Восстановление удаленных учетных записей пользователей и их членства в группах в Active Directory

Статья
02/26/2024

В этой статье содержатся сведения о восстановлении удаленных учетных записей пользователей и членства в группах в Active Directory.

Применимо к: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Исходный номер базы знаний: 840001

Введение

Для восстановления удаленных учетных записей пользователей, учетных записей компьютеров и групп безопасности можно использовать несколько методов. Эти объекты называются субъектами безопасности.

Наиболее распространенным способом является включение функции корзины AD, поддерживаемой на контроллерах домена на основе Windows Server 2008 R2 и более поздних версий. Дополнительные сведения об этой функции, включая включение и восстановление объектов, см. в разделе Пошаговое руководство по корзине Active Directory.

Если этот метод вам недоступен, можно использовать следующие три метода. Во всех трех методах вы авторитетно восстанавливаете удаленные объекты, а затем восстанавливаете сведения о членстве в группах для удаленных субъектов безопасности. При восстановлении удаленного объекта необходимо восстановить прежние значения атрибутов member и memberOf в затронутом субъекте безопасности.

Примечание.

Восстановление удаленных объектов в Active Directory можно упростить, включив функцию корзины AD, поддерживаемую на контроллерах домена на основе Windows Server 2008 R2 и более поздних версий. Дополнительные сведения об этой функции, включая включение и восстановление объектов, см. в разделе Пошаговое руководство по корзине Active Directory.

Дополнительная информация

Методы 1 и 2 обеспечивают более удобный интерфейс для пользователей и администраторов домена. Эти методы сохраняют дополнения к группам безопасности, выполненные между временем последнего резервного копирования состояния системы и временем удаления. В методе 3 вы не вносите отдельные изменения в субъекты безопасности. Вместо этого выполняется откат членства в группах безопасности до их состояния во время последней резервной копии.

Большинство крупномасштабных удалений являются случайными. Корпорация Майкрософт рекомендует выполнить несколько действий, чтобы предотвратить массовое удаление объектов другими пользователями.

Примечание.

Чтобы предотвратить случайное удаление или перемещение объектов (особенно организационных подразделений), в дескриптор безопасности каждого объекта (DENY DELETE &DELETE TREE) можно добавить две записи управления доступом (ACE), а одну запись управления доступом (ACE) можно добавить в дескриптор безопасности PARENT каждого объекта (DENY DELETE CHILD). Для этого используйте Пользователи и компьютеры Active Directory, ADSIEdit, LDP или программу командной строки DSACLS. Вы также можете изменить разрешения по умолчанию в схеме AD для подразделений, чтобы эти ACE были включены по умолчанию.

Например, чтобы защитить вызываемую CONTOSO.COM организацию от случайного перемещения или удаления из родительского подразделения, которое называется MyCompany, выполните следующую конфигурацию:

Для подразделения MyCompany добавьте DENY ACE for Everyone to DELETE CHILD с помощью этого объекта только область:

DSACLS "OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:DC"/

Для подразделения Пользователи добавьте DENY ACE for Everyone to DELETE и DELETE TREE с этим объектом только область:

DSACLS "OU=Users,OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:SDDT"

Оснастка Пользователи и компьютеры Active Directory в Windows Server 2008 содержит поле Защита объекта от случайного удаления проверка на вкладке Объект.

Примечание.

Для просмотра этой вкладки необходимо включить поле Дополнительные функции проверка.

При создании подразделения с помощью Пользователи и компьютеры Active Directory в Windows Server 2008 появляется поле Защита контейнера от случайного удаления проверка. По умолчанию выбрано поле проверка, и его можно отменить.

Хотя вы можете настроить каждый объект в Active Directory с помощью этих ACE, он лучше всего подходит для подразделений. Удаление или перемещение всех конечных объектов может оказать значительное влияние. Эта конфигурация предотвращает такие удаления или перемещения. Чтобы действительно удалить или переместить объект с помощью такой конфигурации, сначала необходимо удалить запрет ACE.

В этой статье описывается восстановление учетных записей пользователей, учетных записей компьютеров и их членства в группах после удаления из Active Directory. В вариантах этого сценария учетные записи пользователей, учетные записи компьютеров или группы безопасности могут быть удалены по отдельности или в некоторой комбинации. Во всех этих случаях применяются одни и те же начальные шаги. Вы авторитетно восстанавливаете или выполняете проверку подлинности те объекты, которые были случайно удалены. Для восстановления некоторых удаленных объектов требуется дополнительная работа. К этим объектам относятся такие объекты, как учетные записи пользователей, которые содержат атрибуты, которые являются обратными ссылками атрибутов других объектов. Два из этих атрибутов: managedBy и memberOf.

При добавлении субъектов безопасности, таких как учетная запись пользователя, группа безопасности или учетная запись компьютера в группу безопасности, в Active Directory вносятся следующие изменения:

Имя субъекта безопасности добавляется в атрибут member каждой группы безопасности.
Для каждой группы безопасности, членом которых является пользователь, компьютер или группа безопасности, в атрибут субъекта memberOf безопасности добавляется обратная ссылка.

Аналогичным образом, при удалении пользователя, компьютера или группы из Active Directory выполняются следующие действия:

Удаленный субъект безопасности перемещается в контейнер удаленных объектов.
Несколько значений атрибутов memberOf , включая атрибут, удаляются из удаленного субъекта безопасности.
Удаленные субъекты безопасности удаляются из всех групп безопасности, членом которых они были. Другими словами, удаленные субъекты безопасности удаляются из атрибута члена каждой группы безопасности.

При восстановлении удаленных субъектов безопасности и их членстве в группах каждый субъект безопасности должен существовать в Active Directory перед восстановлением членства в группе. Участником может быть пользователь, компьютер или другая группа безопасности. Для более широкого повтора этого правила объект, содержащий атрибуты, значения которых являются обратными ссылками, должен существовать в Active Directory, прежде чем объект, содержащий эту прямую ссылку, можно будет восстановить или изменить.

В этой статье рассматривается восстановление удаленных учетных записей пользователей и их членства в группах безопасности. Его концепции применяются в равной степени к удалению других объектов. Основные понятия этой статьи в равной степени применимы к удаленным объектам, значения атрибутов которых используют прямые и обратные ссылки на другие объекты в Active Directory.

Для восстановления субъектов безопасности можно использовать любой из трех методов. При использовании метода 1 вы оставляете на месте все субъекты безопасности, добавленные в любую группу безопасности в лесу. И вы добавляете в группы безопасности только субъекты безопасности, которые были удалены из соответствующих доменов. Например, вы создаете резервную копию состояния системы, добавляете пользователя в группу безопасности, а затем восстанавливаете резервную копию состояния системы. При использовании методов 1 или 2 все пользователи, добавленные в группы безопасности, содержащие удаленных пользователей, сохраняются между датами создания резервной копии состояния системы и датой восстановления резервной копии. При использовании метода 3 выполняется откат членства в группах безопасности для всех групп безопасности, содержащих удаленных пользователей, до их состояния во время резервного копирования состояния системы.

Способ 1. Восстановление удаленных учетных записей пользователей, а затем добавление восстановленных пользователей обратно в свои группы с помощью средства командной строки Ntdsutil.exe

Средство командной строки Ntdsutil.exe позволяет восстановить обратные ссылки удаленных объектов. Для каждой операции полномочного восстановления создаются два файла. Один файл содержит список достоверно восстановленных объектов. Другой файл представляет собой LDF-файл, который используется с служебной программой Ldifde.exe. Этот файл используется для восстановления обратных ссылок для объектов, которые восстановлены достоверно. Достоверное восстановление объекта пользователя также создает файлы формата ОБМЕНА данными LDAP (LDIF) с членством в группе. Этот метод позволяет избежать двойного восстановления.

При использовании этого метода необходимо выполнить следующие общие действия:

Проверьте, не реплицировал ли глобальный каталог в домене пользователя при удалении. А затем запретите репликацию этого глобального каталога. Если скрытый глобальный каталог отсутствует, найдите последнюю резервную копию состояния системы контроллера домена глобального каталога в домашнем домене удаленного пользователя.
Проверка подлинности восстанавливает все удаленные учетные записи пользователей, а затем разрешает сквозную репликацию этих учетных записей пользователей.
Добавьте всех восстановленных пользователей во все группы во всех доменах, в которые входили учетные записи пользователей, прежде чем они были удалены.

Чтобы использовать метод 1, выполните следующую процедуру:

Проверьте, есть ли контроллер домена глобального каталога в домашнем домене удаленного пользователя, который не реплицировал ни одну часть удаления.

Примечание.

Сосредоточьтесь на глобальных каталогах с наименее частыми расписаниями репликации.

Если существует один или несколько из этих глобальных каталогов, используйте программу командной строки Repadmin.exe, чтобы немедленно отключить входящую репликацию, выполнив следующие действия.
1. Нажмите кнопку Пуск и выберите пункт Выполнить.
2. Введите cmd в поле Открыть и нажмите кнопку ОК.
3. Введите следующую команду в командной строке и нажмите клавишу ВВОД:
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
  Примечание.
  
  Если вы не можете выполнить Repadmin команду немедленно, удалите все сетевые подключения из скрытого глобального каталога, пока вы не сможете использовать Repadmin для отключения входящей репликации, а затем немедленно возвратите сетевое подключение.
Этот контроллер домена будет называться контроллером домена восстановления. Если такого глобального каталога нет, перейдите к шагу 2.
Лучше остановить внесение изменений в группы безопасности в лесу, если выполняются все следующие инструкции:
- Метод 1 используется для авторитетного восстановления удаленных пользователей или учетных записей компьютеров по пути с различаемым именем (dn).
- Удаление реплицировано на все контроллеры домена в лесу, кроме скрытого контроллера домена восстановления.
- Вы не выполняете проверку подлинности для восстановления групп безопасности или их родительских контейнеров.
Если вы выполняете проверку подлинности для восстановления групп безопасности или контейнеров подразделений, в которых размещены группы безопасности или учетные записи пользователей, временно остановите все эти изменения.

Уведомляйте администраторов и администраторов службы технической поддержки в соответствующих доменах, а также пользователей домена в домене, где произошло удаление, о прекращении этих изменений.
Создайте резервную копию состояния системы в домене, где произошло удаление. Эту резервную копию можно использовать, если необходимо откатить изменения.

Примечание.

Если резервные копии состояния системы актуальны до момента удаления, пропустите этот шаг и перейдите к шагу 4.

Если вы определили контроллер домена восстановления на шаге 1, создайте резервную копию его состояния системы.

Если все глобальные каталоги, расположенные в домене, где произошло удаление, реплицируются при удалении, создайте резервную копию состояния системы глобального каталога в домене, где произошло удаление.

При создании резервной копии контроллер домена восстановления может вернуться в текущее состояние. И снова выполните план восстановления, если первая попытка не увенчалась успехом.
Если не удается найти скрытый контроллер домена глобального каталога в домене, где было удалено пользователем, найдите последнюю резервную копию состояния системы контроллера домена глобального каталога в этом домене. Эта резервная копия состояния системы должна содержать удаленные объекты. Используйте этот контроллер домена в качестве контроллера домена восстановления.

Только восстановление контроллеров домена глобального каталога в домене пользователя содержит сведения о глобальном и универсальном членстве в группах безопасности, которые находятся во внешних доменах. Если в домене, где были удалены пользователи, отсутствует резервная копия состояния системы контроллера домена глобального каталога, атрибут для восстановленных учетных записей пользователей нельзя использовать memberOf для определения глобального или универсального членства в группах или для восстановления членства во внешних доменах. Кроме того, рекомендуется найти последнюю резервную копию состояния системы контроллера домена не глобального каталога.
Если вы знаете пароль для учетной записи автономного администратора, запустите контроллер домена восстановления в режиме аварийного восстановления. Если вы не знаете пароль для учетной записи автономного администратора, сбросьте пароль с помощью ntdsutil.exe, пока контроллер домена восстановления по-прежнему находится в обычном режиме Active Directory.

С помощью программы командной строки setpwd можно сбросить пароль на контроллерах домена, пока они находятся в режиме "в сети Active Directory".

Примечание.

Корпорация Майкрософт больше не поддерживает Windows 2000.

Администраторы контроллеров домена Windows Server 2003 и более поздних версий могут использовать set dsrm password команду в средстве командной строки Ntdsutil, чтобы сбросить пароль для учетной записи автономного администратора.

Дополнительные сведения о сбросе учетной записи администратора режима восстановления служб каталогов см. в статье Сброс пароля учетной записи администратора режима восстановления служб каталогов в Windows Server.
Нажмите клавишу F8 во время запуска, чтобы запустить контроллер домена восстановления в режиме аварийного восстановления. Войдите в консоль контроллера домена восстановления с учетной записью автономного администратора. Если вы сбросили пароль на шаге 5, используйте новый пароль.

Если контроллер домена восстановления является скрытым контроллером домена глобального каталога, не восстанавливайте состояние системы. Перейдите к шагу 7.

Если вы создаете контроллер домена восстановления с помощью резервной копии состояния системы, восстановите последнюю резервную копию состояния системы, созданную на контроллере домена восстановления.
Проверка подлинности восстанавливает удаленные учетные записи пользователей, учетные записи удаленных компьютеров или удаленные группы безопасности.

Примечание.

Термины auth restore и полномочное восстановление относятся к процессу использования команды полномочного восстановления в средстве командной строки Ntdsutil для увеличения номера версий конкретных объектов или конкретных контейнеров и всех их подчиненных объектов. Как только выполняется сквозная репликация, целевые объекты в локальной копии Active Directory контроллера домена восстановления становятся полномочными на всех контроллерах домена, которые совместно используют этот раздел. Авторитетное восстановление отличается от восстановления состояния системы. Восстановление состояния системы заполняет локальную копию Active Directory восстановленного контроллера домена версиями объектов на момент создания резервной копии состояния системы.

Достоверное восстановление выполняется с помощью средства командной строки Ntdsutil и ссылается на путь к домену (dn) удаленных пользователей или контейнеров, в которых размещены удаленные пользователи.

При восстановлении проверки подлинности используйте пути доменного имени (dn), которые находятся на низком уровне в дереве домена, как и должно быть. Цель состоит в том, чтобы избежать отмены объектов, которые не связаны с удалением. Эти объекты могут включать объекты, которые были изменены после создания резервного копирования состояния системы.

Проверка подлинности восстановления удаленных пользователей в следующем порядке:
1. Проверка подлинности восстанавливает путь к доменному имени (dn) для каждой удаленной учетной записи пользователя, учетной записи компьютера или группы безопасности.
  
  Достоверные восстановления конкретных объектов занимают больше времени, но менее разрушительны, чем достоверные восстановления целого поддеревого. Проверка подлинности восстанавливает самый низкий общий родительский контейнер, содержащий удаленные объекты.
  
  Ntdsutil использует следующий синтаксис:
```
ntdsutil "authoritative restore" "restore object <object DN path>" q q
```
  Например, чтобы авторитетно восстановить удаленного пользователя John Doe в подразделении Contoso.comMayberry домена, используйте следующую команду:
```
ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
```
  Чтобы авторитетно восстановить удаленную группу безопасности ContosoPrintAccess в подразделении Contoso.comMayberry домена, используйте следующую команду:
```
ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
```
  Важно!
  
  Требуется использование кавычек.
  
  Для каждого восстанавливаемого пользователя создаются по крайней мере два файла. Эти файлы имеют следующий формат:
  
  ar_ ГГГГММДД-HHMMSS_objects.txt
  Этот файл содержит список достоверно восстановленных объектов. Используйте этот файл с помощью команды ntdsutil полномочного восстановления create ldif file from в любом другом домене в лесу, где пользователь был членом локальных групп домена.
  
  ar_ ГГГГММДД-HHMMSS_links_usn.loc.ldf
  При выполнении восстановления проверки подлинности в глобальном каталоге один из этих файлов создается для каждого домена в лесу. Этот файл содержит скрипт, который можно использовать с служебной программой Ldifde.exe. Скрипт восстанавливает обратные ссылки для восстановленных объектов. В домашнем домене пользователя скрипт восстанавливает все членства в группах для восстановленных пользователей. Во всех остальных доменах леса, где пользователь имеет членство в группах, скрипт восстанавливает только универсальные и глобальные членства в группах. Скрипт не восстанавливает членство в локальных группах домена. Эти членства не отслеживаются глобальным каталогом.
2. Проверка подлинности восстанавливает только контейнеры подразделений или Common-Name (CN), в которых размещаются удаленные учетные записи пользователей или группы.
  
  Достоверные восстановления целого поддеревого дерева допустимы, если подразделение, предназначенное командой ntdsutil authoritative restore, содержит большинство объектов, которые вы пытаетесь восстановить авторитетно. В идеале целевое подразделение содержит все объекты, которые вы пытаетесь восстановить авторитетно.
  
  Авторитетное восстановление в поддереве подразделения восстанавливает все атрибуты и объекты, которые находятся в контейнере. Все изменения, внесенные до момента восстановления резервной копии состояния системы, откатываются до их значений во время резервного копирования. При использовании учетных записей пользователей, учетных записей компьютеров и групп безопасности этот откат может означать потерю последних изменений:
  - Пароли
  - домашний каталог
  - путь к профилю
  - расположение
  - контактные данные
  - членство в группе
  - все дескрипторы безопасности, определенные для этих объектов и атрибутов.
  Ntdsutil использует следующий синтаксис:
```
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
```
  Например, чтобы авторитетно восстановить подразделение Contoso.comMayberry домена, используйте следующую команду:
```
ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
```
  Примечание.
  
  Повторите этот шаг для каждого однорангового подразделения, в котором размещены удаленные пользователи или группы.
  
  Важно!
  
  При восстановлении подчиненного объекта подразделения все удаленные родительские контейнеры удаленных подчиненных объектов должны быть восстановлены явно.
  
  Для каждого восстанавливаемого подразделения создаются по крайней мере два файла. Эти файлы имеют следующий формат:
  
  ar_ ГГГГММДД-HHMMSS_objects.txt
  Этот файл содержит список достоверно восстановленных объектов. Используйте этот файл с помощью команды ntdsutil полномочного восстановления create ldif file from в любом другом домене в лесу, где восстановленные пользователи были членами локальных групп домена.
  
  ar_ ГГГГММДД-HHMMSS_links_usn.loc.ldf
  Этот файл содержит скрипт, который можно использовать с служебной программой Ldifde.exe. Скрипт восстанавливает обратные ссылки для восстановленных объектов. В домашнем домене пользователя скрипт восстанавливает все членства в группах для восстановленных пользователей.
Если удаленные объекты были восстановлены на контроллере домена восстановления из-за восстановления состояния системы, удалите все сетевые кабели, которые обеспечивают сетевое подключение ко всем остальным контроллерам домена в лесу.
Перезапустите контроллер домена восстановления в обычном режиме Active Directory.
Введите следующую команду, чтобы отключить входящую репликацию на контроллер домена восстановления:
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
Включите сетевое подключение к контроллеру домена восстановления, состояние системы которого было восстановлено.
Исходящая репликация объектов, восстановленных с проверкой подлинности, из контроллера домена восстановления на контроллеры домена в домене и лесу.

Хотя входящая репликация на контроллер домена восстановления остается отключенной, введите следующую команду, чтобы отправить объекты, восстановленные с проверкой подлинности, во все контроллеры домена между сайтами реплика в домене и во все глобальные каталоги в лесу:
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Если все приведенные ниже инструкции верны, ссылки членства в группах перестраиваются с восстановлением и репликацией удаленных учетных записей пользователей. Перейдите к шагу 14.

Примечание.

Если одно или несколько из приведенных ниже инструкций не соответствуют действительности, перейдите к шагу 12.
- Ваш лес работает на функциональном уровне леса Windows Server 2003 и более поздних или более поздних версий, а также на функциональном уровне промежуточного леса Windows Server 2003 и более поздних версий.
- Удалены только учетные записи пользователей или компьютеров, а не группы безопасности.
- Удаленные пользователи были добавлены в группы безопасности во всех доменах леса после перехода леса на Windows Server 2003 и более поздних версий или более поздних версий.
В консоли контроллера домена восстановления используйте служебную программу Ldifde.exe и файл ar_ ГГГГММДД-HHMMSS_links_usn.loc.ldf, чтобы восстановить членство пользователя в группах. Для этого выполните следующие действия:
- Нажмите кнопку Пуск, выберите Выполнить, введите cmd в поле Открыть , а затем нажмите кнопку ОК.
- В командной строке введите следующую команду, а затем нажмите клавишу ВВОД:
```
ldifde -i -f ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
```
Включите входящую репликацию на контроллер домена восстановления с помощью следующей команды:
```
repadmin /options <recovery dc name> -DISABLE_INBOUND_REPL
```
Если удаленные пользователи были добавлены в локальные группы во внешних доменах, выполните одно из следующих действий:
- Вручную добавьте удаленных пользователей обратно в эти группы.
- Восстановите состояние системы и восстановите проверку подлинности каждую из локальных групп безопасности, содержащую удаленных пользователей.
Проверьте членство в группе в домене контроллера домена восстановления и в глобальных каталогах в других доменах.
Создайте новую резервную копию состояния системы контроллеров домена в домене контроллера домена восстановления.
Уведомите всех администраторов леса, делегированных администраторов, администраторов службы технической поддержки в лесу и пользователей в домене о том, что восстановление пользователя завершено.

Администраторам службы технической поддержки может потребоваться сбросить пароли учетных записей пользователей, восстановленных при проверке подлинности, и учетных записей компьютеров, пароль домена которых изменился после создания восстановленной системы.

Пользователи, изменившие свои пароли после создания резервного копирования состояния системы, обнадут, что их последний пароль больше не работает. Пусть такие пользователи пытаются войти в систему, используя свои предыдущие пароли, если они их знают. В противном случае администраторы службы технической поддержки должны сбросить пароль и выбрать пользователя, который должен изменить пароль при следующем проверка поле. Желательно сделать это на контроллере домена на том же сайте Active Directory, где находится пользователь.

Способ 2. Восстановление удаленных учетных записей пользователей, а затем добавление восстановленных пользователей обратно в группы

При использовании этого метода необходимо выполнить следующие общие действия:

Проверьте, не реплицировал ли глобальный каталог в домене пользователя при удалении. А затем запретите репликацию этого глобального каталога. Если скрытый глобальный каталог отсутствует, найдите последнюю резервную копию состояния системы контроллера домена глобального каталога в домашнем домене удаленного пользователя.
Проверка подлинности восстанавливает все удаленные учетные записи пользователей, а затем разрешает сквозную репликацию этих учетных записей пользователей.
Добавьте всех восстановленных пользователей во все группы во всех доменах, в которые входили учетные записи пользователей, прежде чем они были удалены.

Чтобы использовать метод 2, выполните следующую процедуру:

Проверьте, есть ли контроллер домена глобального каталога в домашнем домене удаленного пользователя, который не реплицировал ни одну часть удаления.

Примечание.

Сосредоточьтесь на глобальных каталогах с наименее частыми расписаниями репликации.

Если существует один или несколько из этих глобальных каталогов, используйте средство командной строки Repadmin.exe, чтобы немедленно отключить входящую репликацию. Для этого выполните следующие действия:
1. Нажмите кнопку Пуск и выберите пункт Выполнить.
2. Введите cmd в поле Открыть и нажмите кнопку ОК.
3. Введите следующую команду в командной строке и нажмите клавишу ВВОД:
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
Примечание.

Если вы не можете выполнить команду Repadmin немедленно, удалите все сетевые подключения из скрытого глобального каталога, пока вы не сможете использовать Repadmin для отключения входящей репликации, а затем немедленно вернуть сетевое подключение.

Этот контроллер домена будет называться контроллером домена восстановления. Если такого глобального каталога нет, перейдите к шагу 2.
Решите, следует ли временно остановить добавление, удаление и изменения учетных записей пользователей, учетных записей компьютеров и групп безопасности до завершения всех шагов восстановления.

Чтобы сохранить наиболее гибкий путь восстановления, временно прекратите вносить изменения в следующие элементы. Изменения включают сброс паролей пользователями домена, администраторами службы технической поддержки и администраторами в домене, в котором произошло удаление, в дополнение к изменениям членства в группах удаленных пользователей. Попробуйте остановить добавление, удаление и изменение следующих элементов:
1. Учетные записи пользователей и атрибуты учетных записей пользователей
2. Учетные записи компьютеров и атрибуты в учетных записях компьютеров
3. Учетные записи служб
4. Группы безопасности
Лучше остановить внесение изменений в группы безопасности в лесу, если выполняются все следующие инструкции:
- Вы используете метод 2 для авторитетного восстановления удаленных пользователей или учетных записей компьютеров по пути к домену (dn).
- Удаление реплицировано на все контроллеры домена в лесу, кроме скрытого контроллера домена восстановления.
- Вы не выполняете проверку подлинности для восстановления групп безопасности или их родительских контейнеров.
Если вы выполняете проверку подлинности для восстановления групп безопасности или контейнеров подразделений, в которых размещены группы безопасности или учетные записи пользователей, временно остановите все эти изменения.

Уведомляйте администраторов и администраторов службы технической поддержки в соответствующих доменах, а также пользователей домена в домене, где произошло удаление, о прекращении этих изменений.
Создайте резервную копию состояния системы в домене, где произошло удаление. Эту резервную копию можно использовать, если необходимо откатить изменения.

Примечание.

Если резервные копии состояния системы актуальны до момента удаления, пропустите этот шаг и перейдите к шагу 4.

Если вы определили контроллер домена восстановления на шаге 1, создайте резервную копию его состояния системы.

Если все глобальные каталоги, расположенные в домене, где произошло удаление, реплицируются при удалении, создайте резервную копию состояния системы глобального каталога в домене, где произошло удаление.

При создании резервной копии контроллер домена восстановления может вернуться в текущее состояние. И снова выполните план восстановления, если первая попытка не увенчалась успехом.
Если не удается найти скрытый контроллер домена глобального каталога в домене, где было удалено пользователем, найдите последнюю резервную копию состояния системы контроллера домена глобального каталога в этом домене. Эта резервная копия состояния системы должна содержать удаленные объекты. Используйте этот контроллер домена в качестве контроллера домена восстановления.

Только восстановление контроллеров домена глобального каталога в домене пользователя содержит сведения о глобальном и универсальном членстве в группах безопасности, которые находятся во внешних доменах. Если в домене, где были удалены пользователи, отсутствует резервная копия состояния системы контроллера домена глобального каталога, атрибут нельзя использовать memberOf в восстановленных учетных записях пользователей для определения глобального или универсального членства в группах или для восстановления членства во внешних доменах. Кроме того, рекомендуется найти последнюю резервную копию состояния системы контроллера домена не глобального каталога.
Если вы знаете пароль для учетной записи автономного администратора, запустите контроллер домена восстановления в режиме аварийного восстановления. Если вы не знаете пароль для учетной записи автономного администратора, сбросьте пароль, пока контроллер домена восстановления по-прежнему находится в обычном режиме Active Directory.

Программу командной строки setpwd можно использовать для сброса пароля на контроллерах домена под управлением Windows 2000 с пакетом обновления 2 (SP2) и более поздних версий, пока они находятся в режиме "в сети" Active Directory.

Примечание.

Корпорация Майкрософт больше не поддерживает Windows 2000.

Администраторы контроллеров домена Windows Server 2003 и более поздних версий могут использовать set dsrm password команду в средстве командной строки Ntdsutil, чтобы сбросить пароль для учетной записи автономного администратора.

Дополнительные сведения о сбросе учетной записи администратора режима восстановления служб каталогов см. в статье Сброс пароля учетной записи администратора режима восстановления служб каталогов в Windows Server.
Нажмите клавишу F8 во время запуска, чтобы запустить контроллер домена восстановления в режиме аварийного восстановления. Войдите в консоль контроллера домена восстановления с учетной записью автономного администратора. Если вы сбросили пароль на шаге 5, используйте новый пароль.

Если контроллер домена восстановления является скрытым контроллером домена глобального каталога, не восстанавливайте состояние системы. Перейдите к шагу 7.

Если вы создаете контроллер домена восстановления с помощью резервной копии состояния системы, восстановите последнюю резервную копию состояния системы, созданную на контроллере домена восстановления.
Проверка подлинности восстанавливает удаленные учетные записи пользователей, учетные записи удаленных компьютеров или удаленные группы безопасности.

Примечание.

Термины auth restore и полномочное восстановление относятся к процессу использования команды полномочного восстановления в средстве командной строки Ntdsutil для увеличения номера версий конкретных объектов или конкретных контейнеров и всех их подчиненных объектов. Как только выполняется сквозная репликация, целевые объекты в локальной копии Active Directory контроллера домена восстановления становятся полномочными на всех контроллерах домена, которые совместно используют этот раздел. Авторитетное восстановление отличается от восстановления состояния системы. Восстановление состояния системы заполняет локальную копию Active Directory восстановленного контроллера домена версиями объектов на момент создания резервной копии состояния системы.

Достоверное восстановление выполняется с помощью средства командной строки Ntdsutil и ссылается на путь к домену (dn) удаленных пользователей или контейнеров, в которых размещены удаленные пользователи.

При восстановлении проверки подлинности используйте пути доменного имени (dn), которые находятся на низком уровне в дереве домена, как и должно быть. Цель состоит в том, чтобы избежать отмены объектов, которые не связаны с удалением. Эти объекты могут включать объекты, которые были изменены после создания резервного копирования состояния системы.

Проверка подлинности восстановления удаленных пользователей в следующем порядке:
1. Проверка подлинности восстанавливает путь к доменному имени (dn) для каждой удаленной учетной записи пользователя, учетной записи компьютера или группы безопасности.
  
  Достоверные восстановления конкретных объектов занимают больше времени, но менее разрушительны, чем достоверные восстановления целого поддеревого. Проверка подлинности восстанавливает самый низкий общий родительский контейнер, содержащий удаленные объекты.
  
  Ntdsutil использует следующий синтаксис:
```
ntdsutil "authoritative restore" "restore object <object DN path>" q q
```
  Например, чтобы авторитетно восстановить удаленного пользователя John Doe в подразделении Contoso.comMayberry домена, используйте следующую команду:
```
ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
```
  Чтобы авторитетно восстановить удаленную группу безопасности ContosoPrintAccess в подразделении Contoso.comMayberry домена, используйте следующую команду:
```
ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
```
  Важно!
  
  Требуется использование кавычек.
  
  Примечание.
  
  Этот синтаксис доступен только в Windows Server 2003 и более поздних версиях. Единственный синтаксис в Windows 2000 заключается в следующем:
```
ntdsutil "authoritative restore" "restore subtree object DN path"
```
  Примечание.
  
  Операция полномочного восстановления Ntdsutil не будет успешной, если путь к различаемой имени (DN) содержит расширенные символы или пробелы. Для успешного восстановления с помощью скрипта команда должна быть передана restore object <DN path> в виде одной полной строки.
  
  Чтобы обойти эту проблему, заключите в оболочку DN, содержащую расширенные символы и пробелы, с последовательностью escape-символов с обратной косой чертой-двойными кавычками. Пример:
```
ntdsutil "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\"" q q
```
  Примечание.
  
  Команда должна быть изменена дополнительно, если имя DN восстанавливаемых объектов содержит запятые. Пример приведен в следующей статье:
```
ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\"" q q
```
  Примечание.
  
  Если объекты были восстановлены с ленты, помечены как полномочные и восстановление не работало должным образом, а затем та же лента используется для восстановления базы данных NTDS еще раз, версия USN объектов, которые должны быть восстановлены авторитетно, должна быть увеличена, чем значение по умолчанию 100000, иначе объекты не будут реплицироваться после второго восстановления. Приведенный ниже синтаксис необходим для скрипта с увеличенным номером версии, превышающим 100000 (по умолчанию):
```
ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
```
  Примечание.
  
  Если скрипт запрашивает подтверждение для каждого восстанавливаемого объекта, вы можете отключить запросы. Синтаксис отключения запроса:
```
ntdsutil "popups off" "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
```
2. Проверка подлинности восстанавливает только контейнеры подразделений или Common-Name (CN), в которых размещаются удаленные учетные записи пользователей или группы.
  
  Достоверные восстановления целого поддеревого дерева допустимы, если подразделение, предназначенное командой ntdsutil authoritative restore, содержит большинство объектов, которые вы пытаетесь восстановить авторитетно. В идеале целевое подразделение содержит все объекты, которые вы пытаетесь восстановить авторитетно.
  
  Авторитетное восстановление в поддереве подразделения восстанавливает все атрибуты и объекты, которые находятся в контейнере. Все изменения, внесенные до момента восстановления резервной копии состояния системы, откатываются до их значений во время резервного копирования. При использовании учетных записей пользователей, учетных записей компьютеров и групп безопасности этот откат может означать потерю последних изменений паролей, в домашнем каталоге, пути к профилю, расположения и контактных данных, членства в группах и всех дескрипторов безопасности, определенных в этих объектах и атрибутах.
  
  Ntdsutil использует следующий синтаксис:
```
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
```
  Например, чтобы авторитетно восстановить подразделение Contoso.comMayberry домена, используйте следующую команду:
```
ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
```
  Примечание.
  
  Повторите этот шаг для каждого однорангового подразделения, в котором размещены удаленные пользователи или группы.
  
  Важно!
  
  При восстановлении подчиненного объекта подразделения все удаленные родительские контейнеры удаленных подчиненных объектов должны быть восстановлены явно.
Если удаленные объекты были восстановлены на контроллере домена восстановления из-за восстановления состояния системы, удалите все сетевые кабели, которые обеспечивают сетевое подключение ко всем остальным контроллерам домена в лесу.
Перезапустите контроллер домена восстановления в обычном режиме Active Directory.
Введите следующую команду, чтобы отключить входящую репликацию на контроллер домена восстановления:
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
Включите сетевое подключение к контроллеру домена восстановления, состояние системы которого было восстановлено.
Исходящая репликация объектов, восстановленных с проверкой подлинности, из контроллера домена восстановления на контроллеры домена в домене и лесу.

Хотя входящая репликация на контроллер домена восстановления остается отключенной, введите следующую команду, чтобы отправить объекты, восстановленные с проверкой подлинности, во все контроллеры домена между сайтами реплика в домене и во все глобальные каталоги в лесу:
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Если все приведенные ниже инструкции верны, ссылки членства в группах перестраиваются с восстановлением и репликацией удаленных учетных записей пользователей. Перейдите к шагу 14.

Примечание.

Если одно или несколько из приведенных ниже инструкций не соответствуют действительности, перейдите к шагу 12.
- Ваш лес работает на функциональном уровне леса Windows Server 2003 и более поздних версий или на функциональном уровне промежуточного леса Windows Server 2003 и более поздних версий.
- Удалены только учетные записи пользователей или компьютеров, а не группы безопасности.
- Удаленные пользователи были добавлены в группы безопасности во всех доменах леса после перехода леса на windows Server 2003 и более поздних версий.
Определите, в каких группах безопасности были члены удаленных пользователей, а затем добавьте их в эти группы.

Примечание.

Прежде чем добавлять пользователей в группы, пользователи, которые вы восстановили на шаге 7 и которые вы реплицировали для исходящего трафика на шаге 11, должны реплицироваться на контроллеры домена в домене указанного контроллера домена и во все контроллеры домена глобального каталога в лесу.

Если вы развернули программу подготовки групп для повторного заполнения членства в группах безопасности, используйте эту программу для восстановления удаленных пользователей в группах безопасности, членами которых они были до удаления. Сделайте это после того, как все прямые и транзитивные контроллеры домена в домене леса и серверах глобального каталога входящей репликации пользователей, восстановленных с проверкой подлинности, и все восстановленные контейнеры.

Если у вас нет служебной программы, Ldifde.exe средства командной строки и Groupadd.exe могут автоматизировать эту задачу при выполнении на контроллере домена восстановления. Эти средства доступны в службах поддержки продуктов Майкрософт. В этом сценарии Ldifde.exe создает файл сведений формата ОБМЕНА данными LDAP (LDIF), содержащий имена учетных записей пользователей и их групп безопасности. Он начинается с контейнера подразделения, указанного администратором. Groupadd.exe затем считывает memberOf атрибут для каждой учетной записи пользователя, указанной в LDF-файле. Затем он создает отдельные и уникальные сведения LDIF для каждого домена в лесу. Эти сведения LDIF содержат имена групп безопасности, связанных с удаленными пользователями. Используйте сведения LDIF, чтобы добавить эти сведения пользователям обратно, чтобы их членство в группах можно было восстановить. На этом этапе восстановления выполните следующие действия.
1. Войдите в консоль контроллера домена восстановления, используя учетную запись пользователя, которая является членом группы безопасности администратора домена.
2. Используйте команду Ldifde для дампа имен ранее удаленных учетных записей пользователей и их memberOf атрибутов, начиная с самого верхнего контейнера подразделения, в котором произошло удаление. Команда Ldifde использует следующий синтаксис:
```
ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=user)" -l memberof -p subtree -f user_membership_after_restore.ldf
```
  Если удаленные учетные записи компьютеров были добавлены в группы безопасности, используйте следующий синтаксис:
```
ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=computer)" -l memberof -p subtree -f computer_membership_after_restore.ldf
```
3. Groupadd Выполните команду , чтобы создать дополнительные LDF-файлы, содержащие имена доменов и имена глобальных и универсальных групп безопасности, в которые входили удаленные пользователи. Команда Groupadd использует следующий синтаксис:
```
Groupadd / after_restore users_membership_after_restore.ldf
```
  Повторите эту команду, если удаленные учетные записи компьютеров были добавлены в группы безопасности.
4. Импортируйте каждый Groupaddфайл _fully.qualified.domain.name.ldf, созданный на шаге 12c, в один контроллер домена глобального каталога, соответствующий LDF-файлу каждого домена. Используйте следующий синтаксис Ldifde:
```
Ldifde -i -k -f Groupadd_<fully.qualified.domain.name>.ldf
```
  Запустите LDF-файл для домена, из который пользователи были удалены, на любом контроллере домена, кроме контроллера домена восстановления.
5. На консоли каждого контроллера домена, который используется для импорта файла Groupadd_<fully.qualified.domain.name.ldf> для определенного домена, реплицируйте добавление членства в группах на другие контроллеры домена в домене и контроллеры домена глобального каталога в лесу. Для этого используйте следующую команду:
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Чтобы отключить исходящую репликацию, введите следующий текст и нажмите клавишу ВВОД:
```
repadmin /options +DISABLE_OUTBOUND_REPL
```
Примечание.

Чтобы повторно включить исходящую репликацию, введите следующий текст и нажмите клавишу ВВОД:
```
repadmin /options -DISABLE_OUTBOUND_REPL
```
Если удаленные пользователи были добавлены в локальные группы во внешних доменах, выполните одно из следующих действий:
- Вручную добавьте удаленных пользователей обратно в эти группы.
- Восстановите состояние системы и восстановите проверку подлинности каждую из локальных групп безопасности, содержащую удаленных пользователей.
Проверьте членство в группе в домене контроллера домена восстановления и в глобальных каталогах в других доменах.
Создайте новую резервную копию состояния системы контроллеров домена в домене контроллера домена восстановления.
Уведомите всех администраторов леса, делегированных администраторов, администраторов службы технической поддержки в лесу и пользователей в домене о том, что восстановление пользователя завершено.

Администраторам службы технической поддержки может потребоваться сбросить пароли учетных записей пользователей, восстановленных при проверке подлинности, и учетных записей компьютеров, пароль домена которых изменился после создания восстановленной системы.

Пользователи, изменившие свои пароли после создания резервного копирования состояния системы, обнадут, что их последний пароль больше не работает. Пусть такие пользователи пытаются войти в систему, используя свои предыдущие пароли, если они их знают. В противном случае администраторы службы технической поддержки должны сбросить пароль и выбрать пользователя, который должен изменить пароль при следующем проверка поле. Желательно сделать это на контроллере домена на том же сайте Active Directory, где находится пользователь.

Способ 3. Восстановление удаленных пользователей и групп безопасности удаленных пользователей два раза

При использовании этого метода необходимо выполнить следующие общие действия:

Проверьте, не реплицировал ли глобальный каталог в домене пользователя при удалении. А затем запретить этому контроллеру домена реплицировать удаление входящего трафика. Если скрытый глобальный каталог отсутствует, найдите последнюю резервную копию состояния системы контроллера домена глобального каталога в домашнем домене удаленного пользователя.
Авторитетное восстановление всех удаленных учетных записей пользователей и всех групп безопасности в домене удаленного пользователя.
Дождитесь сквозной репликации восстановленных пользователей и групп безопасности на все контроллеры домена в домене удаленного пользователя и контроллеры домена глобального каталога леса.
Повторите шаги 2 и 3, чтобы авторитетно восстановить удаленных пользователей и группы безопасности. (Вы восстанавливаете состояние системы только один раз.)
Если удаленные пользователи были членами групп безопасности в других доменах, авторитетно восстановите все группы безопасности, членами которых были удаленные пользователи в этих доменах. Или, если резервные копии состояния системы являются текущими, авторитетно восстановите все группы безопасности в этих доменах. Чтобы удовлетворить требование о том, что удаленные члены группы должны быть восстановлены до того, как группы безопасности исправляют связи членства в группах, вы дважды восстановите оба типа объектов в этом методе. При первом восстановлении будут помещены все учетные записи пользователей и учетные записи групп. Второе восстановление восстанавливает удаленные группы и восстанавливает сведения о членстве в группах, включая сведения о членстве для вложенных групп.

Чтобы использовать метод 3, выполните следующую процедуру:

Проверьте, существует ли контроллер домена глобального каталога в домашнем домене удаленных пользователей и не реплицирован ли ни в одной части удаления.

Примечание.

Сосредоточьтесь на глобальных каталогах в домене с наименьшими расписаниями репликации. Если эти контроллеры домена существуют, используйте средство командной строки Repadmin.exe, чтобы немедленно отключить входящую репликацию. Для этого выполните следующие действия:
1. Нажмите кнопку Пуск и выберите пункт Выполнить.
2. Введите cmd в поле Открыть и нажмите кнопку ОК.
3. Введите repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL в командной строке и нажмите клавишу ВВОД.
Примечание.

Если вы не можете выполнить команду Repadmin немедленно, удалите все сетевые подключения с контроллера домена, пока вы не сможете использовать Repadmin для отключения входящей репликации, а затем немедленно вернуть сетевое подключение.

Этот контроллер домена будет называться контроллером домена восстановления.
Избегайте добавления, удаления и изменения следующих элементов, пока не будут завершены все шаги восстановления. Изменения включают сброс паролей пользователями домена, администраторами службы технической поддержки и администраторами в домене, в котором произошло удаление, в дополнение к изменениям членства в группах удаленных пользователей.
1. Учетные записи пользователей и атрибуты учетных записей пользователей
2. Учетные записи компьютеров и атрибуты в учетных записях компьютеров
3. Учетные записи служб
4. Группы безопасности
  
  Примечание.
  
  Особенно избегайте изменений членства в группах для пользователей, компьютеров, групп и учетных записей служб в лесу, где произошло удаление.
5. Уведомите всех администраторов леса, делегированных администраторов и администраторов службы поддержки в лесу о временном отключении. Это необходимо в методе 2, так как вы авторитетно восстанавливаете все группы безопасности удаленных пользователей. Таким образом, все изменения, внесенные в группы после даты резервного копирования состояния системы, теряются.
Создайте резервную копию состояния системы в домене, где произошло удаление. Эту резервную копию можно использовать, если необходимо откатить изменения.

Примечание.

Если резервные копии состояния системы актуальны до момента удаления, пропустите этот шаг и перейдите к шагу 4.

Если вы определили контроллер домена восстановления на шаге 1, создайте резервную копию его состояния системы.

Если все глобальные каталоги, расположенные в домене, где произошло удаление, реплицировали удаление, создайте резервную копию состояния системы глобального каталога в домене, где произошло удаление.

При создании резервной копии контроллер домена восстановления может вернуться в текущее состояние. И снова выполните план восстановления, если первая попытка не увенчалась успехом.
Если не удается найти скрытый контроллер домена глобального каталога в домене, где было удалено пользователем, найдите последнюю резервную копию состояния системы контроллера домена глобального каталога в этом домене. Эта резервная копия состояния системы должна содержать удаленные объекты. Используйте этот контроллер домена в качестве контроллера домена восстановления.

Только базы данных контроллеров домена глобального каталога в домене пользователя содержат сведения о членстве в группах для внешних доменов в лесу. Если в домене, где были удалены пользователи, нет резервного копирования состояния системы контроллера домена глобального каталога, вы не сможете использовать memberOf атрибут в восстановленных учетных записях пользователей для определения глобального или универсального членства в группах или для восстановления членства во внешних доменах. Перейдите к следующему шагу. Если есть внешняя запись о членстве в группах во внешних доменах, добавьте восстановленных пользователей в группы безопасности в этих доменах после восстановления учетных записей пользователей.
Если вы знаете пароль для учетной записи автономного администратора, запустите контроллер домена восстановления в режиме аварийного восстановления. Если вы не знаете пароль для учетной записи автономного администратора, сбросьте пароль, пока контроллер домена восстановления по-прежнему находится в обычном режиме Active Directory.

Средство командной строки setpwd можно использовать для сброса пароля на контроллерах домена под управлением Windows 2000 с пакетом обновления 2 (SP2) и более поздних версий, пока они находятся в режиме "в сети Active Directory".

Примечание.

Корпорация Майкрософт больше не поддерживает Windows 2000.

Администраторы контроллеров домена Windows Server 2003 и более поздних версий могут использовать set dsrm password команду в средстве командной строки Ntdsutil, чтобы сбросить пароль для учетной записи автономного администратора.

Дополнительные сведения о сбросе учетной записи администратора режима восстановления служб каталогов см. в статье Сброс пароля учетной записи администратора режима восстановления служб каталогов в Windows Server.
Нажмите клавишу F8 во время запуска, чтобы запустить контроллер домена восстановления в режиме аварийного восстановления. Войдите в консоль контроллера домена восстановления с учетной записью автономного администратора. Если вы сбросили пароль на шаге 5, используйте новый пароль.

Если контроллер домена восстановления является скрытым контроллером домена глобального каталога, не восстанавливайте состояние системы. Перейдите непосредственно к шагу 7.

Если вы создаете контроллер домена восстановления с помощью резервной копии состояния системы, восстановите последнюю резервную копию состояния системы, созданную на контроллере домена восстановления, который содержит удаленные объекты.
Проверка подлинности восстанавливает удаленные учетные записи пользователей, учетные записи удаленных компьютеров или удаленные группы безопасности.

Примечание.

Термины auth restore и полномочное восстановление относятся к процессу использования команды полномочного восстановления в средстве командной строки Ntdsutil для увеличения номера версий конкретных объектов или конкретных контейнеров и всех их подчиненных объектов. Как только выполняется сквозная репликация, целевые объекты в локальной копии Active Directory контроллера домена восстановления становятся полномочными на всех контроллерах домена, которые совместно используют этот раздел. Авторитетное восстановление отличается от восстановления состояния системы. Восстановление состояния системы заполняет локальную копию Active Directory восстановленного контроллера домена версиями объектов на момент создания резервной копии состояния системы.

Достоверное восстановление выполняется с помощью средства командной строки Ntdsutil путем ссылки на путь доменного имени (dn) удаленных пользователей или контейнеров, в которых размещены удаленные пользователи.

При восстановлении проверки подлинности используйте пути к доменным именам, которые находятся на низком уровне в дереве домена, как и должно быть. Цель состоит в том, чтобы избежать отмены объектов, которые не связаны с удалением. Эти объекты могут включать объекты, которые были изменены после создания резервного копирования состояния системы.

Проверка подлинности восстановления удаленных пользователей в следующем порядке:
1. Проверка подлинности восстанавливает путь к доменному имени (dn) для каждой удаленной учетной записи пользователя, учетной записи компьютера или удаленной группы безопасности.
  
  Достоверные восстановления конкретных объектов занимают больше времени, но менее разрушительны, чем достоверные восстановления целого поддеревого. Проверка подлинности восстанавливает самый низкий общий родительский контейнер, содержащий удаленные объекты.
  
  Ntdsutil использует следующий синтаксис:
```
ntdsutil "authoritative restore" "restore object <object DN path>" q q
```
  Например, чтобы авторитетно восстановить удаленного пользователя John Doe в подразделении Contoso.comMayberry домена, используйте следующую команду:
```
ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
```
  Чтобы авторитетно восстановить удаленную группу безопасности ContosoPrintAccess в подразделении Contoso.comMayberry домена, используйте следующую команду:
```
ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
```
  Важно!
  
  Требуется использование кавычек.
  
  Используя этот формат Ntdsutil, вы также можете автоматизировать достоверное восстановление многих объектов в пакетном файле или скрипте.
  
  Примечание.
  
  Этот синтаксис доступен только в Windows Server 2003 и более поздних версиях. Единственным синтаксисом в Windows 2000 является использование: ntdsutil "authoritative restore" "restore subtree object DN path".
2. Проверка подлинности восстанавливает только контейнеры подразделений или Common-Name (CN), в которых размещаются удаленные учетные записи пользователей или группы.
  
  Достоверные операции восстановления целого поддеревого дерева допустимы, если подразделение, предназначенное командой Ntdsutil Authoritative restore, содержит большинство объектов, которые вы пытаетесь восстановить авторитетно. В идеале целевое подразделение содержит все объекты, которые вы пытаетесь восстановить авторитетно.
  
  Достоверное восстановление в поддереве подразделения восстанавливает все атрибуты и объекты, которые находятся в контейнере. Все изменения, внесенные до момента восстановления резервной копии состояния системы, откатываются до их значений во время резервного копирования. При использовании учетных записей пользователей, учетных записей компьютеров и групп безопасности этот откат может означать потерю последних изменений паролей, в домашнем каталоге, пути к профилю, расположения и контактных данных, членства в группах и всех дескрипторов безопасности, определенных в этих объектах и атрибутах.
  
  Ntdsutil использует следующий синтаксис:
```
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
```
  Например, чтобы авторитетно восстановить подразделение Contoso.comMayberry домена, используйте следующую команду:
```
ntdsutil "authoritative restore" "restore subtree ou=Mayberry,dc=contoso,dc=com" q q
```
  Примечание.
  
  Повторите этот шаг для каждого однорангового подразделения, в котором размещены удаленные пользователи или группы.
  
  Важно!
  
  При восстановлении подчиненного объекта подразделения все родительские контейнеры удаленных подчиненных объектов должны быть восстановлены явно.
Перезапустите контроллер домена восстановления в обычном режиме Active Directory.
Исходящая репликация достоверно восстановленных объектов из контроллера домена восстановления в контроллеры домена в домене и лесу.

Хотя входящая репликация на контроллер домена восстановления остается отключенной, введите следующую команду, чтобы отправить достоверно восстановленные объекты во все контроллеры домена между сайтами реплика в домене и в глобальные каталоги в лесу:
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
После репликации всех прямых и транзитивных контроллеров домена в домене леса и серверах глобального каталога в достоверно восстановленных пользователях и всех восстановленных контейнерах перейдите к шагу 11.

Если все приведенные ниже инструкции верны, ссылки членства в группах перестраиваются с восстановлением удаленных учетных записей пользователей. Перейдите к шагу 13.
- Лес работает на функциональном уровне леса Windows Server 2003 и более поздних версий или на промежуточном уровне работы леса Windows Server 2003 и более поздних версий.
- Не были удалены только группы безопасности.
- Все удаленные пользователи были добавлены во все группы безопасности во всех доменах в лесу.
Рассмотрите Repadmin возможность использования команды для ускорения исходящей репликации пользователей из восстановленного контроллера домена.

Если группы также были удалены или вы не можете гарантировать, что все удаленные пользователи были добавлены во все группы безопасности после перехода на промежуточный или лесной уровень работы Windows Server 2003 и более поздних версий, перейдите к шагу 12.
Повторите шаги 7, 8 и 9, не восстанавливая состояние системы, а затем перейдите к шагу 11.
Если удаленные пользователи были добавлены в локальные группы во внешних доменах, выполните одно из следующих действий:
- Вручную добавьте удаленных пользователей обратно в эти группы.
- Восстановите состояние системы и восстановите проверку подлинности каждую из локальных групп безопасности, содержащую удаленных пользователей.
Проверьте членство в группе в домене контроллера домена восстановления и в глобальных каталогах в других доменах.
Используйте следующую команду, чтобы включить входящую репликацию на контроллер домена восстановления:
```
repadmin /options recovery dc name -DISABLE_INBOUND_REPL
```
Создайте новую резервную копию состояния системы контроллеров домена в домене контроллера домена восстановления и глобальных каталогах в других доменах в лесу.
Уведомите всех администраторов леса, делегированных администраторов, администраторов службы технической поддержки в лесу и пользователей в домене о том, что восстановление пользователя завершено.

Администраторам службы технической поддержки может потребоваться сбросить пароли учетных записей пользователей, восстановленных при проверке подлинности, и учетных записей компьютеров, пароль домена которых изменился после создания восстановленной системы.

Пользователи, изменившие свои пароли после создания резервного копирования состояния системы, обнадут, что их последний пароль больше не работает. Пусть такие пользователи пытаются войти в систему, используя свои предыдущие пароли, если они их знают. В противном случае администраторы службы поддержки должны сбросить пароль, а пользователь должен изменить пароль при следующем входе проверка установлен флажок. Желательно сделать это на контроллере домена на том же сайте Active Directory, где находится пользователь.

Восстановление удаленных пользователей на контроллере домена, если у вас нет допустимой резервной копии состояния системы

Если в домене, где были удалены учетные записи пользователей или группы безопасности, отсутствуют текущие резервные копии состояния системы, а удаление произошло в доменах, содержащих контроллеры домена Windows Server 2003 и более поздних версий, выполните следующие действия, чтобы вручную повторно анимировать удаленные объекты из контейнера удаленных объектов.

Выполните действия, описанные в следующем разделе, чтобы повторно анимировать удаленных пользователей, компьютеры, группы или все из них.
Отмена отмены объектов в контейнере удаленных объектов вручную
Используйте Пользователи и компьютеры Active Directory, чтобы изменить учетную запись с отключенной на включенную. (Учетная запись отображается в исходном подразделении.)
Используйте функции массового сброса в Windows Server 2003 и более поздних версиях Пользователи и компьютеры Active Directory, чтобы выполнить массовый сброс пароля, который должен измениться при следующем параметре политики входа, в домашнем каталоге, в пути к профилю и членстве в группе для удаленной учетной записи при необходимости. Вы также можете использовать программный эквивалент этих функций.
Если использовался Microsoft Exchange 2000 или более поздней версии, восстановите почтовый ящик Exchange для удаленного пользователя.
Если использовался Exchange 2000 или более поздней версии, повторно привяжете удаленного пользователя к почтовому ящику Exchange.
Убедитесь, что восстановленный пользователь может войти в локальные каталоги, общие каталоги и файлы и получить доступ к ним.

Некоторые или все из этих шагов восстановления можно автоматизировать с помощью следующих методов:

Напишите сценарий, который автоматизирует действия по восстановлению вручную, перечисленные на шаге 1. При написании такого сценария рассмотрите возможность определения области удаленного объекта по дате, времени и последнему известному родительскому контейнеру, а затем автоматизируйте реанимацию удаленного объекта. Чтобы автоматизировать повторную анимацию, измените isDeleted атрибут с TRUE на FALSE и измените относительное различающееся имя на значение, определенное в lastKnownParent атрибуте или в новом контейнере подразделения или общего имени (CN), заданном администратором. (Относительное различающееся имя также называется RDN.)
Получите программу сторонних версий, которая поддерживает реанимацию удаленных объектов на контроллерах домена Windows Server 2003 и более поздних версий. Одной из таких служебных программ является AdRestore. AdRestore использует примитивы windows Server 2003 и более поздних версий для отмены удаления объектов по отдельности. Aelita Software Corporation и Commvault Systems также предлагают продукты, поддерживающие функциональность отмены удаления на контроллерах домена под управлением Windows Server 2003 и более поздних версий.

Сведения о получении AdRestore см. в статье AdRestore версии 1.1.

Контактные данные сторонних организаций предоставлены в этой статье с целью помочь пользователям получить необходимую техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не гарантирует точность этих сторонних контактных данных.

Отмена удаления объектов в контейнере удаленного объекта вручную

Чтобы вручную отменить отмену объектов в контейнере удаленного объекта, выполните следующие действия.

Нажмите кнопку Пуск, выберите Выполнить, а затем введитеldp.exe.

ldp.exe доступно:
- На компьютерах, на которых установлена роль контроллера домена.
- На компьютерах, на которых установлены средства удаленного администрирования сервера (RSAT).
Используйте меню Подключение в Ldp, чтобы выполнить операции подключения и операции привязки к контроллеру домена Windows Server 2003 и более поздних версий.

Укажите учетные данные администратора домена во время операции привязки.
В меню Параметры выберите Элементы управления.
В списке Загрузить предопределенное выберите Возврат удаленных объектов.

Примечание.

Элемент управления 1.2.840.113556.1.4.417 перемещается в окно Активные элементы управления .
В разделе Тип элемента управления выберите Сервер и нажмите кнопку ОК.
В меню Вид выберите Дерево, введите различающееся имя контейнера удаленных объектов в домене, где произошло удаление, и нажмите кнопку ОК.

Примечание.

Путь с различаемого имени также называется путем DN. Например, если удаление произошло в домене contoso.com , путь DN будет следующим:
cn=deleted Objects,dc=contoso,dc=com
В левой области окна дважды щелкните контейнер удаленных объектов.

Примечание.

В результате поиска запроса Idap по умолчанию возвращается только 1000 объектов. Например, если в контейнере Удаленные объекты существует более 1000 объектов, в этом контейнере отображаются не все объекты. Если целевой объект не отображается, используйте ntdsutil, а затем задайте максимальное число с помощью maxpagesize , чтобы получить результаты поиска .
Дважды щелкните объект, который требуется отменить или повторно анимировать.
Щелкните правой кнопкой мыши объект, который требуется повторно анимировать, и выберите команду Изменить.

Измените значение атрибута isDeleted и путь DN в одной операции изменения протокола LDAP. Чтобы настроить диалоговое окно Изменение , выполните следующие действия.
1. В поле Изменить атрибут записи введите isDeleted. Оставьте поле Значение пустым.
2. Нажмите кнопку Удалить и нажмите клавишу ВВОД , чтобы создать первую из двух записей в диалоговом окне Список записей .
  
  Важно!
  
  Не нажимайте кнопку Выполнить.
3. В поле Атрибут введите различающееся Имя.
4. В поле Значения введите новый путь DN для реанимированного объекта.
  
  Например, чтобы повторно анимировать учетную запись пользователя JohnDoe в подразделение Mayberry, используйте следующий путь DN: cn= JohnDoe,ou= Mayberry,dc= contoso,dc= com.
  
  Примечание.
  
  Если вы хотите повторно анимировать удаленный объект в исходный контейнер, добавьте значение атрибута lastKnownParent удаленного объекта в значение CN, а затем вставьте полный путь DN в поле Значения .
5. В поле Операция выберите ЗАМЕНИТЬ.
6. Нажмите клавишу ВВОД.
7. Выберите поле Синхронная проверка.
8. Выберите поле Расширенный проверка.
9. Выберите ВЫПОЛНИТЬ.
После повторного анимирования объектов выберите Элементы управления в меню Параметры , нажмите кнопку Извлечь , чтобы удалить (1.2.840.113556.1.4.417) из списка активных элементов управления .
Сбросьте пароли учетных записей пользователей, профили, домашние каталоги и членство в группах для удаленных пользователей.

При удалении объекта все значения атрибутов, кроме SID, ObjectGUID, LastKnownParentи SAMAccountName были удалены.
Включите повторно анимированную учетную запись в Пользователи и компьютеры Active Directory.

Примечание.

Повторно анимируемый объект имеет тот же основной идентификатор безопасности, что и до удаления, но объект необходимо добавить снова в те же группы безопасности, чтобы иметь тот же уровень доступа к ресурсам. Первый выпуск Windows Server 2003 и более поздних версий не сохраняет sIDHistory атрибут для повторно анимированных учетных записей пользователей, учетных записей компьютеров и групп безопасности. Windows Server 2003 и более поздних версий с пакетом обновления 1 (SP1) сохраняет sIDHistory атрибут для удаленных объектов.
Удалите атрибуты Microsoft Exchange и повторно подключите пользователя к почтовому ящику Exchange.

Примечание.

Реанимация удаленных объектов поддерживается при удалении на контроллере домена Windows Server 2003 и более поздних версий. Реанимация удаленных объектов не поддерживается, когда удаление происходит на контроллере домена Windows 2000, который впоследствии обновляется до Windows Server 2003 и более поздних версий.

Примечание.

Если удаление происходит на контроллере домена Windows 2000 в домене lastParentOf , атрибут не заполняется на контроллерах домена Windows Server 2003 и более поздних версий.

Как определить, когда и где произошло удаление

При удалении пользователей из-за массового удаления может потребоваться узнать, откуда произошло удаление. Для этого выполните указанные ниже действия.

Чтобы найти удаленные субъекты безопасности, выполните шаги 1–7 в разделе Как вручную отменить отмену объектов в контейнере удаленного объекта . Если дерево было удалено, выполните следующие действия, чтобы найти родительский контейнер удаленного объекта.
Скопируйте значение атрибута в objectGUID буфер обмена Windows. Это значение можно вставить, введя команду на Repadmin шаге 4.
В командной строке выполните следующую команду:
```
repadmin /showmeta GUID=<objectGUID> <FQDN>
```
Например, если objectGUID объект удаленного объекта или контейнера имеет значение 791273b2-eba7-4285-a117-aa804ea76e95 и полное доменное имя (FQDN) — dc.contoso.com, выполните следующую команду:
```
repadmin /showmeta GUID=791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com
```
Синтаксис этой команды должен включать GUID удаленного объекта или контейнера и полное доменное имя сервера, с которого требуется создать источник.

В выходных Repadmin данных команды найдите исходный контроллер даты, времени и домена для атрибута isDeleted . Например, сведения об атрибуте isDeleted отображаются в пятой строке следующего примера выходных данных:

Loc.USN	Исходный контроллер домена	Org.USN	Org.Time/Date	Версии	Атрибут
134759	Default-First-Site-Name\NA-DC1	134759	DateTime	1	Objectclass
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	2	Подразделение
134759	Default-First-Site-Name\NA-DC1	134759	DateTime	1	instanceType
134759	Default-First-Site-Name\NA-DC1	134759	DateTime	1	whenCreated
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	1	isDeleted
134759	Default-First-Site-Name\NA-DC1	134759	DateTime	1	nTSecurityDescriptor
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	2	name
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	1	lastKnownParent
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	2	objectCategory

Если имя исходного контроллера домена отображается как 32-значный буквенно-цифровой GUID, используйте команду Ping, чтобы разрешить GUID в IP-адрес и имя контроллера домена, который был инициатором удаления. Команда Ping использует следующий синтаксис:
```
ping -a <originating DC GUID>._msdomain controllers.<fully qualified path for forest root domain>
```
Примечание.

Параметр -a учитывает регистр. Используйте полное доменное имя корневого домена леса независимо от домена, в котором находится исходный контроллер домена.

Например, если исходный контроллер домена находится в любом домене в лесу Contoso.com и имеет guid 644eb7e7-1566-4f29-a778-4b487637564b, выполните следующую команду:
```
ping -a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com
```
Выходные данные, возвращаемые этой командой, похожи на следующие:
```
Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:

Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
```

Как свести к минимуму влияние массового удаления в будущем

Ниже приведены ключи для минимизации влияния массового удаления пользователей, компьютеров и групп безопасности.

Убедитесь, что у вас есть актуальные резервные копии состояния системы.
Строго контролируйте доступ к привилегированным учетным записям пользователей.
Строго контролируйте, что эти учетные записи могут делать.
Практическое восстановление после массового удаления.

Изменения состояния системы происходят каждый день. Эти изменения могут включать:

Сброс паролей в учетных записях пользователей и учетных записях компьютеров
Изменения членства в группах
Другие изменения атрибутов в учетных записях пользователей, учетных записях компьютеров и группах безопасности.

Если оборудование или программное обеспечение завершается сбоем или на вашем сайте возникает другая авария, вам потребуется восстановить резервные копии, которые были созданы после каждого значительного набора изменений в каждом домене Active Directory и каждом сайте в лесу. Если вы не поддерживаете текущие резервные копии, вы можете потерять данные или откатить восстановленные объекты.

Корпорация Майкрософт рекомендует предпринять следующие действия, чтобы предотвратить массовое удаление.

Не делитесь паролем для встроенных учетных записей администратора и не разрешите общий доступ к учетным записям пользователей с правами администратора. Если пароль для встроенной учетной записи администратора известен, измените пароль и определите внутренний процесс, который препятствует его использованию. События аудита для общих учетных записей пользователей делают невозможным определение личности пользователя, который вносит изменения в Active Directory. Поэтому не рекомендуется использовать общие учетные записи пользователей.
Редко учетные записи пользователей, учетные записи компьютеров и группы безопасности намеренно удаляются. Особенно это касается удаления деревьев. Отмените связь между службами и делегированными администраторами для удаления этих объектов с возможностью создания учетных записей пользователей, учетных записей компьютеров, групп безопасности, контейнеров подразделений и их атрибутов и управления ими. Предоставление права на удаление дерева только наиболее привилегированным учетным записям пользователей или группам безопасности. Эти привилегированные учетные записи пользователей могут включать администраторов предприятия.
Предоставьте делегированным администраторам доступ только к классу объекта, которым эти администраторы могут управлять. Например, основной задачей администратора службы поддержки является изменение свойств учетных записей пользователей. У него нет разрешений на создание и удаление учетных записей компьютеров, групп безопасности или контейнеров подразделений. Это ограничение также применяется к разрешениям на удаление для администраторов других определенных классов объектов.
Поэкспериментируйте с параметрами аудита для отслеживания операций удаления в домене лаборатории. После того как вы будете удовлетворены результатами, примените лучшее решение к рабочей области.
Оптовые изменения управления доступом и аудита в контейнерах, на которых размещены десятки тысяч объектов, могут значительно увеличить базу данных Active Directory, особенно в доменах Windows 2000. Используйте тестовый домен, который отражает рабочий домен для оценки потенциальных изменений свободного места на диске. Проверьте тома жесткого диска, на которых размещены файлы Ntds.dit, и файлы журналов контроллеров домена в рабочем домене, чтобы освободить место на диске. Избегайте настройки управления доступом и аудита в голове контроллера сети домена. Внесение этих изменений без необходимости будет применяться ко всем объектам всех классов во всех контейнерах в секции. Например, избегайте внесения изменений в регистрацию записей системы доменных имен (DNS) и DLT в папке CN=SYSTEM раздела домена.
Используйте структуру подразделения с рекомендациями для разделения учетных записей пользователей, учетных записей компьютеров, групп безопасности и учетных записей служб в своем подразделении. При использовании этой структуры можно применять списки управления доступом по усмотрению (DACLs) к объектам одного класса для делегированного администрирования. И вы делаете возможным восстановление объектов в соответствии с классом объектов, если они должны быть восстановлены. Структура подразделения с рекомендациями рассматривается в разделе Создание структуры подразделения в следующей статье:
Рекомендации по проектированию Active Directory для управления сетями Windows
Протестируйте массовое удаление в лабораторной среде, которая отражает рабочий домен. Выберите подходящий метод восстановления, а затем настройте его для вашей организации. Может потребоваться определить:
- Имена контроллеров домена в каждом домене, для которых регулярно создается резервное копирование.
- Место хранения образов резервных копий
  В идеале эти образы хранятся на дополнительном жестком диске, который является локальным для глобального каталога в каждом домене леса.
- С какими членами организации службы поддержки следует связаться
- Лучший способ установить этот контакт
Большинство массовых удалений учетных записей пользователей, учетных записей компьютеров и групп безопасности, которые майкрософт видит, являются случайными. Обсудите этот сценарий с ИТ-персоналом и разработайте внутренний план действий. Сосредоточьтесь на раннем обнаружении. И как можно быстрее верните функциональные возможности для пользователей домена и бизнеса. Вы также можете принять меры, чтобы предотвратить случайное массовое удаление, изменив списки управления доступом (ACL) подразделений.

Дополнительные сведения об использовании средств интерфейса Windows для предотвращения случайного массового удаления см. в разделе Защита от случайных массовых удалений в Active Directory.

Средства и скрипты, которые могут помочь вам восстановиться после массового удаления

Служебная программа командной строки Groupadd.exe считывает memberOf атрибут в коллекции пользователей в подразделении и создает LDF-файл, который добавляет каждую восстановленную учетную запись пользователя в группы безопасности в каждом домене в лесу.

Groupadd.exe автоматически обнаруживает домены и группы безопасности, членами которых были удаленные пользователи, и добавляет их обратно в эти группы. Этот процесс более подробно описан на шаге 11 метода 1.

Groupadd.exe работает на контроллерах домена Windows Server 2003 и более поздних версий.

Groupadd.exe используется следующий синтаксис:

groupadd / after_restore ldf_file [/ before_restore ldf_file ]

Здесь представляет имя LDF-файла, ldf_file который будет использоваться с предыдущим аргументом, after_restore представляет источник данных файла пользователя и before_restore данные пользователя из рабочей среды. (Источник данных файла пользователя — это хорошие данные пользователя.)

Чтобы получить Groupadd.exe, обратитесь в службу поддержки майкрософт.

В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий, подразумеваемых и прочих, относительно производительности и надежности этих продуктов.

Ссылки

Дополнительные сведения об использовании функции корзины AD, включенной в Windows Server 2008 R2, см. в разделе Пошаговое руководство по корзине Active Directory.

Восстановление удаленных учетных записей пользователей и их членства в группах в Active Directory

Введение

Дополнительная информация

Способ 2. Восстановление удаленных учетных записей пользователей, а затем добавление восстановленных пользователей обратно в группы

Способ 3. Восстановление удаленных пользователей и групп безопасности удаленных пользователей два раза

Восстановление удаленных пользователей на контроллере домена, если у вас нет допустимой резервной копии состояния системы

Отмена удаления объектов в контейнере удаленного объекта вручную

Как определить, когда и где произошло удаление

Как свести к минимуму влияние массового удаления в будущем

Средства и скрипты, которые могут помочь вам восстановиться после массового удаления

Ссылки

Обратная связь

Обратная связь

Дополнительные ресурсы