Obnovení odstraněných uživatelských účtů v Microsoftu 365, Azure a Intune

Původní číslo KB: 2619308

Příznaky

Uživatelský účet, který byl omylem odstraněn z Microsoft 365, Microsoft Azure nebo Microsoft Intune, musí být obnoven.

Řešení

Než začnete

Když jsou uživatelé odstraněni z Microsoft Entra ID, přesunou se do stavu Odstraněno a už se nezobrazí v seznamu uživatelů. Nejsou však zcela odebrány a je možné je obnovit do 30 dnů.

Pomocí Microsoftu 365 a modulu Azure Active Directory pro PowerShell určete, jestli má uživatel nárok na obnovení ze stavu Odstraněno:

1. Na portálu Microsoft 365 vyhledejte uživatelské účty, které byly odstraněny prostřednictvím portálu. Postupujte takto:
   1. Přihlaste se k portálu Microsoft 365 (https://portal.office.com) pomocí přihlašovacích údajů správce.
   2. Vyberte Uživatelé a pak vyberte Odstranění uživatelé.
   3. Vyhledejte uživatele, kterého chcete obnovit.
2. V modulu Azure Active Directory pro Windows PowerShell postupujte takto:
   1. Pro Windows PowerShell vyberte Spustit>všechny programy>Windows Azure Active Directory>Modul Windows Azure Active Directory.
   2. Zadejte následující příkazy v pořadí, v jakém jsou uvedeny, a po každém příkazu stiskněte Klávesu Enter:

      • $cred = get-credential

        Poznámka

        Po zobrazení výzvy zadejte svoje přihlašovací údaje k Microsoftu 365.

      • Connect-MSOLService -credential:$cred

      • Get-MsolUser -ReturnDeletedUsers

Řešení 1: Obnovení ručně odstraněných účtů pomocí portálu Microsoft 365 nebo modulu Azure Active Directory

Pokud chcete obnovit uživatelský účet, který byl odstraněn ručně, použijte jednu z následujících metod:

• K obnovení uživatelského účtu použijte portál Microsoft 365. Další informace o tom, jak to udělat, najdete v tématu Obnovení uživatele.

• K obnovení uživatelského účtu použijte modul Azure Active Directory pro Windows PowerShell. Uděláte to tak, že zadáte následující příkaz a stisknete enter:

  Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

  Pokud tento příkaz nefunguje, zkuste následující příkaz:

  Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

  Poznámka

  V těchto příkazech se používají následující konvence:

  • Parametry UserPrincipalName a ObjectID jednoznačně identifikují objekt uživatele, který se má obnovit.
  • Parametr AutoReconcileProxyConflicts je nepovinný a používá se ve scénářích, ve kterých je po odstranění této adresy udělena adresa proxy objektu cílového uživatele objektu jiného uživatele.
  • Parametr se NewUserPrincipalName volitelně používá ve scénářích, ve kterých je objekt jiného uživatele udělen pomocí hlavního názvu uživatele (UPN) objektu cílového uživatele po odstranění hlavního názvu uživatele (UPN).

Řešení 2: Obnovení odstraněných účtů, protože změny rozsahu vylučují objekt uživatele místní Active Directory

Pokud chcete obnovit odstraněné uživatelské účty, ujistěte se, že je nastavené filtrování synchronizace adresářů (rozsah) tak, aby obor zahrnoval objekty, které chcete obnovit.

Další informace najdete v tématu Microsoft Entra Connect Sync: Konfigurace filtrování.

Řešení 3: Obnovení účtů odstraněných z důvodu odstranění objektu místního uživatele ze schématu místní Active Directory

Pokud chcete obnovit položku odstraněnou ze schématu místní Active Directory, zkuste použít následující metody:

• Zkuste odstraněnou položku obnovit z koše služby Active Directory. Postup najdete v podrobném průvodci košem služby Active Directory.

  Poznámka

  • Koš služby Active Directory je k dispozici pouze v případě, že má funkční úroveň systému Windows 2008 R2 nebo novějších verzí.
  • Aby byl koš služby Active Directory užitečný při obnovování položky, musí být před odstraněním položky povolený.

• Pokud koš služby Active Directory není k dispozici nebo pokud daný objekt již není v koši, zkuste odstraněnou položku obnovit pomocí nástroje AdRestore. Postupujte takto:

  1. Nainstalujte nástroj AdRestore .

  2. Pomocí nástroje AdRestore společně s vyhledávacím filtrem vyhledejte odstraněný objekt místního uživatele. Následující příklady používají řetězec UserA k vyhledání odpovídajících uživatelských jmen.

     1. Pomocí adRestore vytvořte výčet všech uživatelských objektů, které mají v názvu řetězec UserA:

        C:\>adrestore.exe UserA
        AdRestore v1.1 by Mark Russinovich
        Sysinternals - www.sysinternals.com
        
        Enumerating domain deleted objects:
        cn: MailboxA
        DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
        distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
        lastKnownParent: OU=OnPremises,DC=Domain,DC=com
        
        Found 1 item matching search criteria.
        

     2. Pomocí příkazu AdRestore společně s přepínačem -r obnovte objekt uživatele.

        C:\>adrestore.exe Usera -r
        AdRestore v1.1 by Mark Russinovich
        Sysinternals - www.sysinternals.com
        
        Enumerating domain deleted objects:
        cn: UserA
        DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
        distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
        lastKnownParent: OU=OnPremises,DC=Domain,DC=com
        
        Do you want to restore this object (y/n)? y
        Restore succeeded.
        
        Found 1 item matching search criteria.
        

• Povolte objekt uživatele ve službě Active Directory. Když se objekt obnoví, je zpočátku zakázaný. Proto ho musíte povolit. Doporučujeme nejprve resetovat heslo uživatele. Pokud chcete uživatele povolit, postupujte takto:

  1. V Uživatelé a počítače služby Active Directory klikněte pravým tlačítkem na uživatele a pak vyberte Resetovat heslo.

  2. Do polí Nové heslo a Potvrdit heslo zadejte nové heslo a pak vyberte OK.

  3. Klikněte pravým tlačítkem na uživatele, vyberte Povolit účet a pak vyberte OK.

     

     Zobrazí se následující chybová zpráva (očekávaná):

     Systém Windows nemůže povolit objekt <MailboxName> , protože nelze aktualizovat heslo. Hodnota zadaná pro nové heslo nesplňuje požadavky na délku, složitost nebo historii domény.

     Po zobrazení této chybové zprávy resetujte heslo uživatele v Uživatelé a počítače služby Active Directory.

• Konfigurace přihlašovacího jména uživatele

  Přihlašovací jméno uživatele (označované také jako hlavní název uživatele (UPN) není nastavené z obnoveného objektu uživatele. Musíte aktualizovat přihlašovací jméno uživatele, zejména pokud je uživatel federovaný účet.

  Chcete-li nakonfigurovat přihlašovací jméno uživatele, postupujte takto:

  1. V Uživatelé a počítače služby Active Directory klikněte pravým tlačítkem na uživatele a pak vyberte Vlastnosti.
  2. Vyberte Účet, zadejte jméno do pole Přihlašovací jméno uživatele a pak vyberte OK.

  Pokud nemůžete obnovit odstraněný uživatelský účet prostřednictvím koše služby Active Directory nebo pomocí nástroje AdRestore, spusťte autoritativní obnovení odstraněných objektů uživatelů ve službě Active Directory.

Upozornění a upozornění

• Ujistěte se, že jako autoritativní jsou označeny pouze objekty uživatele, které chcete obnovit. Objekty služby Active Directory, které jsou v procesu obnovení označené jako autoritativní, můžou způsobit mnoho problémů se službou Active Directory.

  Další informace o tom, jak spustit autoritativní obnovení objektů služby Active Directory, najdete v tématu Provádění autoritativního obnovení objektů služby Active Directory.

• Po obnovení objektu pomocí metody Resolution 3 nemusí mít objekt automaticky obnovené všechny atributy služby (například Exchange Online a Skype pro firmy Online).

  Například pro uživatele, který měl v Exchange Online dříve povolenou poštu, můžete k opětovnému naplnění atributů Exchange Online použít rutiny Windows PowerShell.

  V následujícím příkladu je objekt User1 znovu vyplněn pomocí atributů Exchange Online pro tenanta contoso.onmicrosoft.com:

  Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com

• Pokud jsou splněné následující podmínky, řešení 3 nebude fungovat:

  • Obnovení objektu pomocí koše služby Active Directory není dostupná možnost.
  • Obnovení objektu pomocí nástroje AdRestore není k dispozici.
  • Autoritativní obnovení služby Active Directory není k dispozici.

V takovém případě požádejte o pomoc podporu Microsoftu 365.

Další informace

Po odstranění uživatele a před jeho obnovením může dojít k následujícím událostem, které můžou představovat konflikty, které můžou změnit uživatelské prostředí:

• Nový uživatel má jedinečnou hodnotu ID uživatele, která byla dříve přiřazena odstraněným uživatelům.
• Nový uživatel má jedinečnou hodnotu e-mailové adresy, která byla dříve přiřazena odstraněným uživatelům.

Pokud k těmto konfliktům dojde, je nutné před dokončením obnovení uživatele aktualizovat konfliktní atributy, aby se konflikt odebral. Pokud během obnovení uživatele dojde ke konfliktu, vrátí Windows PowerShell jednu z následujících chybových zpráv:

Chyba 1

Restore-MsolUser: Zadaný uživatelský účet nejde obnovit, protože došlo k následující chybě: Typ chyby UserPrincipalName

Chyba 2

Restore-MsolUser: Zadaný uživatelský účet nejde obnovit, protože došlo k následující chybě: Typ chyby proxyAddress

Pokud chcete obnovit uživatele, kteří jsou v tomto stavu, můžete konflikt opravit pomocí následujících parametrů při spuštění rutiny Restore-MSOLUser :

• AutoReconcileProxyConflicts
• NewUserPrincipalName

Portál Microsoft 365 zobrazuje ekvivalentní chybové zprávy ve formě Windows PowerShell "chybové stavy", které byly zmíněny dříve. Zobrazí se například následující zpráva:

Konflikt uživatelského jména: Uživatel, který chcete obnovit, má stejné uživatelské jméno.

Pokud chcete obnovit uživatele, kteří jsou v tomto stavu, vyplňte požadované informace ve formuláři.

Stále potřebujete pomoc? Přejděte na web Microsoft Community nebo Microsoft Entra Forums.