Obnovení odstraněných uživatelských účtů v Microsoftu 365, Azure a Intune

Původní číslo KB: 2619308

Příznaky

Uživatelský účet, který se omylem odstranil z Microsoftu 365, Microsoft Azure nebo Microsoft Intune, je potřeba obnovit.

Řešení

Než začnete

Když se uživatelé odstraní z Azure Active Directory (Azure AD), přesunou se do stavu odstranění a už se nezobrazí v seznamu uživatelů. Nejsou však zcela odebrány a lze je obnovit do 30 dnů.

Pomocí Microsoftu 365 a modulu Azure Active Directory pro PowerShell následujícím způsobem určete, jestli má uživatel nárok na obnovení ze stavu Odstraněno:

  1. Na portálu Microsoft 365 vyhledejte uživatelské účty, které byly odstraněny prostřednictvím portálu. Postupujte takto:
    1. Přihlaste se k portálu Microsoft 365 (https://portal.office.com) pomocí přihlašovacích údajů správce.
    2. Vyberte Uživatelé a pak vyberte Odstranění uživatelé.
    3. Vyhledejte uživatele, kterého chcete obnovit.
  2. V modulu Azure Active Directory pro Windows PowerShell postupujte takto:
    1. Vyberte spustit>všechny programy>Windows Azure Active Directory>Windows Azure Active Directory modul pro Windows PowerShell.
    2. Zadejte následující příkazy v pořadí, ve kterém jsou uvedeny, a po každém příkazu stiskněte Enter:
      • $cred = get-credential

        Poznámka

        Po zobrazení výzvy zadejte svoje přihlašovací údaje k Microsoftu 365.

      • Connect-MSOLService -credential:$cred

      • Get-MsolUser -ReturnDeletedUsers

Řešení 1: Obnovení ručně odstraněných účtů pomocí portálu Microsoft 365 nebo modulu Azure Active Directory

Pokud chcete obnovit uživatelský účet, který byl odstraněn ručně, použijte jednu z následujících metod:

  • K obnovení uživatelského účtu použijte portál Microsoft 365. Další informace o tom, jak to udělat, obnovení uživatele.

  • K obnovení uživatelského účtu použijte modul Azure Active Directory pro Windows PowerShell. Provedete to zadáním následujícího příkazu a stisknutím klávesy Enter:

    Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Pokud tento příkaz nefunguje, zkuste následující příkaz:

    Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Poznámka

    V těchto příkazech se používají následující konvence:

    • Parametry UserPrincipalName a ObjectID jednoznačně identifikují objekt uživatele, který se má obnovit.
    • Parametr AutoReconcileProxyConflicts je volitelný a používá se ve scénářích, ve kterých je jinému objektu uživatele udělena adresa proxy objektu cílového uživatele po odstranění této adresy.
    • Parametr NewUserPrincipalName se volitelně používá ve scénářích, ve kterých je udělen jiný objekt uživatele pomocí hlavního názvu uživatele (UPN) cílového objektu uživatele po odstranění tohoto hlavního názvu uživatele( UPN).

Řešení 2: Obnovení odstraněných účtů, protože změny rozsahu vylučují objekt uživatele místní Active Directory

Pokud chcete obnovit odstraněné uživatelské účty, ujistěte se, že je filtrování synchronizace adresářů nastavené tak, aby rozsah zahrnoval objekty, které chcete obnovit.

Další informace najdete v tématu Azure AD Synchronizace připojení: Konfigurace filtrování.

Řešení 3: Obnovení účtů odstraněných, protože místní objekt uživatele byl odstraněn ze schématu místní Active Directory

Pokud chcete obnovit položku odstraněnou ze schématu místní Active Directory, vyzkoušejte následující metody:

  • Pokuste se obnovit odstraněnou položku z koše služby Active Directory. Postup najdete v podrobné příručce k koši služby Active Directory.

    Poznámka

    • Koš služby Active Directory je k dispozici pouze na úrovni funkčnosti systému Windows 2008 R2 nebo novější.
    • Aby byl koš služby Active Directory užitečný při obnovování položky, musí být před odstraněním položky povolen.
  • Pokud koš služby Active Directory není k dispozici nebo pokud daný objekt již není v koši, zkuste odstraněnou položku obnovit pomocí nástroje AdRestore. Postupujte takto:

    1. Nainstalujte nástroj AdRestore .

    2. K vyhledání odstraněného místního objektu uživatele použijte AdRestore společně s vyhledávacím filtrem. Následující příklady používají řetězec UserA k vyhledání uživatelských jmen, která se shodují.

      1. Pomocí adRestore vytvořte výčet všech uživatelských objektů, které mají v názvu řetězec UserA:

        C:\>adrestore.exe UserA
        AdRestore v1.1 by Mark Russinovich
        Sysinternals - www.sysinternals.com
        
        Enumerating domain deleted objects:
        cn: MailboxA
        DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
        distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
        lastKnownParent: OU=OnPremises,DC=Domain,DC=com
        
        Found 1 item matching search criteria.
        
      2. K obnovení objektu uživatele použijte AdRestore společně s přepínačem -r .

        C:\>adrestore.exe Usera -r
        AdRestore v1.1 by Mark Russinovich
        Sysinternals - www.sysinternals.com
        
        Enumerating domain deleted objects:
        cn: UserA
        DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
        distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
        lastKnownParent: OU=OnPremises,DC=Domain,DC=com
        
        Do you want to restore this object (y/n)? y
        Restore succeeded.
        
        Found 1 item matching search criteria.
        
  • Povolte objekt uživatele ve službě Active Directory. Když se objekt obnoví, bude zpočátku zakázaný. Proto ji musíte povolit. Doporučujeme nejprve resetovat uživatelské heslo. Pokud chcete uživatele povolit, postupujte takto:

    1. V Uživatelé a počítače služby Active Directory klikněte pravým tlačítkem na uživatele a pak vyberte Resetovat heslo.

    2. Do polí Nové heslo a Potvrzení hesla zadejte nové heslo a pak vyberte OK.

    3. Klikněte pravým tlačítkem na uživatele, vyberte Povolit účet a pak vyberte OK.

      Snímek obrazovky s postupem povolení účtu ve službě Active Directory

      Zobrazí se následující chybová zpráva (očekávaná):

      Systém Windows nemůže povolit název_poštovní_schránky> objektu<, protože: Heslo nelze aktualizovat. Hodnota zadaná pro nové heslo nesplňuje požadavky domény na délku, složitost nebo historii.

      Po zobrazení této chybové zprávy resetujte heslo uživatele v Uživatelé a počítače služby Active Directory.

  • Konfigurace přihlašovacího jména uživatele

    Přihlašovací jméno uživatele (označované také jako hlavní název uživatele nebo hlavní název uživatele ) není nastavené z obnoveného objektu uživatele. Přihlašovací jméno uživatele musíte aktualizovat, zejména pokud je uživatel federovaným účtem.

    Chcete-li nakonfigurovat přihlašovací jméno uživatele, postupujte takto:

    1. V Uživatelé a počítače služby Active Directory klikněte pravým tlačítkem myši na uživatele a pak vyberte Vlastnosti.
    2. Vyberte účet, zadejte jméno do pole Přihlašovací jméno uživatele a pak vyberte OK.

    Pokud odstraněný uživatelský účet nemůžete obnovit prostřednictvím koše služby Active Directory nebo pomocí nástroje AdRestore, spusťte autoritativní obnovení odstraněných uživatelských objektů ve službě Active Directory.

Upozornění a upozornění

  • Ujistěte se, že jsou jako autoritativní označeny pouze objekty uživatele, které chcete obnovit. Objekty služby Active Directory, které jsou v procesu obnovení označené jako autoritativní, mohou způsobit mnoho problémů se službou Active Directory.

    Další informace o spuštění autoritativní obnovení objektů služby Active Directory naleznete v tématu Provedení autoritativní obnovení objektů služby Active Directory.

  • Po obnovení objektu pomocí jakékoli metody Resolution 3 nemusí mít objekt automaticky obnoveny všechny atributy služby (například Exchange Online a Skype pro firmy Online).

    Například pro uživatele, který byl dříve v Exchange Online povolený e-mail, můžete k opětovnému naplnění atributů Exchange Online použít rutiny Windows PowerShell.

    V následujícím příkladu je objekt User1 znovu vyplněn pomocí atributů Exchange Online pro tenanta contoso.onmicrosoft.com:

    Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com

  • Pokud jsou splněné následující podmínky, řešení 3 nebude fungovat:

    • Obnovení objektu pomocí koše služby Active Directory není k dispozici.
    • Obnovení objektu pomocí nástroje AdRestore není k dispozici.
    • Autoritativní obnovení služby Active Directory není k dispozici.

V takovém případě požádejte o pomoc podporu Microsoftu 365.

Další informace

Po odstranění uživatele a před obnovením uživatele může dojít k následujícím událostem a může dojít ke konfliktům, které mohou změnit uživatelské prostředí:

  • Nový uživatel má jedinečnou hodnotu ID uživatele, která byla dříve přiřazena odstraněného uživatele.
  • Nový uživatel má jedinečnou hodnotu e-mailové adresy, která byla dříve přiřazena odstraněným uživatelům.

Pokud dojde k těmto konfliktům, musí být konfliktní atributy aktualizovány, aby se konflikt před dokončením obnovení uživatele odebraly. Pokud během obnovení uživatele dojde ke konfliktu, Windows PowerShell vrátí jednu z následujících chybových zpráv:

Chyba 1

Restore-MsolUser: Zadaný uživatelský účet nelze obnovit z důvodu následující chyby: Typ chyby UserPrincipalName

Chyba 2

Restore-MsolUser: Zadaný uživatelský účet nelze obnovit z důvodu následující chyby: Typ chyby proxyAddress

Pokud chcete obnovit uživatele, kteří jsou v tomto stavu, můžete konflikt opravit pomocí následujících parametrů při spuštění rutiny Restore-MSOLUser :

  • AutoReconcileProxyConflicts
  • NewUserPrincipalName

Poznámka

Pokud použijete AutoReconcileProxyConflicts parametr, odeberou se z odstraněného uživatele všechny konfliktní e-mailové adresy, abyste mohli pokračovat v procesu obnovení.

Na portálu Microsoft 365 se zobrazují ekvivalentní chybové zprávy ve formě Windows PowerShell "chybové stavy", které byly zmíněny dříve. Například se zobrazí následující zpráva:

Konflikt uživatelského jména: Uživatel, kterého chcete obnovit, má stejné uživatelské jméno.

Snímek obrazovky znázorňující konflikt uživatelského jména

Pokud chcete obnovit uživatele, kteří jsou v tomto stavu, vyplňte požadované informace ve formuláři.

Stále potřebujete pomoc? Přejděte na stránku Komunita Microsoft nebo Azure Active Directory Forums.