuntariamente. Algunos objetos eliminados requieren más trabajo para restaurarse. Estos objetos incluyen objetos como cuentas de usuario que contienen atributos que son vínculos posteriores de los atributos de otros objetos. Dos de estos atributos son managedBy y memberOf.

Al agregar entidades de seguridad, como una cuenta de usuario, un grupo de seguridad o una cuenta de equipo a un grupo de seguridad, realiza los siguientes cambios en Active Directory:

El nombre de la entidad de seguridad se agrega al atributo de miembro de cada grupo de seguridad.
Para cada grupo de seguridad del que sea miembro el usuario, el equipo o el grupo de seguridad, se agrega un vínculo atrás al atributo de la entidad de memberOf seguridad.

De forma similar, cuando se elimina un usuario, un equipo o un grupo de Active Directory, se producen las siguientes acciones:

La entidad de seguridad eliminada se mueve al contenedor de objetos eliminados.
Algunos valores de atributo, incluido el memberOf atributo, se quitan de la entidad de seguridad eliminada.
Las entidades de seguridad eliminadas se quitan de los grupos de seguridad de los que eran miembros. Es decir, las entidades de seguridad eliminadas se quitan del atributo de miembro de cada grupo de seguridad.

Al recuperar entidades de seguridad eliminadas y restaurar sus pertenencias a grupos, cada entidad de seguridad debe existir en Active Directory antes de restaurar su pertenencia a grupos. El miembro puede ser un usuario, un equipo u otro grupo de seguridad. Para volver a establecer esta regla de forma más amplia, debe existir un objeto que contenga atributos cuyos valores son vínculos devueltos en Active Directory antes de que se pueda restaurar o modificar el objeto que contiene ese vínculo hacia delante.

Este artículo se centra en cómo recuperar cuentas de usuario eliminadas y sus pertenencias a grupos de seguridad. Sus conceptos se aplican igualmente a otras eliminaciones de objetos. Los conceptos de este artículo se aplican igualmente a los objetos eliminados cuyos valores de atributo usan vínculos hacia delante y vínculos posteriores a otros objetos de Active Directory.

Puede usar cualquiera de los tres métodos para recuperar entidades de seguridad. Cuando se usa el método 1, se dejan en su lugar todas las entidades de seguridad que se agregaron a cualquier grupo de seguridad de todo el bosque. Además, solo se agregan las entidades de seguridad que se eliminaron de sus dominios respectivos a sus grupos de seguridad. Por ejemplo, se realiza una copia de seguridad de estado del sistema, se agrega un usuario a un grupo de seguridad y, a continuación, se restaura la copia de seguridad del estado del sistema. Cuando se usan los métodos 1 o 2, se conservan los usuarios que se agregaron a grupos de seguridad que contienen usuarios eliminados entre las fechas en que se creó la copia de seguridad del estado del sistema y la fecha en que se restauró la copia de seguridad. Cuando se usa el método 3, se revierten las pertenencias a grupos de seguridad de todos los grupos de seguridad que contienen usuarios eliminados a su estado en el momento de la copia de seguridad del estado del sistema.

Método 1: restaura las cuentas de usuario eliminadas y, a continuación, vuelve a agregar los usuarios restaurados a sus grupos mediante la herramienta de línea de comandos Ntdsutil.exe

La herramienta de línea de comandos Ntdsutil.exe permite restaurar los vínculos posteriores de los objetos eliminados. Se generan dos archivos para cada operación de restauración autoritativa. Un archivo contiene una lista de objetos restaurados autoritativamente. El otro archivo es un archivo .ldf que se usa con la utilidad Ldifde.exe. Este archivo se usa para restaurar los vínculos posteriores de los objetos que se restauran autoritativamente. Una restauración autoritativa de un objeto de usuario también genera archivos de formato de intercambio de datos LDAP (LDIF) con la pertenencia a grupos. Este método evita una restauración doble.

Cuando se usa este método, se realizan los siguientes pasos de alto nivel:

Compruebe si un catálogo global del dominio del usuario no se ha replicado en la eliminación. Y, a continuación, impedir que se replica ese catálogo global. Si no hay ningún catálogo global latente, busque la copia de seguridad de estado del sistema más actual de un controlador de dominio de catálogo global en el dominio principal del usuario eliminado.
La autenticación restaura todas las cuentas de usuario eliminadas y, a continuación, permite la replicación de un extremo a otro de esas cuentas de usuario.
Vuelva a agregar todos los usuarios restaurados a todos los grupos de todos los dominios de los que las cuentas de usuario eran miembros antes de que se eliminaran.

Para usar el método 1, siga este procedimiento:

Compruebe si hay un controlador de dominio de catálogo global en el dominio principal del usuario eliminado que no ha replicado ninguna parte de la eliminación.

Nota:

Céntrese en los catálogos globales que tienen las programaciones de replicación menos frecuentes.

Si existe uno o varios de estos catálogos globales, siga estos pasos para usar la herramienta de línea de comandos Repadmin.exe para deshabilitar inmediatamente la replicación entrante:
1. Haga clic en Inicio y, a continuación, en Ejecutar.
2. Escriba cmd en el cuadro Abrir y, a continuación, seleccione Aceptar.
3. Escriba el siguiente comando en el símbolo del sistema y presione ENTRAR:
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
  Nota:
  
  Si no puede emitir el comando inmediatamente, quite toda la conectividad de red del catálogo global latente hasta que pueda usar Repadmin para deshabilitar la Repadmin replicación entrante y, a continuación, devuelva inmediatamente la conectividad de red.
Este controlador de dominio se denominará controlador de dominio de recuperación. Si no hay ningún catálogo global de este tipo, vaya al paso 2.
Es mejor dejar de realizar cambios en los grupos de seguridad del bosque si se cumplen todas las instrucciones siguientes:
- Está usando el método 1 para restaurar autoritativamente usuarios eliminados o cuentas de equipo por su ruta de acceso de nombre distintivo (dn).
- La eliminación se ha replicado en todos los controladores de dominio del bosque, excepto en el controlador de dominio de recuperación latente.
- No se autentica la restauración de grupos de seguridad ni de sus contenedores primarios.
Si está autenticando la restauración de grupos de seguridad o contenedores de unidades organizativas (OU) que hospedan grupos de seguridad o cuentas de usuario, detenga temporalmente todos estos cambios.

Notifique a los administradores y administradores del departamento de soporte técnico en los dominios adecuados, además de a los usuarios del dominio en el que se produjo la eliminación al detener estos cambios.
Cree una nueva copia de seguridad del estado del sistema en el dominio donde se produjo la eliminación. Puede usar esta copia de seguridad si tiene que revertir los cambios.

Nota:

Si las copias de seguridad de estado del sistema están actualizadas hasta el punto de la eliminación, omita este paso y vaya al paso 4.

Si ha identificado un controlador de dominio de recuperación en el paso 1, haga una copia de seguridad de su estado del sistema ahora.

Si todos los catálogos globales ubicados en el dominio donde se produjo la eliminación se replicaron en la eliminación, realice una copia de seguridad del estado del sistema de un catálogo global en el dominio donde se produjo la eliminación.

Al crear una copia de seguridad, puede devolver el controlador de dominio de recuperación a su estado actual. Y vuelva a realizar el plan de recuperación si el primer intento no se realiza correctamente.
Si no encuentra un controlador de dominio de catálogo global latente en el dominio donde se produjo la eliminación del usuario, busque la copia de seguridad de estado del sistema más reciente de un controlador de dominio de catálogo global en ese dominio. Esta copia de seguridad del estado del sistema debe contener los objetos eliminados. Use este controlador de dominio como controlador de dominio de recuperación.

Solo las restauraciones de los controladores de dominio del catálogo global del dominio del usuario contienen información global y universal de pertenencia a grupos de seguridad que residen en dominios externos. Si no hay ninguna copia de seguridad del estado del sistema de un controlador de dominio de catálogo global en el dominio donde se eliminaron los usuarios, no puede usar el memberOf atributo en las cuentas de usuario restauradas para determinar la pertenencia a grupos global o universal o para recuperar la pertenencia a dominios externos. Además, es una buena idea encontrar la copia de seguridad de estado del sistema más reciente de un controlador de dominio de catálogo no global.
Si conoce la contraseña de la cuenta de administrador sin conexión, inicie el controlador de dominio de recuperación en modo Desaprovisionamiento. Si no conoce la contraseña de la cuenta de administrador sin conexión, restablezca la contraseña con ntdsutil.exe mientras el controlador de dominio de recuperación sigue en modo normal de Active Directory.

Puede usar la herramienta de línea de comandos setpwd para restablecer la contraseña en los controladores de dominio mientras están en modo de Active Directory en línea.

Nota:

Microsoft ya no admite Windows 2000.

Los administradores de controladores de dominio de Windows Server 2003 y versiones posteriores pueden usar el set dsrm password comando de la herramienta de línea de comandos Ntdsutil para restablecer la contraseña de la cuenta de administrador sin conexión.

Para obtener más información sobre cómo restablecer la cuenta de administrador del modo de restauración de Servicios de directorio, vea Cómo restablecer la contraseña de la cuenta de administrador del modo de restauración de servicios de directorio en Windows Server.
Presione F8 durante el proceso de inicio para iniciar el controlador de dominio de recuperación en modo Desaprobación. Inicie sesión en la consola del controlador de dominio de recuperación con la cuenta de administrador sin conexión. Si restablece la contraseña en el paso 5, use la nueva contraseña.

Si el controlador de dominio de recuperación es un controlador de dominio de catálogo global latente, no restaure el estado del sistema. Vaya al paso 7.

Si va a crear el controlador de dominio de recuperación mediante una copia de seguridad de estado del sistema, restaure la copia de seguridad de estado del sistema más reciente que se realizó en el controlador de dominio de recuperación ahora.
La autenticación restaura las cuentas de usuario eliminadas, las cuentas de equipo eliminadas o los grupos de seguridad eliminados.

Nota:

Los términos restauración de autenticación y restauración autoritativa hacen referencia al proceso de uso del comando de restauración autoritativa en la herramienta de línea de comandos Ntdsutil para incrementar los números de versión de objetos específicos o de contenedores específicos y todos sus objetos subordinados. En cuanto se produce la replicación de un extremo a otro, los objetos de destino de la copia local del controlador de dominio de recuperación de Active Directory se vuelven autoritativos en todos los controladores de dominio que comparten esa partición. Una restauración autoritativa es diferente de una restauración de estado del sistema. Una restauración del estado del sistema rellena la copia local del controlador de dominio restaurado de Active Directory con las versiones de los objetos en el momento en que se realizó la copia de seguridad del estado del sistema.

Las restauraciones autoritarias se realizan con la herramienta de línea de comandos Ntdsutil y hacen referencia a la ruta de acceso de nombre de dominio (dn) de los usuarios eliminados o de los contenedores que hospedan a los usuarios eliminados.

Al autenticar la restauración, use rutas de acceso de nombre de dominio (dn) que sean tan bajas en el árbol de dominio como tienen que ser. El propósito es evitar la reversión de objetos que no están relacionados con la eliminación. Estos objetos pueden incluir objetos que se modificaron después de realizar la copia de seguridad del estado del sistema.

Restaure la autenticación de los usuarios eliminados en el orden siguiente:
1. La autenticación restaura la ruta de acceso del nombre de dominio (dn) para cada cuenta de usuario, cuenta de equipo o grupo de seguridad eliminados.
  
  Las restauraciones autoritarias de objetos específicos tardan más tiempo, pero son menos destructivas que las restauraciones autoritarias de todo un subárbol. La autenticación restaura el contenedor primario común más bajo que contiene los objetos eliminados.
  
  Ntdsutil usa la sintaxis siguiente:
```
ntdsutil "authoritative restore" "restore object <object DN path>" q q
```
  Por ejemplo, para restaurar autoritativamente el usuario eliminado John Doe en la unidad organizativa Mayberry del Contoso.com dominio, use el siguiente comando:
```
ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
```
  Para restaurar autoritativamente el grupo de seguridad eliminado ContosoPrintAccess en la unidad organizativa Mayberry del Contoso.com dominio, use el siguiente comando:
```
ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
```
  Importante
  
  Se requiere el uso de comillas.
  
  Para cada usuario que restaure, se generan al menos dos archivos. Estos archivos tienen el siguiente formato:
  
  ar_YYYYMMDD-HHMMSS_objects.txt
  Este archivo contiene una lista de los objetos restaurados autoritativamente. Use este archivo con el comando ntdsutil de restauración create ldif file from autoritativa en cualquier otro dominio del bosque donde el usuario era miembro de grupos locales de dominio.
  
  ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
  Si realiza la restauración de autenticación en un catálogo global, se genera uno de estos archivos para cada dominio del bosque. Este archivo contiene un script que puede usar con la utilidad Ldifde.exe. El script restaura los vínculos posteriores de los objetos restaurados. En el dominio principal del usuario, el script restaura todas las pertenencias a grupos de los usuarios restaurados. En todos los demás dominios del bosque donde el usuario tiene pertenencia a grupos, el script restaura solo las pertenencias a grupos universales y globales. El script no restaura ninguna pertenencia a grupos locales de dominio. Un catálogo global no realiza un seguimiento de estas pertenencias.
2. La autenticación restaura solo los contenedores de UO o Common-Name (CN) que hospedan las cuentas de usuario o grupos eliminados.
  
  Las restauraciones autoritarias de un subárbol completo son válidas cuando la unidad organizativa dirigida por el comando ntdsutil de restauración autoritativa contiene la mayoría de los objetos que intenta restaurar de forma autoritativa. Lo ideal es que la unidad organizativa de destino contenga todos los objetos que intenta restaurar autoritativamente.
  
  Una restauración autoritativa en un subárbol de unidad organizativa restaura todos los atributos y objetos que residen en el contenedor. Los cambios realizados hasta el momento en que se restaura una copia de seguridad de estado del sistema se revierten a sus valores en el momento de la copia de seguridad. Con las cuentas de usuario, las cuentas de equipo y los grupos de seguridad, esta reversión puede significar la pérdida de los cambios más recientes en:
  - Contraseñas
  - el directorio principal
  - la ruta de acceso del perfil
  - ubicación
  - información de contacto
  - pertenencia a grupos
  - los descriptores de seguridad definidos en esos objetos y atributos.
  Ntdsutil usa la sintaxis siguiente:
```
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
```
  Por ejemplo, para restaurar autoritativamente la unidad organizativa Mayberry del Contoso.com dominio, use el siguiente comando:
```
ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
```
  Nota:
  
  Repita este paso para cada unidad organizativa del mismo nivel que hospede usuarios o grupos eliminados.
  
  Importante
  
  Al restaurar un objeto subordinado de una unidad organizativa, se deben restaurar explícitamente todos los contenedores primarios eliminados de los objetos subordinados eliminados.
  
  Para cada unidad organizativa que restaure, se generan al menos dos archivos. Estos archivos tienen el siguiente formato:
  
  ar_YYYYMMDD-HHMMSS_objects.txt
  Este archivo contiene una lista de los objetos restaurados autoritativamente. Use este archivo con el comando de restauración create ldif file from autoritativa ntdsutil en cualquier otro dominio del bosque donde los usuarios restaurados eran miembros de grupos locales de dominio.
  
  ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
  Este archivo contiene un script que puede usar con la utilidad Ldifde.exe. El script restaura los vínculos posteriores de los objetos restaurados. En el dominio principal del usuario, el script restaura todas las pertenencias a grupos de los usuarios restaurados.
Si los objetos eliminados se recuperaron en el controlador de dominio de recuperación debido a una restauración del estado del sistema, quite todos los cables de red que proporcionan conectividad de red a todos los demás controladores de dominio del bosque.
Reinicie el controlador de dominio de recuperación en modo normal de Active Directory.
Escriba el siguiente comando para deshabilitar la replicación entrante en el controlador de dominio de recuperación:
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
Vuelva a habilitar la conectividad de red con el controlador de dominio de recuperación cuyo estado del sistema se restauró.
Replicar de salida los objetos restaurados por autenticación desde el controlador de dominio de recuperación a los controladores de dominio del dominio y del bosque.

Mientras la replicación entrante en el controlador de dominio de recuperación permanece deshabilitada, escriba el siguiente comando para insertar los objetos restaurados por autenticación en todos los controladores de dominio de réplica entre sitios del dominio y en todos los catálogos globales del bosque:
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Si se cumplen todas las instrucciones siguientes, los vínculos de pertenencia a grupos se vuelven a crear con la restauración y la replicación de las cuentas de usuario eliminadas. Vaya al paso 14.

Nota:

Si una o varias de las siguientes instrucciones no son verdaderas, vaya al paso 12.
- El bosque se ejecuta en el nivel funcional del bosque de Windows Server 2003 y versiones posteriores o posteriores, o en el nivel funcional del bosque provisional de Windows Server 2003 y versiones posteriores o posteriores.
- Solo se eliminaron cuentas de usuario o cuentas de equipo y no grupos de seguridad.
- Los usuarios eliminados se agregaron a grupos de seguridad en todos los dominios del bosque después de que el bosque se pasara a Windows Server 2003 y versiones posteriores, o a un nivel funcional de bosque posterior.
En la consola del controlador de dominio de recuperación, use la utilidad Ldifde.exe y la ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf para restaurar las pertenencias a grupos del usuario. Para ello, siga estos pasos:
- Seleccione Inicio, seleccione Ejecutar, escriba cmd en el cuadro Abrir y, a continuación, seleccione Aceptar.
- En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:
```
ldifde -i -f ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
```
Habilite la replicación entrante en el controlador de dominio de recuperación mediante el siguiente comando:
```
repadmin /options <recovery dc name> -DISABLE_INBOUND_REPL
```
Si los usuarios eliminados se agregaron a grupos locales en dominios externos, realice una de las siguientes acciones:
- Vuelva a agregar manualmente los usuarios eliminados a esos grupos.
- Restaure el estado del sistema y restaure la autenticación de cada uno de los grupos de seguridad locales que contiene los usuarios eliminados.
Compruebe la pertenencia a grupos en el dominio del controlador de dominio de recuperación y en los catálogos globales de otros dominios.
Realice una nueva copia de seguridad del estado del sistema de los controladores de dominio en el dominio del controlador de dominio de recuperación.
Notifique a todos los administradores del bosque, administradores delegados, administradores del departamento de soporte técnico del bosque y usuarios del dominio que la restauración del usuario está completa.

Es posible que los administradores del departamento de soporte técnico tengan que restablecer las contraseñas de las cuentas de usuario restauradas por la autenticación y las cuentas de equipo cuya contraseña de dominio cambió después de que se realizara el sistema restaurado.

Los usuarios que cambiaron sus contraseñas después de realizar la copia de seguridad del estado del sistema descubrirán que su contraseña más reciente ya no funciona. Haga que estos usuarios intenten iniciar sesión con sus contraseñas anteriores si las conocen. De lo contrario, los administradores del departamento de soporte técnico deben restablecer la contraseña y seleccionar la casilla de verificación el usuario debe cambiar la contraseña en el siguiente inicio de sesión . Hágalo preferiblemente en un controlador de dominio en el mismo sitio de Active Directory en el que se encuentra el usuario.

Método 2: restaurar las cuentas de usuario eliminadas y, a continuación, volver a agregar los usuarios restaurados a sus grupos

Cuando se usa este método, se realizan los siguientes pasos de alto nivel:

Compruebe si un catálogo global del dominio del usuario no se ha replicado en la eliminación. Y, a continuación, impedir que se replica ese catálogo global. Si no hay ningún catálogo global latente, busque la copia de seguridad de estado del sistema más actual de un controlador de dominio de catálogo global en el dominio principal del usuario eliminado.
La autenticación restaura todas las cuentas de usuario eliminadas y, a continuación, permite la replicación de un extremo a otro de esas cuentas de usuario.
Vuelva a agregar todos los usuarios restaurados a todos los grupos de todos los dominios de los que las cuentas de usuario eran miembros antes de que se eliminaran.

Para usar el método 2, siga este procedimiento:

Compruebe si hay un controlador de dominio de catálogo global en el dominio principal del usuario eliminado que no ha replicado ninguna parte de la eliminación.

Nota:

Céntrese en los catálogos globales que tienen las programaciones de replicación menos frecuentes.

Si existe uno o varios de estos catálogos globales, use la herramienta de línea de comandos Repadmin.exe para deshabilitar inmediatamente la replicación entrante. Para ello, siga estos pasos:
1. Haga clic en Inicio y, a continuación, en Ejecutar.
2. Escriba cmd en el cuadro Abrir y, a continuación, seleccione Aceptar.
3. Escriba el siguiente comando en el símbolo del sistema y presione ENTRAR:
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
Nota:

Si no puede emitir el comando Repadmin inmediatamente, quite toda la conectividad de red del catálogo global latente hasta que pueda usar Repadmin para deshabilitar la replicación entrante y, a continuación, devuelva inmediatamente la conectividad de red.

Este controlador de dominio se denominará controlador de dominio de recuperación. Si no hay ningún catálogo global de este tipo, vaya al paso 2.
Decida si se deben detener temporalmente las adiciones, eliminaciones y cambios en cuentas de usuario, cuentas de equipo y grupos de seguridad hasta que se completen todos los pasos de recuperación.

Para mantener la ruta de recuperación más flexible, deje de realizar cambios temporalmente en los siguientes elementos. Los cambios incluyen el restablecimiento de contraseña por parte de los usuarios del dominio, los administradores del departamento de soporte técnico y los administradores del dominio donde se produjo la eliminación, además de los cambios de pertenencia a grupos en los grupos de usuarios eliminados. Considere la posibilidad de detener adiciones, eliminaciones y modificaciones en los siguientes elementos:
1. Cuentas de usuario y atributos en cuentas de usuario
2. Cuentas de equipo y atributos en cuentas de equipo
3. Cuentas de servicio
4. Grupos de seguridad
Es mejor dejar de realizar cambios en los grupos de seguridad del bosque si se cumplen todas las instrucciones siguientes:
- Está usando el método 2 para restaurar autoritativamente usuarios eliminados o cuentas de equipo por su ruta de acceso de nombre de dominio (dn).
- La eliminación se ha replicado en todos los controladores de dominio del bosque, excepto en el controlador de dominio de recuperación latente.
- No se autentica la restauración de grupos de seguridad ni de sus contenedores primarios.
Si está autenticando la restauración de grupos de seguridad o contenedores de unidades organizativas (OU) que hospedan grupos de seguridad o cuentas de usuario, detenga temporalmente todos estos cambios.

Notifique a los administradores y administradores del departamento de soporte técnico en los dominios adecuados, además de a los usuarios del dominio en el que se produjo la eliminación al detener estos cambios.
Cree una nueva copia de seguridad del estado del sistema en el dominio donde se produjo la eliminación. Puede usar esta copia de seguridad si tiene que revertir los cambios.

Nota:

Si las copias de seguridad de estado del sistema están actualizadas hasta el punto de la eliminación, omita este paso y vaya al paso 4.

Si ha identificado un controlador de dominio de recuperación en el paso 1, haga una copia de seguridad de su estado del sistema ahora.

Si todos los catálogos globales ubicados en el dominio donde se produjo la eliminación se replicaron en la eliminación, realice una copia de seguridad del estado del sistema de un catálogo global en el dominio donde se produjo la eliminación.

Al crear una copia de seguridad, puede devolver el controlador de dominio de recuperación a su estado actual. Y vuelva a realizar el plan de recuperación si el primer intento no se realiza correctamente.
Si no encuentra un controlador de dominio de catálogo global latente en el dominio donde se produjo la eliminación del usuario, busque la copia de seguridad de estado del sistema más reciente de un controlador de dominio de catálogo global en ese dominio. Esta copia de seguridad del estado del sistema debe contener los objetos eliminados. Use este controlador de dominio como controlador de dominio de recuperación.

Solo las restauraciones de los controladores de dominio del catálogo global del dominio del usuario contienen información global y universal de pertenencia a grupos de seguridad que residen en dominios externos. Si no hay ninguna copia de seguridad del estado del sistema de un controlador de dominio de catálogo global en el dominio donde se eliminaron los usuarios, no puede usar el memberOf atributo en las cuentas de usuario restauradas para determinar la pertenencia a grupos global o universal o para recuperar la pertenencia a dominios externos. Además, es una buena idea encontrar la copia de seguridad de estado del sistema más reciente de un controlador de dominio de catálogo no global.
Si conoce la contraseña de la cuenta de administrador sin conexión, inicie el controlador de dominio de recuperación en modo Desaprovisionamiento. Si no conoce la contraseña de la cuenta de administrador sin conexión, restablezca la contraseña mientras el controlador de dominio de recuperación sigue en modo normal de Active Directory.

Puede usar la herramienta de línea de comandos setpwd para restablecer la contraseña en los controladores de dominio que ejecutan Windows 2000 Service Pack 2 (SP2) y versiones posteriores mientras están en modo active directory en línea.

Nota:

Microsoft ya no admite Windows 2000.

Los administradores de controladores de dominio de Windows Server 2003 y versiones posteriores pueden usar el set dsrm password comando de la herramienta de línea de comandos Ntdsutil para restablecer la contraseña de la cuenta de administrador sin conexión.

Para obtener más información sobre cómo restablecer la cuenta de administrador del modo de restauración de Servicios de directorio, vea Cómo restablecer la contraseña de la cuenta de administrador del modo de restauración de servicios de directorio en Windows Server.
Presione F8 durante el proceso de inicio para iniciar el controlador de dominio de recuperación en modo Desaprobación. Inicie sesión en la consola del controlador de dominio de recuperación con la cuenta de administrador sin conexión. Si restablece la contraseña en el paso 5, use la nueva contraseña.

Si el controlador de dominio de recuperación es un controlador de dominio de catálogo global latente, no restaure el estado del sistema. Vaya al paso 7.

Si va a crear el controlador de dominio de recuperación mediante una copia de seguridad de estado del sistema, restaure la copia de seguridad de estado del sistema más reciente que se realizó en el controlador de dominio de recuperación ahora.
La autenticación restaura las cuentas de usuario eliminadas, las cuentas de equipo eliminadas o los grupos de seguridad eliminados.

Nota:

Los términos restauración de autenticación y restauración autoritativa hacen referencia al proceso de uso del comando de restauración autoritativa en la herramienta de línea de comandos Ntdsutil para incrementar los números de versión de objetos específicos o de contenedores específicos y todos sus objetos subordinados. En cuanto se produce la replicación de un extremo a otro, los objetos de destino de la copia local del controlador de dominio de recuperación de Active Directory se vuelven autoritativos en todos los controladores de dominio que comparten esa partición. Una restauración autoritativa es diferente de una restauración de estado del sistema. Una restauración del estado del sistema rellena la copia local del controlador de dominio restaurado de Active Directory con las versiones de los objetos en el momento en que se realizó la copia de seguridad del estado del sistema.

Las restauraciones autoritarias se realizan con la herramienta de línea de comandos Ntdsutil y hacen referencia a la ruta de acceso de nombre de dominio (dn) de los usuarios eliminados o de los contenedores que hospedan a los usuarios eliminados.

Al autenticar la restauración, use rutas de acceso de nombre de dominio (dn) que sean tan bajas en el árbol de dominio como tienen que ser. El propósito es evitar la reversión de objetos que no están relacionados con la eliminación. Estos objetos pueden incluir objetos que se modificaron después de realizar la copia de seguridad del estado del sistema.

Restaure la autenticación de los usuarios eliminados en el orden siguiente:
1. La autenticación restaura la ruta de acceso del nombre de dominio (dn) para cada cuenta de usuario, cuenta de equipo o grupo de seguridad eliminados.
  
  Las restauraciones autoritarias de objetos específicos tardan más tiempo, pero son menos destructivas que las restauraciones autoritarias de todo un subárbol. La autenticación restaura el contenedor primario común más bajo que contiene los objetos eliminados.
  
  Ntdsutil usa la sintaxis siguiente:
```
ntdsutil "authoritative restore" "restore object <object DN path>" q q
```
  Por ejemplo, para restaurar autoritativamente el usuario eliminado John Doe en la unidad organizativa Mayberry del Contoso.com dominio, use el siguiente comando:
```
ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
```
  Para restaurar autoritativamente el grupo de seguridad eliminado ContosoPrintAccess en la unidad organizativa Mayberry del Contoso.com dominio, use el siguiente comando:
```
ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
```
  Importante
  
  Se requiere el uso de comillas.
  
  Nota:
  
  Esta sintaxis solo está disponible en Windows Server 2003 y versiones posteriores. La única sintaxis de Windows 2000 es usar lo siguiente:
```
ntdsutil "authoritative restore" "restore subtree object DN path"
```
  Nota:
  
  La operación de restauración autoritativa ntdsutil no se realiza correctamente si la ruta de acceso de nombre distintivo (DN) contiene caracteres o espacios extendidos. Para que la restauración con scripts se realice correctamente, el restore object <DN path> comando debe pasarse como una cadena completa.
  
  Para solucionar este problema, ajuste el DN que contiene caracteres y espacios extendidos con secuencias de escape de barra diagonal inversa y comillas dobles. A continuación le mostramos un ejemplo:
```
ntdsutil "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\"" q q
```
  Nota:
  
  El comando debe modificarse aún más si el DN de los objetos que se restauran contienen comas. Vea el ejemplo siguiente:
```
ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\"" q q
```
  Nota:
  
  Si los objetos se restauraron a partir de cinta, marcados como autoritativos y la restauración no funcionó según lo esperado y, a continuación, se usa la misma cinta para restaurar la base de datos NTDS una vez más, la versión USN de los objetos que se restaurarán autoritativamente debe aumentarse más que el valor predeterminado de 100000 o los objetos no se replicarán después de la segunda restauración. La sintaxis siguiente es necesaria para crear scripts con un número de versión mayor que 100000 (valor predeterminado):
```
ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
```
  Nota:
  
  Si el script solicita confirmación en cada objeto que se va a restaurar, puede desactivar las solicitudes. La sintaxis para desactivar la solicitud es:
```
ntdsutil "popups off" "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
```
2. La autenticación restaura solo los contenedores de UO o Common-Name (CN) que hospedan las cuentas de usuario o grupos eliminados.
  
  Las restauraciones autoritarias de un subárbol completo son válidas cuando la unidad organizativa dirigida por el comando ntdsutil de restauración autoritativa contiene la mayoría de los objetos que intenta restaurar de forma autoritativa. Lo ideal es que la unidad organizativa de destino contenga todos los objetos que intenta restaurar autoritativamente.
  
  Una restauración autoritativa en un subárbol de unidad organizativa restaura todos los atributos y objetos que residen en el contenedor. Los cambios realizados hasta el momento en que se restaura una copia de seguridad de estado del sistema se revierten a sus valores en el momento de la copia de seguridad. Con las cuentas de usuario, las cuentas de equipo y los grupos de seguridad, esta reversión puede significar la pérdida de los cambios más recientes en las contraseñas, en el directorio principal, en la ruta de acceso del perfil, en la ubicación y en la información de contacto, en la pertenencia a grupos y en los descriptores de seguridad definidos en esos objetos y atributos.
  
  Ntdsutil usa la sintaxis siguiente:
```
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
```
  Por ejemplo, para restaurar autoritativamente la unidad organizativa Mayberry del Contoso.com dominio, use el siguiente comando:
```
ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
```
  Nota:
  
  Repita este paso para cada unidad organizativa del mismo nivel que hospede usuarios o grupos eliminados.
  
  Importante
  
  Al restaurar un objeto subordinado de una unidad organizativa, se deben restaurar explícitamente todos los contenedores primarios eliminados de los objetos subordinados eliminados.
Si los objetos eliminados se recuperaron en el controlador de dominio de recuperación debido a una restauración del estado del sistema, quite todos los cables de red que proporcionan conectividad de red a todos los demás controladores de dominio del bosque.
Reinicie el controlador de dominio de recuperación en modo normal de Active Directory.
Escriba el siguiente comando para deshabilitar la replicación entrante en el controlador de dominio de recuperación:
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
Vuelva a habilitar la conectividad de red con el controlador de dominio de recuperación cuyo estado del sistema se restauró.
Replicar de salida los objetos restaurados por autenticación desde el controlador de dominio de recuperación a los controladores de dominio del dominio y del bosque.

Mientras la replicación entrante en el controlador de dominio de recuperación permanece deshabilitada, escriba el siguiente comando para insertar los objetos restaurados por autenticación en todos los controladores de dominio de réplica entre sitios del dominio y en todos los catálogos globales del bosque:
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Si se cumplen todas las instrucciones siguientes, los vínculos de pertenencia a grupos se vuelven a crear con la restauración y la replicación de las cuentas de usuario eliminadas. Vaya al paso 14.

Nota:

Si una o varias de las siguientes instrucciones no son verdaderas, vaya al paso 12.
- El bosque se ejecuta en el nivel funcional del bosque de Windows Server 2003 y versiones posteriores, o en el nivel funcional del bosque provisional de Windows Server 2003 y versiones posteriores.
- Solo se eliminaron cuentas de usuario o cuentas de equipo y no grupos de seguridad.
- Los usuarios eliminados se agregaron a grupos de seguridad en todos los dominios del bosque después de que el bosque se pasara a Windows Server 2003 y a un nivel funcional de bosque posterior.
Determine de qué grupos de seguridad eran miembros los usuarios eliminados y, a continuación, agréguelos a esos grupos.

Nota:

Para poder agregar usuarios a grupos, los usuarios que ha autenticado restaurado en el paso 7 y a los que ha replicado de salida en el paso 11 deben haberse replicado en los controladores de dominio del dominio del controlador de dominio al que se hace referencia y en todos los controladores de dominio del catálogo global del bosque.

Si ha implementado una utilidad de aprovisionamiento de grupos para repopular la pertenencia a grupos de seguridad, use esa utilidad para restaurar los usuarios eliminados en los grupos de seguridad de los que eran miembros antes de que se eliminaran. Hágalo después de que todos los controladores de dominio directos y transitivos del dominio del bosque y los servidores de catálogo global hayan replicado de entrada a los usuarios restaurados por autenticación y a los contenedores restaurados.

Si no tiene la utilidad , las herramientas de línea Ldifde.exe de comandos y Groupadd.exe pueden automatizar esta tarea cuando se ejecutan en el controlador de dominio de recuperación. Estas herramientas están disponibles en los Servicios de soporte técnico de Microsoft. En este escenario, Ldifde.exe crea un archivo de información de formato de intercambio de datos LDAP (LDIF) que contiene los nombres de las cuentas de usuario y sus grupos de seguridad. Se inicia en un contenedor de unidad organizativa que especifica el administrador. Groupadd.exe, a continuación, lee el memberOf atributo de cada cuenta de usuario que aparece en el archivo .ldf. A continuación, genera información LDIF independiente y única para cada dominio del bosque. Esta información de LDIF contiene los nombres de los grupos de seguridad asociados a los usuarios eliminados. Use la información de LDIF para volver a agregar la información a los usuarios para que se puedan restaurar sus pertenencias a grupos. Siga estos pasos para esta fase de la recuperación:
1. Inicie sesión en la consola del controlador de dominio de recuperación mediante una cuenta de usuario que sea miembro del grupo de seguridad del administrador de dominio.
2. Use el comando Ldifde para volcar los nombres de las cuentas de usuario eliminadas anteriormente y sus memberOf atributos, empezando en el contenedor de unidad organizativa superior donde se produjo la eliminación. El comando Ldifde usa la sintaxis siguiente:
```
ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=user)" -l memberof -p subtree -f user_membership_after_restore.ldf
```
  Use la sintaxis siguiente si se agregaron cuentas de equipo eliminadas a grupos de seguridad:
```
ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=computer)" -l memberof -p subtree -f computer_membership_after_restore.ldf
```
3. Ejecute el Groupadd comando para compilar más archivos .ldf que contengan los nombres de los dominios y los nombres de los grupos de seguridad globales y universales de los que los usuarios eliminados eran miembros. El Groupadd comando usa la sintaxis siguiente:
```
Groupadd / after_restore users_membership_after_restore.ldf
```
  Repita este comando si se agregaron cuentas de equipo eliminadas a grupos de seguridad.
4. Importe cada Groupaddarchivo _fully.qualified.domain.name.ldf que creó en el paso 12c a un único controlador de dominio de catálogo global que se corresponda con el archivo .ldf de cada dominio. Use la siguiente sintaxis de Ldifde:
```
Ldifde -i -k -f Groupadd_<fully.qualified.domain.name>.ldf
```
  Ejecute el archivo .ldf para el dominio del que se eliminaron los usuarios en cualquier controlador de dominio excepto el controlador de dominio de recuperación.
5. En la consola de cada controlador de dominio que se usa para importar el archivo Groupadd_<fully.qualified.domain.name.ldf> para un dominio determinado, replique de salida las adiciones de pertenencia a grupos a los demás controladores de dominio del dominio y a los controladores de dominio de catálogo global del bosque. Para ello, use el siguiente comando:
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Para deshabilitar la replicación saliente, escriba el texto siguiente y, a continuación, presione ENTRAR:
```
repadmin /options +DISABLE_OUTBOUND_REPL
```
Nota:

Para volver a habilitar la replicación saliente, escriba el texto siguiente y, a continuación, presione ENTRAR:
```
repadmin /options -DISABLE_OUTBOUND_REPL
```
Si los usuarios eliminados se agregaron a grupos locales en dominios externos, realice una de las siguientes acciones:
- Vuelva a agregar manualmente los usuarios eliminados a esos grupos.
- Restaure el estado del sistema y restaure la autenticación de cada uno de los grupos de seguridad locales que contiene los usuarios eliminados.
Compruebe la pertenencia a grupos en el dominio del controlador de dominio de recuperación y en los catálogos globales de otros dominios.
Realice una nueva copia de seguridad del estado del sistema de los controladores de dominio en el dominio del controlador de dominio de recuperación.
Notifique a todos los administradores del bosque, administradores delegados, administradores del departamento de soporte técnico del bosque y usuarios del dominio que la restauración del usuario está completa.

Es posible que los administradores del departamento de soporte técnico tengan que restablecer las contraseñas de las cuentas de usuario restauradas por la autenticación y las cuentas de equipo cuya contraseña de dominio cambió después de que se realizara el sistema restaurado.

Los usuarios que cambiaron sus contraseñas después de realizar la copia de seguridad del estado del sistema descubrirán que su contraseña más reciente ya no funciona. Haga que estos usuarios intenten iniciar sesión con sus contraseñas anteriores si las conocen. De lo contrario, los administradores del departamento de soporte técnico deben restablecer la contraseña y seleccionar la casilla de verificación el usuario debe cambiar la contraseña en el siguiente inicio de sesión . Hágalo preferiblemente en un controlador de dominio en el mismo sitio de Active Directory en el que se encuentra el usuario.

Método 3: restauración autoritativa de los usuarios eliminados y los grupos de seguridad de los usuarios eliminados dos veces

Cuando se usa este método, se realizan los siguientes pasos de alto nivel:

Compruebe si un catálogo global del dominio del usuario no se ha replicado en la eliminación. Y, a continuación, impedir que ese controlador de dominio replica la eliminación de entrada. Si no hay ningún catálogo global latente, busque la copia de seguridad de estado del sistema más actual de un controlador de dominio de catálogo global en el dominio principal del usuario eliminado.
Restaure autoritativamente todas las cuentas de usuario eliminadas y todos los grupos de seguridad del dominio del usuario eliminado.
Espere a la replicación de un extremo a otro de los usuarios restaurados y los grupos de seguridad a todos los controladores de dominio del dominio del usuario eliminado y a los controladores de dominio del catálogo global del bosque.
Repita los pasos 2 y 3 para restaurar de forma autoritativa usuarios y grupos de seguridad eliminados. (Solo se restaura el estado del sistema una vez).
Si los usuarios eliminados eran miembros de grupos de seguridad en otros dominios, restaure autoritativamente todos los grupos de seguridad de los que los usuarios eliminados eran miembros en esos dominios. O bien, si las copias de seguridad de estado del sistema son actuales, restaure de forma autoritativa todos los grupos de seguridad de esos dominios. Para satisfacer el requisito de que los miembros del grupo eliminados se deben restaurar antes de que los grupos de seguridad corrijan los vínculos de pertenencia a grupos, restaure ambos tipos de objeto dos veces en este método. La primera restauración coloca todas las cuentas de usuario y las cuentas de grupo en su lugar. La segunda restauración restaura los grupos eliminados y repara la información de pertenencia a grupos, incluida la información de pertenencia de los grupos anidados.

Para usar el método 3, siga este procedimiento:

Compruebe si existe un controlador de dominio de catálogo global en el dominio principal de los usuarios eliminados y no se ha replicado en ninguna parte de la eliminación.

Nota:

Céntrese en los catálogos globales del dominio que tiene las programaciones de replicación menos frecuentes. Si existen estos controladores de dominio, use la herramienta de línea de comandos Repadmin.exe para deshabilitar inmediatamente la replicación entrante. Para ello, siga estos pasos:
1. Haga clic en Inicio y, a continuación, en Ejecutar.
2. Escriba cmd en el cuadro Abrir y, a continuación, seleccione Aceptar.
3. Escriba repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL en el símbolo del sistema y presione ENTRAR.
Nota:

Si no puede emitir el comando Repadmin inmediatamente, quite toda la conectividad de red del controlador de dominio hasta que pueda usar Repadmin para deshabilitar la replicación entrante y, a continuación, devuelva inmediatamente la conectividad de red.

Este controlador de dominio se denominará controlador de dominio de recuperación.
Evite realizar adiciones, eliminaciones y cambios en los siguientes elementos hasta que se hayan completado todos los pasos de recuperación. Los cambios incluyen el restablecimiento de contraseña por parte de los usuarios del dominio, los administradores del departamento de soporte técnico y los administradores del dominio donde se produjo la eliminación, además de los cambios de pertenencia a grupos en los grupos de usuarios eliminados.
1. Cuentas de usuario y atributos en cuentas de usuario
2. Cuentas de equipo y atributos en cuentas de equipo
3. Cuentas de servicio
4. Grupos de seguridad
  
  Nota:
  
  Evite especialmente los cambios en la pertenencia a grupos de usuarios, equipos, grupos y cuentas de servicio en el bosque donde se produjo la eliminación.
5. Notifique a todos los administradores del bosque, a los administradores delegados y a los administradores del departamento de soporte técnico del bosque de la suspensión temporal. Este stand-down es necesario en el método 2 porque está restaurando autoritativamente todos los grupos de seguridad de los usuarios eliminados. Por lo tanto, se pierden los cambios realizados en los grupos después de la fecha de copia de seguridad del estado del sistema.
Cree una nueva copia de seguridad del estado del sistema en el dominio donde se produjo la eliminación. Puede usar esta copia de seguridad si tiene que revertir los cambios.

Nota:

Si las copias de seguridad de estado del sistema están actualizadas hasta el momento en que se produjo la eliminación, omita este paso y vaya al paso 4.

Si ha identificado un controlador de dominio de recuperación en el paso 1, haga una copia de seguridad de su estado del sistema ahora.

Si todos los catálogos globales que se encuentran en el dominio donde se produjo la eliminación replicaron la eliminación, realice una copia de seguridad del estado del sistema de un catálogo global en el dominio donde se produjo la eliminación.

Al crear una copia de seguridad, puede devolver el controlador de dominio de recuperación a su estado actual. Y vuelva a realizar el plan de recuperación si el primer intento no se realiza correctamente.
Si no encuentra un controlador de dominio de catálogo global latente en el dominio donde se produjo la eliminación del usuario, busque la copia de seguridad de estado del sistema más reciente de un controlador de dominio de catálogo global en ese dominio. Esta copia de seguridad del estado del sistema debe contener los objetos eliminados. Use este controlador de dominio como controlador de dominio de recuperación.

Solo las bases de datos de los controladores de dominio del catálogo global del dominio del usuario contienen información de pertenencia a grupos para dominios externos en el bosque. Si no hay ninguna copia de seguridad del estado del sistema de un controlador de dominio de catálogo global en el dominio donde se eliminaron los usuarios, no puede usar el memberOf atributo en las cuentas de usuario restauradas para determinar la pertenencia a grupos global o universal, ni para recuperar la pertenencia a dominios externos. Vaya al paso siguiente. Si hay un registro externo de pertenencia a grupos en dominios externos, agregue los usuarios restaurados a los grupos de seguridad de esos dominios después de restaurar las cuentas de usuario.
Si conoce la contraseña de la cuenta de administrador sin conexión, inicie el controlador de dominio de recuperación en modo Desaprovisionamiento. Si no conoce la contraseña de la cuenta de administrador sin conexión, restablezca la contraseña mientras el controlador de dominio de recuperación sigue en modo normal de Active Directory.

Puede usar la herramienta de línea de comandos setpwd para restablecer la contraseña en los controladores de dominio que ejecutan Windows 2000 SP2 y versiones posteriores mientras están en modo de Active Directory en línea.

Nota:

Microsoft ya no admite Windows 2000.

Los administradores de controladores de dominio de Windows Server 2003 y versiones posteriores pueden usar el set dsrm password comando de la herramienta de línea de comandos Ntdsutil para restablecer la contraseña de la cuenta de administrador sin conexión.

Para obtener más información sobre cómo restablecer la cuenta de administrador del modo de restauración de Servicios de directorio, vea Cómo restablecer la contraseña de la cuenta de administrador del modo de restauración de servicios de directorio en Windows Server.
Presione F8 durante el proceso de inicio para iniciar el controlador de dominio de recuperación en modo Desaprobación. Inicie sesión en la consola del controlador de dominio de recuperación con la cuenta de administrador sin conexión. Si restablece la contraseña en el paso 5, use la nueva contraseña.

Si el controlador de dominio de recuperación es un controlador de dominio de catálogo global latente, no restaure el estado del sistema. Vaya directamente al paso 7.

Si va a crear el controlador de dominio de recuperación mediante una copia de seguridad de estado del sistema, restaure la copia de seguridad de estado del sistema más reciente que se realizó en el controlador de dominio de recuperación que contiene ahora los objetos eliminados.
La autenticación restaura las cuentas de usuario eliminadas, las cuentas de equipo eliminadas o los grupos de seguridad eliminados.

Nota:

Los términos restauración de autenticación y restauración autoritativa hacen referencia al proceso de uso del comando de restauración autoritativa en la herramienta de línea de comandos Ntdsutil para incrementar los números de versión de objetos específicos o de contenedores específicos y todos sus objetos subordinados. En cuanto se produce la replicación de un extremo a otro, los objetos de destino de la copia local del controlador de dominio de recuperación de Active Directory se vuelven autoritativos en todos los controladores de dominio que comparten esa partición. Una restauración autoritativa es diferente de una restauración de estado del sistema. Una restauración del estado del sistema rellena la copia local del controlador de dominio restaurado de Active Directory con las versiones de los objetos en el momento en que se realizó la copia de seguridad del estado del sistema.

Las restauraciones autoritarias se realizan con la herramienta de línea de comandos Ntdsutil haciendo referencia a la ruta de acceso de nombre de dominio (dn) de los usuarios eliminados o de los contenedores que hospedan a los usuarios eliminados.

Al autenticar la restauración, use rutas de acceso de nombre de dominio que sean tan bajas en el árbol de dominio como tienen que ser. El propósito es evitar la reversión de objetos que no están relacionados con la eliminación. Estos objetos pueden incluir objetos que se modificaron después de realizar la copia de seguridad del estado del sistema.

Restaure la autenticación de los usuarios eliminados en el orden siguiente:
1. La autenticación restaura la ruta de acceso del nombre de dominio (dn) para cada cuenta de usuario eliminada, cuenta de equipo o grupo de seguridad eliminado.
  
  Las restauraciones autoritarias de objetos específicos tardan más tiempo, pero son menos destructivas que las restauraciones autoritarias de todo un subárbol. La autenticación restaura el contenedor primario común más bajo que contiene los objetos eliminados.
  
  Ntdsutil usa la sintaxis siguiente:
```
ntdsutil "authoritative restore" "restore object <object DN path>" q q
```
  Por ejemplo, para restaurar autoritativamente el usuario eliminado John Doe en la unidad organizativa Mayberry del Contoso.com dominio, use el siguiente comando:
```
ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
```
  Para restaurar autoritativamente el grupo de seguridad eliminado ContosoPrintAccess en la unidad organizativa Mayberry del Contoso.com dominio, use el siguiente comando:
```
ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
```
  Importante
  
  Se requiere el uso de comillas.
  
  Con este formato Ntdsutil, también puede automatizar la restauración autoritativa de muchos objetos en un archivo por lotes o un script.
  
  Nota:
  
  Esta sintaxis solo está disponible en Windows Server 2003 y versiones posteriores. La única sintaxis de Windows 2000 es usar: ntdsutil "authoritative restore" "restore subtree object DN path".
2. La autenticación restaura solo los contenedores de UO o Common-Name (CN) que hospedan las cuentas de usuario o grupos eliminados.
  
  Las restauraciones autoritarias de un subárbol completo son válidas cuando la unidad organizativa destinada por el comando de restauración autoritativa Ntdsutil contiene la mayoría de los objetos que intenta restaurar autoritativamente. Lo ideal es que la unidad organizativa de destino contenga todos los objetos que intenta restaurar autoritativamente.
  
  Una restauración autoritativa en un subárbol de unidad organizativa restaura todos los atributos y objetos que residen en el contenedor. Los cambios realizados hasta el momento en que se restaura una copia de seguridad de estado del sistema se revierten a sus valores en el momento de la copia de seguridad. Con las cuentas de usuario, las cuentas de equipo y los grupos de seguridad, esta reversión puede significar la pérdida de los cambios más recientes en las contraseñas, en el directorio principal, en la ruta de acceso del perfil, en la ubicación y en la información de contacto, en la pertenencia a grupos y en los descriptores de seguridad definidos en esos objetos y atributos.
  
  Ntdsutil usa la sintaxis siguiente:
```
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
```
  Por ejemplo, para restaurar autoritativamente la unidad organizativa Mayberry del Contoso.com dominio, use el siguiente comando:
```
ntdsutil "authoritative restore" "restore subtree ou=Mayberry,dc=contoso,dc=com" q q
```
  Nota:
  
  Repita este paso para cada unidad organizativa del mismo nivel que hospede usuarios o grupos eliminados.
  
  Importante
  
  Al restaurar un objeto subordinado de una unidad organizativa, se deben restaurar explícitamente todos los contenedores primarios de los objetos subordinados eliminados.
Reinicie el controlador de dominio de recuperación en modo normal de Active Directory.
Replique de forma saliente los objetos restaurados autoritativamente desde el controlador de dominio de recuperación a los controladores de dominio del dominio y del bosque.

Mientras la replicación entrante en el controlador de dominio de recuperación permanece deshabilitada, escriba el siguiente comando para insertar los objetos restaurados autoritativamente en todos los controladores de dominio de réplica entre sitios del dominio y en los catálogos globales del bosque:
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Después de que todos los controladores de dominio directos y transitivos del dominio del bosque y los servidores de catálogo global se hayan replicado en los usuarios restaurados autoritativamente y en los contenedores restaurados, vaya al paso 11.

Si todas las instrucciones siguientes son verdaderas, los vínculos de pertenencia a grupos se vuelven a crear con la restauración de las cuentas de usuario eliminadas. Vaya al paso 13.
- El bosque se ejecuta en el nivel funcional del bosque de Windows Server 2003 y versiones posteriores, o en el nivel funcional del bosque provisional de Windows Server 2003 y versiones posteriores.
- Solo los grupos de seguridad no se eliminaron.
- Todos los usuarios eliminados se agregaron a todos los grupos de seguridad de todos los dominios del bosque.
Considere la posibilidad de usar el Repadmin comando para acelerar la replicación saliente de los usuarios desde el controlador de dominio restaurado.

Si también se eliminaron los grupos, o si no puedes garantizar que todos los usuarios eliminados se agregaron a todos los grupos de seguridad después de la transición al nivel funcional de Windows Server 2003 y posteriores provisionales o de bosque, ve al paso 12.
Repita los pasos 7, 8 y 9 sin restaurar el estado del sistema y, a continuación, vaya al paso 11.
Si los usuarios eliminados se agregaron a grupos locales en dominios externos, realice una de las siguientes acciones:
- Vuelva a agregar manualmente los usuarios eliminados a esos grupos.
- Restaure el estado del sistema y restaure la autenticación de cada uno de los grupos de seguridad locales que contiene los usuarios eliminados.
Compruebe la pertenencia a grupos en el dominio del controlador de dominio de recuperación y en los catálogos globales de otros dominios.
Use el siguiente comando para habilitar la replicación entrante en el controlador de dominio de recuperación:
```
repadmin /options recovery dc name -DISABLE_INBOUND_REPL
```
Realice una nueva copia de seguridad del estado del sistema de los controladores de dominio en el dominio del controlador de dominio de recuperación y en los catálogos globales de otros dominios del bosque.
Notifique a todos los administradores del bosque, a los administradores delegados, a los administradores del departamento de soporte técnico del bosque y a los usuarios del dominio que la restauración del usuario está completa.

Es posible que los administradores del departamento de soporte técnico tengan que restablecer las contraseñas de las cuentas de usuario restauradas de autenticación y las cuentas de equipo cuya contraseña de dominio cambió después de realizar el sistema restaurado.

Los usuarios que cambiaron sus contraseñas después de realizar la copia de seguridad del estado del sistema descubrirán que su contraseña más reciente ya no funciona. Haga que estos usuarios intenten iniciar sesión con sus contraseñas anteriores si las conocen. De lo contrario, los administradores del departamento de soporte técnico deben restablecer la contraseña con el usuario debe cambiar la contraseña en la siguiente casilla de verificación de inicio de sesión activada. Hágalo preferiblemente en un controlador de dominio en el mismo sitio de Active Directory en el que se encuentra el usuario.

Cómo recuperar usuarios eliminados en un controlador de dominio cuando no tiene una copia de seguridad de estado del sistema válida

Si no tiene copias de seguridad de estado del sistema actuales en un dominio donde se eliminaron cuentas de usuario o grupos de seguridad y la eliminación se produjo en dominios que contienen Controladores de dominio de Windows Server 2003 y versiones posteriores, siga estos pasos para reanimar manualmente los objetos eliminados del contenedor de objetos eliminados:

Siga los pasos de la sección siguiente para reanimar usuarios eliminados, equipos, grupos o todos ellos:
Cómo recuperar manualmente objetos en un contenedor de objetos eliminados
Use Usuarios y equipos de Active Directory para cambiar la cuenta de deshabilitada a habilitada. (La cuenta aparece en la unidad organizativa original).
Use las características de restablecimiento masivo en la versión de Windows Server 2003 y versiones posteriores de Usuarios y equipos de Active Directory para realizar restablecimientos masivos en la contraseña debe cambiar en la siguiente configuración de directiva de inicio de sesión, en el directorio principal, en la ruta de acceso del perfil y en la pertenencia a grupos de la cuenta eliminada según sea necesario. También puede usar un equivalente mediante programación de estas características.
Si se usó Microsoft Exchange 2000 o una versión posterior, repare el buzón de Exchange para el usuario eliminado.
Si se usó Exchange 2000 o posterior, vuelva a asociar al usuario eliminado con el buzón de Exchange.
Compruebe que el usuario recuperado puede iniciar sesión y acceder a directorios locales, directorios compartidos y archivos.

Puede automatizar algunos o todos estos pasos de recuperación mediante los métodos siguientes:

Escriba un script que automatice los pasos de recuperación manuales que aparecen en el paso 1. Al escribir este script, considere la posibilidad de determinar el ámbito del objeto eliminado por fecha, hora y último contenedor primario conocido y, a continuación, automatizar la reanimación del objeto eliminado. Para automatizar la reanimación, cambie el isDeleted atributo de TRUE a FALSE y cambie el nombre distintivo relativo al valor definido en el lastKnownParent atributo o en una nueva unidad organizativa o contenedor de nombre común (CN) especificado por el administrador. (El nombre distintivo relativo también se conoce como RDN).
Obtenga un programa que no sea de Microsoft que admita la reanimación de objetos eliminados en Windows Server 2003 y controladores de dominio posteriores. Una de estas utilidades es AdRestore. AdRestore usa los primitivos de recuperación de Windows Server 2003 y versiones posteriores para recuperar objetos individualmente. Aelita Software Corporation y Commvault Systems también ofrecen productos que admiten la funcionalidad de recuperación en Windows Server 2003 y controladores de dominio basados en versiones posteriores.

Para obtener AdRestore, consulte AdRestore v1.1.

Microsoft proporciona información de contacto de otros proveedores para ayudarle a encontrar soporte técnico. Dicha información de contacto puede cambiar sin notificación previa. Microsoft no garantiza la precisión de esta información de contacto de terceros.

Recuperación manual de objetos en el contenedor de un objeto eliminado

Para recuperar manualmente objetos en el contenedor de un objeto eliminado, siga estos pasos:

Seleccione Inicio, seleccione Ejecutar y escriba ldp.exe.

ldp.exe está disponible:
- En los equipos donde se ha instalado el rol controlador de dominio.
- En los equipos donde se han instalado herramientas de administración remota del servidor (RSAT).
Use el menú Conexión de Ldp para realizar las operaciones de conexión y las operaciones de enlace a un controlador de dominio de Windows Server 2003 y versiones posteriores.

Especifique las credenciales de administrador de dominio durante la operación de enlace.
En el menú Opciones , seleccione Controles.
En la lista Cargar predefinido , seleccione Devolver objetos eliminados.

Nota:

El control 1.2.840.113556.1.4.417 se mueve a la ventana Controles activos .
En Tipo de control, seleccione Servidor y seleccione Aceptar.
En el menú Ver , seleccione Árbol, escriba la ruta de acceso de nombre distintivo del contenedor de objetos eliminados en el dominio donde se produjo la eliminación y, a continuación, seleccione Aceptar.

Nota:

La ruta de acceso del nombre distintivo también se conoce como ruta de acceso DN. Por ejemplo, si la eliminación se produjo en el contoso.com dominio, la ruta de acceso de DN sería la siguiente:
cn=deleted Objects,dc=contoso,dc=com
En el panel izquierdo de la ventana, haga doble clic en el contenedor de objetos eliminados.

Nota:

Como resultado de la búsqueda de la consulta Idap, solo se devuelven 1000 objetos de forma predeterminada. Por ejemplo, si existen más de 1000 objetos en el contenedor Objetos eliminados, no todos los objetos aparecen en este contenedor. Si el objeto de destino no aparece, use ntdsutil y, a continuación, establezca el número máximo mediante maxpagesize para obtener los resultados de la búsqueda.
Haga doble clic en el objeto que desea recuperar o reanimar.
Haga clic con el botón derecho en el objeto que desea reanimar y, a continuación, seleccione Modificar.

Cambie el valor del isDeleted atributo y la ruta de acceso de DN en una única operación de modificación del Protocolo ligero de acceso a directorios (LDAP). Para configurar el cuadro de diálogo Modificar , siga estos pasos:
1. En el cuadro Editar atributo de entrada , escriba isDeleted. Deje el cuadro Valor en blanco.
2. Seleccione el botón de opción Eliminar y, a continuación, seleccione Entrar para realizar la primera de las dos entradas en el cuadro de diálogo Lista de entradas .
  
  Importante
  
  No seleccione Ejecutar.
3. En el cuadro Atributo , escriba distinguishedName.
4. En el cuadro Valores , escriba la nueva ruta de acceso DN del objeto reanimado.
  
  Por ejemplo, para reanimar la cuenta de usuario de JohnDoe a la unidad organizativa de Mayberry, use la siguiente ruta de acceso DN: cn= JohnDoe,ou= Mayberry,dc= contoso,dc= com
  
  Nota:
  
  Si desea reanimar un objeto eliminado a su contenedor original, anexe el valor del atributo lastKnownParent del objeto eliminado a su valor CN y, a continuación, pegue la ruta de acceso completa de DN en el cuadro Valores .
5. En el cuadro Operación , seleccione REEMPLAZAR.
6. Seleccione ENTRAR.
7. Active la casilla Sincrónica .
8. Active la casilla Extendida .
9. Seleccione EJECUTAR.
Después de reanimar los objetos, seleccione Controles en el menú Opciones , seleccione el botón Desteger para quitar (1.2.840.113556.1.4.417) de la lista controles activos .
Restablezca las contraseñas de cuenta de usuario, los perfiles, los directorios principales y las pertenencias a grupos de los usuarios eliminados.

Cuando se eliminó el objeto, se quitaron todos los valores de atributo excepto SID, ObjectGUID, LastKnownParenty SAMAccountName .
Habilite la cuenta reanimada en Usuarios y equipos de Active Directory.

Nota:

El objeto reanimado tiene el mismo SID principal que antes de la eliminación, pero el objeto debe agregarse de nuevo a los mismos grupos de seguridad para tener el mismo nivel de acceso a los recursos. La primera versión de Windows Server 2003 y versiones posteriores no conserva el sIDHistory atributo en cuentas de usuario reanimadas, cuentas de equipo y grupos de seguridad. Windows Server 2003 y versiones posteriores con Service Pack 1 conservan el sIDHistory atributo en objetos eliminados.
Quite los atributos de Microsoft Exchange y vuelva a conectar al usuario al buzón de Exchange.

Nota:

La reanimación de objetos eliminados se admite cuando la eliminación se produce en un controlador de dominio de Windows Server 2003 y versiones posteriores. La reanimación de objetos eliminados no se admite cuando la eliminación se produce en un controlador de dominio de Windows 2000 que se actualiza posteriormente a Windows Server 2003 y versiones posteriores.

Nota:

Si la eliminación se produce en un controlador de dominio de Windows 2000 en el dominio, el lastParentOf atributo no se rellena en Windows Server 2003 ni en controladores de dominio posteriores.

Cómo determinar cuándo y dónde se produjo una eliminación

Cuando los usuarios se eliminan debido a una eliminación masiva, es posible que desee saber dónde se originó la eliminación. Para hacerlo, siga estos pasos:

Para buscar entidades de seguridad eliminadas, siga los pasos del 1 al 7 en la sección Cómo recuperar manualmente objetos en el contenedor de un objeto eliminado . Si se eliminó un árbol, siga estos pasos para buscar un contenedor primario del objeto eliminado.
Copie el valor del objectGUID atributo en el Portapapeles de Windows. Puede pegar este valor cuando escriba el comando en el Repadmin paso 4.
En la línea de comandos, ejecute el siguiente comando:
```
repadmin /showmeta GUID=<objectGUID> <FQDN>
```
Por ejemplo, si el objectGUID del objeto o contenedor eliminado es 791273b2-eba7-4285-a117-aa804ea76e95 y el nombre de dominio completo (FQDN) es dc.contoso.com, ejecute el siguiente comando:
```
repadmin /showmeta GUID=791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com
```
La sintaxis de este comando debe incluir el GUID del objeto o contenedor eliminado y el FQDN del servidor desde el que desea obtener el origen.

En la salida del Repadmin comando, busque la fecha, la hora y el controlador de dominio de origen para el isDeleted atributo . Por ejemplo, la información del isDeleted atributo aparece en la quinta línea de la siguiente salida de ejemplo:

Loc.USN	Controlador de dominio de origen	Org.USN	Org.Time/Date	Ver	Atributo
134759	Default-First-Site-Name\NA-DC1	134759	DateTime	1	Objectclass
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	2	Ou
134759	Default-First-Site-Name\NA-DC1	134759	DateTime	1	instanceType
134759	Default-First-Site-Name\NA-DC1	134759	DateTime	1	whenCreated
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	1	isDeleted
134759	Default-First-Site-Name\NA-DC1	134759	DateTime	1	nTSecurityDescriptor
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	2	name
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	1	lastKnownParent
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	2	objectCategory

Si el nombre del controlador de dominio de origen aparece como un GUID alfanumérico de 32 caracteres, use el comando Ping para resolver el GUID en la dirección IP y el nombre del controlador de dominio que originó la eliminación. El comando Ping usa la sintaxis siguiente:
```
ping -a <originating DC GUID>._msdomain controllers.<fully qualified path for forest root domain>
```
Nota:

La opción -a distingue mayúsculas de minúsculas. Use el nombre de dominio completo del dominio raíz del bosque independientemente del dominio en el que resida el controlador de dominio de origen.

Por ejemplo, si el controlador de dominio de origen residía en cualquier dominio del Contoso.com bosque y tenía un GUID de 644eb7e7-1566-4f29-a778-4b487637564b, ejecute el siguiente comando:
```
ping -a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com
```
La salida devuelta por este comando es similar a la siguiente:
```
Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:

Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
```

Cómo minimizar el impacto de las eliminaciones masivas en el futuro

Las claves para minimizar el impacto de la eliminación masiva de usuarios, equipos y grupos de seguridad son:

Asegúrese de que tiene copias de seguridad de estado del sistema actualizadas.
Controlar estrechamente el acceso a las cuentas de usuario con privilegios.
Controlar estrechamente lo que esas cuentas pueden hacer.
Practique la recuperación de eliminaciones masivas.

Los cambios de estado del sistema se producen todos los días. Estos cambios pueden incluir:

Restablecimiento de contraseña en cuentas de usuario y cuentas de equipo
Cambios en la pertenencia a grupos
Otros cambios de atributo en cuentas de usuario, cuentas de equipo y grupos de seguridad.

Si se produce un error en el hardware o el software, o si el sitio experimenta otro desastre, querrá restaurar las copias de seguridad que se realizaron después de cada conjunto significativo de cambios en cada dominio y sitio de Active Directory en el bosque. Si no mantiene las copias de seguridad actuales, es posible que pierda datos o que tenga que revertir los objetos restaurados.

Microsoft recomienda realizar los pasos siguientes para evitar eliminaciones masivas:

No comparta la contraseña de las cuentas de administrador integradas ni permita que se compartan cuentas de usuario administrativo comunes. Si se conoce la contraseña de la cuenta de administrador integrada, cambie la contraseña y defina un proceso interno que desaliente su uso. Los eventos de auditoría de las cuentas de usuario compartidas impiden determinar la identidad del usuario que realiza cambios en Active Directory. Por lo tanto, se debe desalentar el uso de cuentas de usuario compartidas.
No es habitual que las cuentas de usuario, las cuentas de equipo y los grupos de seguridad se eliminen intencionadamente. Es especialmente cierto en el caso de eliminaciones de árboles. Desasocie la capacidad de los administradores delegados y del servicio para eliminar estos objetos de la capacidad de crear y administrar cuentas de usuario, cuentas de equipo, grupos de seguridad, contenedores de unidad organizativa y sus atributos. Conceda solo a las cuentas de usuario o grupos de seguridad con más privilegios el derecho de realizar eliminaciones de árbol. Estas cuentas de usuario con privilegios pueden incluir administradores empresariales.
Conceda a los administradores delegados acceso solo a la clase de objeto que pueden administrar esos administradores. Por ejemplo, el trabajo principal del administrador del departamento de soporte técnico es modificar las propiedades de las cuentas de usuario. No tiene permisos para crear y eliminar cuentas de equipo, grupos de seguridad o contenedores de unidades organizativas. Esta restricción también se aplica a los permisos de eliminación para los administradores de otras clases de objetos específicas.
Experimente con la configuración de auditoría para realizar un seguimiento de las operaciones de eliminación en un dominio de laboratorio. Una vez que esté cómodo con los resultados, aplique la mejor solución al dominio de producción.
Los cambios de control de acceso y auditoría al por mayor en contenedores que hospedan decenas de miles de objetos pueden hacer que la base de datos de Active Directory crezca significativamente, especialmente en dominios de Windows 2000. Use un dominio de prueba que refleje el dominio de producción para evaluar los posibles cambios en el espacio libre en disco. Compruebe los volúmenes de unidad de disco duro que hospedan los archivos Ntds.dit y los archivos de registro de los controladores de dominio en el dominio de producción para obtener espacio libre en disco. Evite establecer los cambios de control de acceso y auditoría en el encabezado del controlador de red de dominio. Realizar estos cambios se aplicaría innecesariamente a todos los objetos de todas las clases de todos los contenedores de la partición. Por ejemplo, evite realizar cambios en el registro de registros del sistema de nombres de dominio (DNS) y el seguimiento de vínculos distribuidos (DLT) en la carpeta CN=SYSTEM de la partición de dominio.
Use la estructura de unidad organizativa de procedimientos recomendados para separar las cuentas de usuario, las cuentas de equipo, los grupos de seguridad y las cuentas de servicio, en su propia unidad organizativa. Al usar esta estructura, puede aplicar listas de control de acceso discrecional (DACL) a objetos de una sola clase para la administración delegada. Y permite que los objetos se restauren según la clase de objeto si tienen que restaurarse. La estructura de unidad organizativa de procedimientos recomendados se describe en la sección Creación de un diseño de unidad organizativa del artículo siguiente:
Procedimiento recomendado para el diseño de Active Directory para administrar redes de Windows
Pruebe las eliminaciones masivas en un entorno de laboratorio que refleje el dominio de producción. Elija el método de recuperación que tenga sentido para usted y personalícelo a su organización. Es posible que desee identificar:
- Los nombres de los controladores de dominio de cada dominio del que se realiza una copia de seguridad periódicamente
- Dónde se almacenan las imágenes de copia de seguridad
  Idealmente, estas imágenes se almacenan en un disco duro adicional que es local a un catálogo global en cada dominio del bosque.
- ¿Con qué miembros de la organización del departamento de soporte técnico debe ponerse en contacto?
- La mejor manera de establecer ese contacto
La mayoría de las eliminaciones masivas de cuentas de usuario, de cuentas de equipo y de grupos de seguridad que Microsoft ve son accidentales. Analice este escenario con el personal de TI y desarrolle un plan de acción interno. Céntrese en la detección temprana. Y devuelva la funcionalidad a los usuarios del dominio y a la empresa lo antes posible. También puede realizar pasos para evitar que se produzcan eliminaciones masivas accidentales editando las listas de control de acceso (ACL) de las unidades organizativas.

Para obtener más información sobre cómo usar las herramientas de interfaz de Windows para evitar eliminaciones masivas accidentales, vea Protección contra eliminaciones masivas accidentales en Active Directory.

Herramientas y scripts que pueden ayudarle a recuperarse de eliminaciones masivas

La utilidad de línea de comandos Groupadd.exe lee el memberOf atributo en una colección de usuarios de una unidad organizativa y compila un archivo .ldf que agrega cada cuenta de usuario restaurada a los grupos de seguridad de cada dominio del bosque.

Groupadd.exe detecta automáticamente los dominios y grupos de seguridad de los que los usuarios eliminados eran miembros y los vuelve a agregar a esos grupos. Este proceso se explica con más detalle en el paso 11 del método 1.

Groupadd.exe se ejecuta en Controladores de dominio de Windows Server 2003 y versiones posteriores.

Groupadd.exe usa la sintaxis siguiente:

groupadd / after_restore ldf_file [/ before_restore ldf_file ]

Aquí, ldf_file representa el nombre del archivo .ldf que se va a usar con el argumento anterior, after_restore representa el origen de datos del archivo de usuario y before_restore representa los datos de usuario del entorno de producción. (El origen de datos del archivo de usuario es los datos de usuario correctos).

Para obtener Groupadd.exe, póngase en contacto con los Servicios de soporte técnico de Microsoft.

Los productos de otros fabricantes que se mencionan en este artículo han sido creados por compañías independientes de Microsoft. Microsoft no ofrece ninguna garantía, ya sea implícita o de otro tipo, sobre la confiabilidad o el rendimiento de dichos productos.

Referencias

Para obtener más información sobre cómo usar la característica Papelera de reciclaje de AD incluida en Windows Server 2008 R2, vea Guía paso a paso de la papelera de reciclaje de Active Directory.

Restauración de cuentas de usuario eliminadas y sus pertenencias a grupos en Active Directory

Introducción

Más información

Método 1: restaura las cuentas de usuario eliminadas y, a continuación, vuelve a agregar los usuarios restaurados a sus grupos mediante la herramienta de línea de comandos Ntdsutil.exe

Método 2: restaurar las cuentas de usuario eliminadas y, a continuación, volver a agregar los usuarios restaurados a sus grupos

Método 3: restauración autoritativa de los usuarios eliminados y los grupos de seguridad de los usuarios eliminados dos veces

Cómo recuperar usuarios eliminados en un controlador de dominio cuando no tiene una copia de seguridad de estado del sistema válida

Recuperación manual de objetos en el contenedor de un objeto eliminado

Cómo determinar cuándo y dónde se produjo una eliminación

Cómo minimizar el impacto de las eliminaciones masivas en el futuro

Herramientas y scripts que pueden ayudarle a recuperarse de eliminaciones masivas

Referencias

Comentarios

Comentarios

Recursos adicionales