Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se proporciona información sobre cómo restaurar cuentas de usuario eliminadas y pertenencias a grupos en Active Directory.
Número de KB original: 840001
Introducción
Puede usar varios métodos para restaurar cuentas de usuario eliminadas, cuentas de equipo y grupos de seguridad. Estos objetos se conocen colectivamente como entidades de seguridad.
El método más común es habilitar la característica Papelera de reciclaje de AD compatible con controladores de dominio basados en Windows Server 2008 R2 y versiones posteriores. Para obtener más información sobre esta característica, incluido cómo habilitarlo y restaurar objetos, consulte Guía paso a paso de la papelera de reciclaje de Active Directory.
Si este método no está disponible para usted, se pueden usar los tres métodos siguientes. En los tres métodos, restaurará autoritativamente los objetos eliminados y, a continuación, restaurará la información de pertenencia a grupos para las entidades de seguridad eliminadas. Al restaurar un objeto eliminado, debe restaurar los valores anteriores de los member
atributos y memberOf
de la entidad de seguridad afectada.
Nota:
La recuperación de objetos eliminados en Active Directory se puede simplificar habilitando la característica papelera de reciclaje de AD compatible con controladores de dominio basados en Windows Server 2008 R2 y versiones posteriores. Para obtener más información sobre esta característica, incluido cómo habilitarlo y restaurar objetos, consulte Guía paso a paso de la papelera de reciclaje de Active Directory.
Más información
Los métodos 1 y 2 proporcionan una mejor experiencia para los usuarios y administradores del dominio. Estos métodos conservan las adiciones a los grupos de seguridad realizados entre el momento de la última copia de seguridad del estado del sistema y la hora en que se produjo la eliminación. En el método 3, no realiza ajustes individuales en las entidades de seguridad. En su lugar, revertirá las pertenencias a grupos de seguridad a su estado en el momento de la última copia de seguridad.
La mayoría de las eliminaciones a gran escala son accidentales. Microsoft recomienda realizar varios pasos para evitar que otros usuarios eliminen objetos de forma masiva.
Nota:
Para evitar la eliminación accidental o el movimiento de objetos (especialmente unidades organizativas), se pueden agregar dos entradas de control de acceso denegado (ACE) al descriptor de seguridad de cada objeto (DENY DELETE & DELETE TREE) y se puede agregar una entrada de control de acceso Denegar (ACE) al descriptor de seguridad del ELEMENTO PRIMARIO de cada objeto (DENY DELETE CHILD). Para ello, use Usuarios y equipos de Active Directory, ADSIEdit, LDP o la herramienta de línea de comandos DSACLS. También puede cambiar los permisos predeterminados en el esquema de AD para las unidades organizativas para que estos ACE se incluyan de forma predeterminada.
Por ejemplo, para proteger la unidad de organización a la que se llama CONTOSO.COM
se va a mover o eliminar accidentalmente de su unidad organizativa primaria denominada MyCompany, realice la siguiente configuración:
Para la unidad organizativa MyCompany , agregue DENY ACE for Everyone to DELETE CHILD with This object only scope ::
DSACLS "OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:DC"/
Para la unidad organizativa Usuarios, agregue DENY ACE para todos a DELETE y DELETE TREE con este ámbito solo de objeto:
DSACLS "OU=Users,OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:SDDT"
El complemento Usuarios y equipos de Active Directory de Windows Server 2008 incluye una casilla Proteger objeto de eliminación accidental en la pestaña Objeto.
Nota:
La casilla Características avanzadas debe estar habilitada para ver esa pestaña.
Cuando se crea una unidad organizativa mediante Usuarios y equipos de Active Directory en Windows Server 2008, aparece la casilla Proteger contenedor de eliminación accidental. De forma predeterminada, la casilla está activada y se puede anular la selección.
Aunque puede configurar todos los objetos de Active Directory mediante estos ACE, es más adecuado para las unidades organizativas. La eliminación o los movimientos de todos los objetos hoja pueden tener un efecto importante. Esta configuración impide estas eliminaciones o movimientos. Para eliminar o mover realmente un objeto mediante dicha configuración, primero se deben quitar los ACI de denegación.
En este artículo se describe cómo restaurar las cuentas de usuario, las cuentas de equipo y sus pertenencias a grupos una vez eliminados de Active Directory. En variaciones de este escenario, es posible que las cuentas de usuario, las cuentas de equipo o los grupos de seguridad se hayan eliminado individualmente o en alguna combinación. En todos estos casos, se aplican los mismos pasos iniciales. Restaura autoritativamente o autentica la restauración, esos objetos que se eliminaron accidentalmente. Algunos objetos eliminados requieren que se restaure más trabajo. Estos objetos incluyen objetos como cuentas de usuario que contienen atributos que son vínculos posteriores de los atributos de otros objetos. Dos de estos atributos son managedBy
y memberOf
.
Al agregar entidades de seguridad, como una cuenta de usuario, un grupo de seguridad o una cuenta de equipo a un grupo de seguridad, realice los siguientes cambios en Active Directory:
- El nombre de la entidad de seguridad se agrega al atributo miembro de cada grupo de seguridad.
- Para cada grupo de seguridad del que es miembro el usuario, el equipo o el grupo de seguridad, se agrega un vínculo atrás al atributo de la entidad de
memberOf
seguridad.
Del mismo modo, cuando un usuario, un equipo o un grupo se elimina de Active Directory, se producen las siguientes acciones:
- La entidad de seguridad eliminada se mueve al contenedor de objetos eliminados.
- Algunos valores de atributo, incluido el
memberOf
atributo, se quitan de la entidad de seguridad eliminada. - Las entidades de seguridad eliminadas se quitan de los grupos de seguridad de los que eran miembros. Es decir, las entidades de seguridad eliminadas se quitan del atributo miembro de cada grupo de seguridad.
Al recuperar entidades de seguridad eliminadas y restaurar sus pertenencias a grupos, cada entidad de seguridad debe existir en Active Directory antes de restaurar su pertenencia a grupos. El miembro puede ser un usuario, un equipo u otro grupo de seguridad. Para restar esta regla de forma más amplia, un objeto que contiene atributos cuyos valores son vínculos de retroceso deben existir en Active Directory antes de que el objeto que contenga ese vínculo de reenvío se pueda restaurar o modificar.
Este artículo se centra en cómo recuperar cuentas de usuario eliminadas y sus pertenencias a grupos de seguridad. Sus conceptos se aplican igualmente a otras eliminaciones de objetos. Los conceptos de este artículo se aplican igualmente a los objetos eliminados cuyos valores de atributo usan vínculos reenviados y vínculos posteriores a otros objetos de Active Directory.
Puede usar cualquiera de los tres métodos para recuperar entidades de seguridad. Al usar el método 1, deja en su lugar todas las entidades de seguridad que se agregaron a cualquier grupo de seguridad en todo el bosque. Y solo agrega entidades de seguridad que se eliminaron de sus respectivos dominios a sus grupos de seguridad. Por ejemplo, se realiza una copia de seguridad de estado del sistema, se agrega un usuario a un grupo de seguridad y, a continuación, se restaura la copia de seguridad de estado del sistema. Al usar los métodos 1 o 2, se conservan los usuarios que se agregaron a grupos de seguridad que contienen usuarios eliminados entre las fechas en que se creó la copia de seguridad del estado del sistema y la fecha en que se restauró la copia de seguridad. Cuando se usa el método 3, se revierten las pertenencias a grupos de seguridad para todos los grupos de seguridad que contienen usuarios eliminados a su estado en el momento de la copia de seguridad del estado del sistema.
Método 1: restaure las cuentas de usuario eliminadas y, a continuación, agregue los usuarios restaurados de nuevo a sus grupos mediante la herramienta de línea de comandos Ntdsutil.exe
La herramienta de línea de comandos Ntdsutil.exe permite restaurar los vínculos de retroceso de los objetos eliminados. Se generan dos archivos para cada operación de restauración autoritativa. Un archivo contiene una lista de objetos restaurados autoritativamente. El otro archivo es un archivo .ldf que se usa con la utilidad Ldifde.exe. Este archivo se usa para restaurar los backlinks de los objetos que se restauran de forma autoritativa. Una restauración autoritativa de un objeto de usuario también genera archivos de formato de intercambio de datos LDAP (LDIF) con la pertenencia a grupos. Este método evita una restauración doble.
Al usar este método, realice los siguientes pasos generales:
- Compruebe si un catálogo global del dominio del usuario no se ha replicado en la eliminación. Y, a continuación, impida que ese catálogo global se repliue. Si no hay ningún catálogo global latente, busque la copia de seguridad de estado del sistema más reciente de un controlador de dominio de catálogo global en el dominio principal del usuario eliminado.
- La autenticación restaura todas las cuentas de usuario eliminadas y, a continuación, permite la replicación de un extremo a otro de esas cuentas de usuario.
- Vuelva a agregar todos los usuarios restaurados a todos los grupos de todos los dominios de los que las cuentas de usuario eran miembros antes de que se eliminaran.
Para usar el método 1, siga este procedimiento:
Compruebe si hay un controlador de dominio de catálogo global en el dominio principal del usuario eliminado que no ha replicado ninguna parte de la eliminación.
Nota:
Céntrese en los catálogos globales que tengan las programaciones de replicación menos frecuentes.
Si existe uno o varios de estos catálogos globales, use la herramienta de línea de comandos Repadmin.exe para deshabilitar inmediatamente la replicación entrante siguiendo estos pasos:
Seleccione Inicio y, a continuación, seleccione Ejecutar.
Escriba cmd en el cuadro Abrir y, a continuación, seleccione Aceptar.
Escriba el siguiente comando en el símbolo del sistema y presione ENTRAR:
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
Nota:
Si no puede emitir el comando inmediatamente, quite toda la
Repadmin
conectividad de red del catálogo global latente hasta que pueda usarRepadmin
para deshabilitar la replicación entrante y, a continuación, devuelva inmediatamente la conectividad de red.
Este controlador de dominio se denominará controlador de dominio de recuperación. Si no hay ningún catálogo global de este tipo, vaya al paso 2.
Es mejor dejar de realizar cambios en los grupos de seguridad del bosque si se cumplen todas las siguientes instrucciones:
- Está usando el método 1 para restaurar autoritativamente usuarios eliminados o cuentas de equipo por su ruta de acceso de nombre distintivo (dn).
- La eliminación se ha replicado en todos los controladores de dominio del bosque, excepto en el controlador de dominio de recuperación latente.
- No está autenticando la restauración de grupos de seguridad ni sus contenedores primarios.
Si va a autenticar la restauración de grupos de seguridad o contenedores de unidades organizativas (OU) que hospedan grupos de seguridad o cuentas de usuario, detenga temporalmente todos estos cambios.
Notifique a los administradores y administradores del departamento de soporte técnico en los dominios adecuados, además de a los usuarios del dominio en el que se produjo la eliminación sobre cómo detener estos cambios.
Cree una nueva copia de seguridad de estado del sistema en el dominio donde se produjo la eliminación. Puede usar esta copia de seguridad si tiene que revertir los cambios.
Nota:
Si las copias de seguridad de estado del sistema están actualizadas hasta el punto de eliminación, omita este paso y vaya al paso 4.
Si identificó un controlador de dominio de recuperación en el paso 1, realice una copia de seguridad de su estado del sistema ahora.
Si todos los catálogos globales ubicados en el dominio donde se ha replicado la eliminación en la eliminación, realice una copia de seguridad del estado del sistema de un catálogo global en el dominio donde se produjo la eliminación.
Al crear una copia de seguridad, puede devolver el controlador de dominio de recuperación a su estado actual. Y vuelva a realizar el plan de recuperación si el primer intento no es correcto.
Si no encuentra un controlador de dominio de catálogo global latente en el dominio donde se produjo la eliminación del usuario, busque la copia de seguridad de estado del sistema más reciente de un controlador de dominio de catálogo global en ese dominio. Esta copia de seguridad de estado del sistema debe contener los objetos eliminados. Use este controlador de dominio como controlador de dominio de recuperación.
Solo las restauraciones de los controladores de dominio del catálogo global del dominio del usuario contienen información de pertenencia a grupos globales y universales para grupos de seguridad que residen en dominios externos. Si no hay ninguna copia de seguridad de estado del sistema de un controlador de dominio de catálogo global en el dominio donde se eliminaron los usuarios, no puede usar el
memberOf
atributo en las cuentas de usuario restauradas para determinar la pertenencia a grupos globales o universales o para recuperar la pertenencia a dominios externos. Además, es una buena idea encontrar la copia de seguridad de estado del sistema más reciente de un controlador de dominio de catálogo no global.Si conoce la contraseña de la cuenta de administrador sin conexión, inicie el controlador de dominio de recuperación en modo Desrepair. Si no conoce la contraseña de la cuenta de administrador sin conexión, restablezca la contraseña mediante ntdsutil.exe mientras el controlador de dominio de recuperación sigue en modo normal de Active Directory.
Puede usar la herramienta de línea de comandos setpwd para restablecer la contraseña en los controladores de dominio mientras están en modo de Active Directory en línea.
Nota:
Microsoft ya no admite Windows 2000.
Los administradores de Windows Server 2003 y los controladores de dominio posteriores pueden usar el
set dsrm password
comando en la herramienta de línea de comandos Ntdsutil para restablecer la contraseña de la cuenta de administrador sin conexión.Para obtener más información sobre cómo restablecer la cuenta de administrador del modo de restauración de servicios de directorio, vea Cómo restablecer la contraseña de la cuenta de administrador del modo de restauración de servicios de directorio en Windows Server.
Presione F8 durante el proceso de inicio para iniciar el controlador de dominio de recuperación en modo Desrepair. Inicie sesión en la consola del controlador de dominio de recuperación con la cuenta de administrador sin conexión. Si restablece la contraseña en el paso 5, use la nueva contraseña.
Si el controlador de dominio de recuperación es un controlador de dominio de catálogo global latente, no restaure el estado del sistema. Vaya al paso 7.
Si va a crear el controlador de dominio de recuperación mediante una copia de seguridad de estado del sistema, restaure la copia de seguridad de estado del sistema más actual que se realizó en el controlador de dominio de recuperación ahora.
La autenticación restaura las cuentas de usuario eliminadas, las cuentas de equipo eliminadas o los grupos de seguridad eliminados.
Nota:
Los términos restauración de autenticación y restauración autoritativa hacen referencia al proceso de uso del comando autoritativo restore en la herramienta de línea de comandos Ntdsutil para incrementar los números de versión de objetos específicos o de contenedores específicos y todos sus objetos subordinados. Tan pronto como se produzca la replicación de un extremo a otro, los objetos de destino de la copia local del controlador de dominio de recuperación de Active Directory se vuelven autoritativos en todos los controladores de dominio que comparten esa partición. Una restauración autoritativa es diferente de una restauración de estado del sistema. Una restauración de estado del sistema rellena la copia local del controlador de dominio restaurado de Active Directory con las versiones de los objetos en el momento en que se realizó la copia de seguridad del estado del sistema.
Las restauraciones autoritativas se realizan con la herramienta de línea de comandos Ntdsutil y hacen referencia a la ruta de acceso del nombre de dominio (dn) de los usuarios eliminados o de los contenedores que hospedan a los usuarios eliminados.
Al restaurar la autenticación, use rutas de acceso de nombre de dominio (dn) que sean tan bajas en el árbol de dominio como deben ser. El propósito es evitar la reversión de objetos que no están relacionados con la eliminación. Estos objetos pueden incluir objetos que se modificaron después de realizar la copia de seguridad del estado del sistema.
Restauración de autenticación de usuarios eliminados en el orden siguiente:
La autenticación restaura la ruta de acceso del nombre de dominio (dn) para cada cuenta de usuario eliminada, cuenta de equipo o grupo de seguridad.
Las restauraciones autoritativas de objetos específicos tardan más tiempo, pero son menos destructivas que las restauraciones autoritativas de un subárbol entero. La autenticación restaura el contenedor primario común más bajo que contiene los objetos eliminados.
Ntdsutil usa la sintaxis siguiente:
ntdsutil "authoritative restore" "restore object <object DN path>" q q
Por ejemplo, para restaurar autoritativamente el usuario eliminado John Doe en la unidad organizativa Mayberry del
Contoso.com
dominio, use el siguiente comando:ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
Para restaurar autoritativamente el grupo de seguridad eliminado ContosoPrintAccess en la unidad organizativa Mayberry del
Contoso.com
dominio, use el siguiente comando:ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
Importante
Se requiere el uso de comillas.
Para cada usuario que restaure, se generan al menos dos archivos. Estos archivos tienen el siguiente formato:
ar_YYYYMMDD-HHMMSS_objects.txt
Este archivo contiene una lista de los objetos restaurados autoritativamente. Use este archivo con el comando ntdsutil autoritativo restorecreate ldif file from
en cualquier otro dominio del bosque donde el usuario era miembro de los grupos locales de dominio.ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
Si realiza la restauración de autenticación en un catálogo global, se genera uno de estos archivos para cada dominio del bosque. Este archivo contiene un script que puede usar con la utilidad Ldifde.exe. El script restaura los vínculos de retroceso para los objetos restaurados. En el dominio principal del usuario, el script restaura todas las pertenencias a grupos para los usuarios restaurados. En todos los demás dominios del bosque donde el usuario tiene pertenencia a grupos, el script restaura solo pertenencias a grupos universales y globales. El script no restaura ninguna pertenencia a grupos locales de dominio. Un catálogo global no realiza un seguimiento de estas pertenencias.Auth restore only the OU or Common-Name (CN) containers that host the deleted user accounts or groups.
Las restauraciones autoritativas de un subárbol completo son válidas cuando la unidad organizativa dirigida por el comando ntdsutil autoritativa restore contiene la mayoría de los objetos que está intentando restaurar de forma autoritativa. Idealmente, la unidad organizativa de destino contiene todos los objetos que está intentando restaurar de forma autoritativa.
Una restauración autoritativa en un subárbol de unidad organizativa restaura todos los atributos y objetos que residen en el contenedor. Los cambios realizados hasta el momento en que se restaura una copia de seguridad de estado del sistema se revierten a sus valores en el momento de la copia de seguridad. Con las cuentas de usuario, las cuentas de equipo y los grupos de seguridad, esta reversión puede significar la pérdida de los cambios más recientes en:
- contraseñas
- el directorio principal
- la ruta de acceso del perfil
- Ubicación
- información de contacto
- pertenencia al grupo
- cualquier descriptor de seguridad que se defina en esos objetos y atributos.
Ntdsutil usa la sintaxis siguiente:
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
Por ejemplo, para restaurar autoritativamente la unidad organizativa Mayberry del
Contoso.com
dominio, use el siguiente comando:ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
Nota:
Repita este paso para cada unidad organizativa del mismo nivel que hospede usuarios o grupos eliminados.
Importante
Al restaurar un objeto subordinado de una unidad organizativa, todos los contenedores primarios eliminados de los objetos subordinados eliminados deben restaurarse explícitamente.
Para cada unidad organizativa que restaure, se generan al menos dos archivos. Estos archivos tienen el siguiente formato:
ar_YYYYMMDD-HHMMSS_objects.txt
Este archivo contiene una lista de los objetos restaurados autoritativamente. Use este archivo con el comando ntdsutil autoritativo restorecreate ldif file from
en cualquier otro dominio del bosque donde los usuarios restaurados eran miembros de grupos locales de dominio.ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
Este archivo contiene un script que puede usar con la utilidad Ldifde.exe. El script restaura los vínculos de retroceso para los objetos restaurados. En el dominio principal del usuario, el script restaura todas las pertenencias a grupos para los usuarios restaurados.
Si los objetos eliminados se recuperaron en el controlador de dominio de recuperación debido a una restauración de estado del sistema, quite todos los cables de red que proporcionan conectividad de red a todos los demás controladores de dominio del bosque.
Reinicie el controlador de dominio de recuperación en modo normal de Active Directory.
Escriba el siguiente comando para deshabilitar la replicación entrante en el controlador de dominio de recuperación:
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
Habilite la conectividad de red de nuevo al controlador de dominio de recuperación cuyo estado del sistema se restauró.
Replique de salida los objetos restaurados por la autenticación desde el controlador de dominio de recuperación a los controladores de dominio del dominio y en el bosque.
Mientras la replicación entrante en el controlador de dominio de recuperación permanece deshabilitada, escriba el siguiente comando para insertar los objetos restaurados por la autenticación en todos los controladores de dominio de réplica entre sitios del dominio y en todos los catálogos globales del bosque:
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
Si todas las instrucciones siguientes son verdaderas, los vínculos de pertenencia a grupos se vuelven a generar con la restauración y la replicación de las cuentas de usuario eliminadas. Vaya al paso 14.
Nota:
Si una o varias de las siguientes instrucciones no son verdaderas, vaya al paso 12.
- El bosque se ejecuta en el nivel funcional del bosque de Windows Server 2003 y posterior o posterior o en el nivel funcional del bosque provisional de Windows Server 2003 y versiones posteriores o posteriores.
- Solo se eliminaron cuentas de usuario o cuentas de equipo y no grupos de seguridad.
- Los usuarios eliminados se agregaron a los grupos de seguridad de todos los dominios del bosque después de que el bosque se haya pasado a Windows Server 2003 y versiones posteriores, o a un nivel funcional de bosque posterior.
En la consola del controlador de dominio de recuperación, use la utilidad Ldifde.exe y el archivo ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf para restaurar las pertenencias a grupos del usuario. Para ello, siga estos pasos:
Seleccione Inicio, seleccione Ejecutar, escriba cmd en el cuadro Abrir y, a continuación, seleccione Aceptar.
En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:
ldifde -i -f ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
Habilite la replicación entrante en el controlador de dominio de recuperación mediante el comando siguiente:
repadmin /options <recovery dc name> -DISABLE_INBOUND_REPL
Si los usuarios eliminados se agregaron a grupos locales en dominios externos, realice una de las siguientes acciones:
- Agregue manualmente los usuarios eliminados a esos grupos.
- Restaure el estado del sistema y la autenticación restaure cada uno de los grupos de seguridad locales que contiene los usuarios eliminados.
Compruebe la pertenencia a grupos en el dominio del controlador de dominio de recuperación y en catálogos globales en otros dominios.
Realice una nueva copia de seguridad del estado del sistema de los controladores de dominio en el dominio del controlador de dominio de recuperación.
Notifique a todos los administradores del bosque, administradores delegados, administradores del departamento de soporte técnico del bosque y a los usuarios del dominio que ha completado la restauración del usuario.
Es posible que los administradores del departamento de soporte técnico tengan que restablecer las contraseñas de las cuentas de usuario restauradas por la autenticación y las cuentas de equipo cuya contraseña de dominio ha cambiado después de que se haya realizado el sistema restaurado.
Los usuarios que cambiaron sus contraseñas después de realizar la copia de seguridad del estado del sistema encontrarán que su contraseña más reciente ya no funciona. Haga que estos usuarios intenten iniciar sesión con sus contraseñas anteriores si los conocen. De lo contrario, los administradores del departamento de soporte técnico deben restablecer la contraseña y seleccionar que el usuario debe cambiar la contraseña en la siguiente casilla de inicio de sesión . Házlo preferiblemente en un controlador de dominio en el mismo sitio de Active Directory en el que se encuentra el usuario.
Método 2: restaure las cuentas de usuario eliminadas y, a continuación, vuelva a agregar los usuarios restaurados a sus grupos.
Al usar este método, realice los siguientes pasos generales:
- Compruebe si un catálogo global del dominio del usuario no se ha replicado en la eliminación. Y, a continuación, impida que ese catálogo global se repliue. Si no hay ningún catálogo global latente, busque la copia de seguridad de estado del sistema más reciente de un controlador de dominio de catálogo global en el dominio principal del usuario eliminado.
- La autenticación restaura todas las cuentas de usuario eliminadas y, a continuación, permite la replicación de un extremo a otro de esas cuentas de usuario.
- Vuelva a agregar todos los usuarios restaurados a todos los grupos de todos los dominios de los que las cuentas de usuario eran miembros antes de que se eliminaran.
Para usar el método 2, siga este procedimiento:
Compruebe si hay un controlador de dominio de catálogo global en el dominio principal del usuario eliminado que no ha replicado ninguna parte de la eliminación.
Nota:
Céntrese en los catálogos globales que tengan las programaciones de replicación menos frecuentes.
Si existe uno o varios de estos catálogos globales, use la herramienta de línea de comandos Repadmin.exe para deshabilitar inmediatamente la replicación entrante. Para ello, siga estos pasos:
- Seleccione Inicio y, a continuación, seleccione Ejecutar.
- Escriba cmd en el cuadro Abrir y, a continuación, seleccione Aceptar.
- Escriba el siguiente comando en el símbolo del sistema y presione ENTRAR:
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
Nota:
Si no puede emitir el comando Repadmin inmediatamente, quite toda la conectividad de red del catálogo global latente hasta que pueda usar Repadmin para deshabilitar la replicación entrante y, a continuación, devuelva inmediatamente la conectividad de red.
Este controlador de dominio se denominará controlador de dominio de recuperación. Si no hay ningún catálogo global de este tipo, vaya al paso 2.
Decida si se deben detener temporalmente las adiciones, eliminaciones y cambios en cuentas de usuario, cuentas de equipo y grupos de seguridad hasta que se hayan completado todos los pasos de recuperación.
Para mantener la ruta de recuperación más flexible, detenga temporalmente la realización de cambios en los siguientes elementos. Entre los cambios se incluyen los restablecimientos de contraseña por parte de los usuarios del dominio, los administradores del departamento de soporte técnico y los administradores del dominio en el que se produjo la eliminación, además de los cambios de pertenencia a grupos de grupos eliminados. Considere la posibilidad de detener las adiciones, eliminaciones y modificaciones en los siguientes elementos:
- Cuentas de usuario y atributos en cuentas de usuario
- Cuentas de equipo y atributos en cuentas de equipo
- Cuentas de servicio
- Grupos de seguridad
Es mejor dejar de realizar cambios en los grupos de seguridad del bosque si se cumplen todas las siguientes instrucciones:
- Está usando el método 2 para restaurar autoritativamente usuarios eliminados o cuentas de equipo por su ruta de acceso de nombre de dominio (dn).
- La eliminación se ha replicado en todos los controladores de dominio del bosque, excepto en el controlador de dominio de recuperación latente.
- No está autenticando la restauración de grupos de seguridad ni sus contenedores primarios.
Si va a autenticar la restauración de grupos de seguridad o contenedores de unidades organizativas (OU) que hospedan grupos de seguridad o cuentas de usuario, detenga temporalmente todos estos cambios.
Notifique a los administradores y administradores del departamento de soporte técnico en los dominios adecuados, además de a los usuarios del dominio en el que se produjo la eliminación sobre cómo detener estos cambios.
Cree una nueva copia de seguridad de estado del sistema en el dominio donde se produjo la eliminación. Puede usar esta copia de seguridad si tiene que revertir los cambios.
Nota:
Si las copias de seguridad de estado del sistema están actualizadas hasta el punto de eliminación, omita este paso y vaya al paso 4.
Si identificó un controlador de dominio de recuperación en el paso 1, realice una copia de seguridad de su estado del sistema ahora.
Si todos los catálogos globales ubicados en el dominio donde se ha replicado la eliminación en la eliminación, realice una copia de seguridad del estado del sistema de un catálogo global en el dominio donde se produjo la eliminación.
Al crear una copia de seguridad, puede devolver el controlador de dominio de recuperación a su estado actual. Y vuelva a realizar el plan de recuperación si el primer intento no es correcto.
Si no encuentra un controlador de dominio de catálogo global latente en el dominio donde se produjo la eliminación del usuario, busque la copia de seguridad de estado del sistema más reciente de un controlador de dominio de catálogo global en ese dominio. Esta copia de seguridad de estado del sistema debe contener los objetos eliminados. Use este controlador de dominio como controlador de dominio de recuperación.
Solo las restauraciones de los controladores de dominio del catálogo global del dominio del usuario contienen información de pertenencia a grupos globales y universales para grupos de seguridad que residen en dominios externos. Si no hay ninguna copia de seguridad de estado del sistema de un controlador de dominio de catálogo global en el dominio donde se eliminaron los usuarios, no puede usar el
memberOf
atributo en las cuentas de usuario restauradas para determinar la pertenencia a grupos globales o universales o para recuperar la pertenencia a dominios externos. Además, es una buena idea encontrar la copia de seguridad de estado del sistema más reciente de un controlador de dominio de catálogo no global.Si conoce la contraseña de la cuenta de administrador sin conexión, inicie el controlador de dominio de recuperación en modo Desrepair. Si no conoce la contraseña de la cuenta de administrador sin conexión, restablezca la contraseña mientras el controlador de dominio de recuperación sigue en modo normal de Active Directory.
Puede usar la herramienta de línea de comandos setpwd para restablecer la contraseña en controladores de dominio que ejecutan Windows 2000 Service Pack 2 (SP2) y versiones posteriores mientras están en modo Active Directory en línea.
Nota:
Microsoft ya no admite Windows 2000.
Los administradores de Windows Server 2003 y los controladores de dominio posteriores pueden usar el
set dsrm password
comando en la herramienta de línea de comandos Ntdsutil para restablecer la contraseña de la cuenta de administrador sin conexión.Para obtener más información sobre cómo restablecer la cuenta de administrador del modo de restauración de servicios de directorio, vea Cómo restablecer la contraseña de la cuenta de administrador del modo de restauración de servicios de directorio en Windows Server.
Presione F8 durante el proceso de inicio para iniciar el controlador de dominio de recuperación en modo Desrepair. Inicie sesión en la consola del controlador de dominio de recuperación con la cuenta de administrador sin conexión. Si restablece la contraseña en el paso 5, use la nueva contraseña.
Si el controlador de dominio de recuperación es un controlador de dominio de catálogo global latente, no restaure el estado del sistema. Vaya al paso 7.
Si va a crear el controlador de dominio de recuperación mediante una copia de seguridad de estado del sistema, restaure la copia de seguridad de estado del sistema más actual que se realizó en el controlador de dominio de recuperación ahora.
La autenticación restaura las cuentas de usuario eliminadas, las cuentas de equipo eliminadas o los grupos de seguridad eliminados.
Nota:
Los términos restauración de autenticación y restauración autoritativa hacen referencia al proceso de uso del comando autoritativo restore en la herramienta de línea de comandos Ntdsutil para incrementar los números de versión de objetos específicos o de contenedores específicos y todos sus objetos subordinados. Tan pronto como se produzca la replicación de un extremo a otro, los objetos de destino de la copia local del controlador de dominio de recuperación de Active Directory se vuelven autoritativos en todos los controladores de dominio que comparten esa partición. Una restauración autoritativa es diferente de una restauración de estado del sistema. Una restauración de estado del sistema rellena la copia local del controlador de dominio restaurado de Active Directory con las versiones de los objetos en el momento en que se realizó la copia de seguridad del estado del sistema.
Las restauraciones autoritativas se realizan con la herramienta de línea de comandos Ntdsutil y hacen referencia a la ruta de acceso del nombre de dominio (dn) de los usuarios eliminados o de los contenedores que hospedan a los usuarios eliminados.
Al restaurar la autenticación, use rutas de acceso de nombre de dominio (dn) que sean tan bajas en el árbol de dominio como deben ser. El propósito es evitar la reversión de objetos que no están relacionados con la eliminación. Estos objetos pueden incluir objetos que se modificaron después de realizar la copia de seguridad del estado del sistema.
Restauración de autenticación de usuarios eliminados en el orden siguiente:
La autenticación restaura la ruta de acceso del nombre de dominio (dn) para cada cuenta de usuario eliminada, cuenta de equipo o grupo de seguridad.
Las restauraciones autoritativas de objetos específicos tardan más tiempo, pero son menos destructivas que las restauraciones autoritativas de un subárbol entero. La autenticación restaura el contenedor primario común más bajo que contiene los objetos eliminados.
Ntdsutil usa la sintaxis siguiente:
ntdsutil "authoritative restore" "restore object <object DN path>" q q
Por ejemplo, para restaurar autoritativamente el usuario eliminado John Doe en la unidad organizativa Mayberry del
Contoso.com
dominio, use el siguiente comando:ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
Para restaurar autoritativamente el grupo de seguridad eliminado ContosoPrintAccess en la unidad organizativa Mayberry del
Contoso.com
dominio, use el siguiente comando:ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
Importante
Se requiere el uso de comillas.
Nota:
Esta sintaxis solo está disponible en Windows Server 2003 y versiones posteriores. La única sintaxis de Windows 2000 es usar lo siguiente:
ntdsutil "authoritative restore" "restore subtree object DN path"
Nota:
La operación de restauración autoritativa Ntdsutil no se realiza correctamente si la ruta de acceso de nombre distintivo (DN) contiene caracteres o espacios extendidos. Para que la restauración con scripts se realice correctamente, el
restore object <DN path>
comando debe pasarse como una cadena completa.Para solucionar este problema, ajuste el DN que contiene caracteres y espacios extendidos con secuencias de escape de comillas inversas dobles. Este es un ejemplo:
ntdsutil "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\"" q q
Nota:
El comando debe modificarse aún más si el DN de objetos que se restaura contienen comas. Observe el ejemplo siguiente:
ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\"" q q
Nota:
Si los objetos se restauraron a partir de cinta, marcados como autoritativos y la restauración no funcionaba según lo previsto y, a continuación, la misma cinta se usa para restaurar la base de datos NTDS una vez más, la versión USN de objetos que se restaurará de forma autoritativa debe aumentarse más que el valor predeterminado de 100000 o los objetos no se replicarán después de la segunda restauración. La sintaxis siguiente es necesaria para generar un script de un número de versión superior a 100000 (valor predeterminado):
ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
Nota:
Si el script solicita confirmación en cada objeto que se va a restaurar, puede desactivar las indicaciones. La sintaxis para desactivar la solicitud es:
ntdsutil "popups off" "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
Auth restore only the OU or Common-Name (CN) containers that host the deleted user accounts or groups.
Las restauraciones autoritativas de un subárbol completo son válidas cuando la unidad organizativa dirigida por el comando ntdsutil autoritativa restore contiene la mayoría de los objetos que está intentando restaurar de forma autoritativa. Idealmente, la unidad organizativa de destino contiene todos los objetos que está intentando restaurar de forma autoritativa.
Una restauración autoritativa en un subárbol de unidad organizativa restaura todos los atributos y objetos que residen en el contenedor. Los cambios realizados hasta el momento en que se restaura una copia de seguridad de estado del sistema se revierten a sus valores en el momento de la copia de seguridad. Con las cuentas de usuario, las cuentas de equipo y los grupos de seguridad, esta reversión puede significar la pérdida de los cambios más recientes en las contraseñas, al directorio principal, a la ruta de acceso del perfil, a la ubicación y a la información de contacto, a la pertenencia a grupos y a los descriptores de seguridad definidos en esos objetos y atributos.
Ntdsutil usa la sintaxis siguiente:
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
Por ejemplo, para restaurar autoritativamente la unidad organizativa Mayberry del
Contoso.com
dominio, use el siguiente comando:ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
Nota:
Repita este paso para cada unidad organizativa del mismo nivel que hospede usuarios o grupos eliminados.
Importante
Al restaurar un objeto subordinado de una unidad organizativa, todos los contenedores primarios eliminados de los objetos subordinados eliminados deben restaurarse explícitamente.
Si los objetos eliminados se recuperaron en el controlador de dominio de recuperación debido a una restauración de estado del sistema, quite todos los cables de red que proporcionan conectividad de red a todos los demás controladores de dominio del bosque.
Reinicie el controlador de dominio de recuperación en modo normal de Active Directory.
Escriba el siguiente comando para deshabilitar la replicación entrante en el controlador de dominio de recuperación:
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
Habilite la conectividad de red de nuevo al controlador de dominio de recuperación cuyo estado del sistema se restauró.
Replique de salida los objetos restaurados por la autenticación desde el controlador de dominio de recuperación a los controladores de dominio del dominio y en el bosque.
Mientras la replicación entrante en el controlador de dominio de recuperación permanece deshabilitada, escriba el siguiente comando para insertar los objetos restaurados por la autenticación en todos los controladores de dominio de réplica entre sitios del dominio y en todos los catálogos globales del bosque:
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
Si todas las instrucciones siguientes son verdaderas, los vínculos de pertenencia a grupos se vuelven a generar con la restauración y la replicación de las cuentas de usuario eliminadas. Vaya al paso 14.
Nota:
Si una o varias de las siguientes instrucciones no son verdaderas, vaya al paso 12.
- El bosque se ejecuta en el nivel funcional del bosque de Windows Server 2003 y versiones posteriores, o en el nivel funcional del bosque provisional de Windows Server 2003 y versiones posteriores.
- Solo se eliminaron cuentas de usuario o cuentas de equipo y no grupos de seguridad.
- Los usuarios eliminados se agregaron a los grupos de seguridad de todos los dominios del bosque después de que el bosque se haya pasado a Windows Server 2003 y versiones posteriores al nivel funcional del bosque.
Determine de qué grupos de seguridad eran miembros de los usuarios eliminados y, a continuación, agréguelos a esos grupos.
Nota:
Para poder agregar usuarios a grupos, los usuarios que se autentican en el paso 7 y los que ha replicado de salida en el paso 11 deben haberse replicado en los controladores de dominio en el dominio del controlador de dominio al que se hace referencia y en todos los controladores de dominio del catálogo global del bosque.
Si ha implementado una utilidad de aprovisionamiento de grupos para volver a rellenar la pertenencia a grupos de seguridad, use esa utilidad para restaurar usuarios eliminados a los grupos de seguridad de los que eran miembros antes de que se eliminaran. Házlo después de que todos los controladores de dominio directo y transitivo del dominio del bosque y los servidores de catálogo global hayan replicado los usuarios restaurados por la autenticación y los contenedores restaurados.
Si no tiene la utilidad , las
Ldifde.exe
herramientas de línea de comandos yGroupadd.exe
pueden automatizar esta tarea cuando se ejecutan en el controlador de dominio de recuperación. Estas herramientas están disponibles en los Servicios de soporte técnico de Productos de Microsoft. En este escenario, Ldifde.exe crea un archivo de información de formato de intercambio de datos LDAP (LDIF) que contiene los nombres de las cuentas de usuario y sus grupos de seguridad. Se inicia en un contenedor de unidades organizativas que especifica el administrador. Groupadd.exe luego lee elmemberOf
atributo de cada cuenta de usuario que aparece en el archivo .ldf. A continuación, genera información de LDIF independiente y única para cada dominio del bosque. Esta información de LDIF contiene los nombres de los grupos de seguridad asociados a los usuarios eliminados. Use la información de LDIF para volver a agregar la información a los usuarios para que se puedan restaurar sus pertenencias a grupos. Siga estos pasos para esta fase de la recuperación:Inicie sesión en la consola del controlador de dominio de recuperación mediante una cuenta de usuario que sea miembro del grupo de seguridad del administrador de dominio.
Use el comando Ldifde para volcar los nombres de las cuentas de usuario eliminadas anteriormente y sus
memberOf
atributos, comenzando en el contenedor de unidades organizativas más arriba donde se produjo la eliminación. El comando Ldifde usa la sintaxis siguiente:ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=user)" -l memberof -p subtree -f user_membership_after_restore.ldf
Use la sintaxis siguiente si se agregaron cuentas de equipo eliminadas a grupos de seguridad:
ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=computer)" -l memberof -p subtree -f computer_membership_after_restore.ldf
Ejecute el
Groupadd
comando para compilar más archivos .ldf que contengan los nombres de los dominios y los nombres de los grupos de seguridad globales y universales de los que los usuarios eliminados eran miembros. ElGroupadd
comando usa la sintaxis siguiente:Groupadd / after_restore users_membership_after_restore.ldf
Repita este comando si se agregaron cuentas de equipo eliminadas a grupos de seguridad.
Importe cada
Groupadd
archivo _fully.qualified.domain.name.ldf que creó en el paso 12c a un único controlador de dominio de catálogo global que corresponda con el archivo .ldf de cada dominio. Use la siguiente sintaxis Ldifde:Ldifde -i -k -f Groupadd_<fully.qualified.domain.name>.ldf
Ejecute el archivo .ldf para el dominio del que se eliminaron los usuarios en cualquier controlador de dominio, excepto el controlador de dominio de recuperación.
En la consola de cada controlador de dominio que se usa para importar el archivo Groupadd_<fully.qualified.domain.name.ldf> para un dominio determinado, replique de salida las adiciones de pertenencia a grupos a los demás controladores de dominio del dominio y a los controladores de dominio del catálogo global del bosque. Para ello, use el siguiente comando:
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
Para deshabilitar la replicación saliente, escriba el texto siguiente y presione ENTRAR:
repadmin /options +DISABLE_OUTBOUND_REPL
Nota:
Para volver a habilitar la replicación saliente, escriba el texto siguiente y presione ENTRAR:
repadmin /options -DISABLE_OUTBOUND_REPL
Si los usuarios eliminados se agregaron a grupos locales en dominios externos, realice una de las siguientes acciones:
- Agregue manualmente los usuarios eliminados a esos grupos.
- Restaure el estado del sistema y la autenticación restaure cada uno de los grupos de seguridad locales que contiene los usuarios eliminados.
Compruebe la pertenencia a grupos en el dominio del controlador de dominio de recuperación y en catálogos globales en otros dominios.
Realice una nueva copia de seguridad del estado del sistema de los controladores de dominio en el dominio del controlador de dominio de recuperación.
Notifique a todos los administradores del bosque, administradores delegados, administradores del departamento de soporte técnico del bosque y a los usuarios del dominio que ha completado la restauración del usuario.
Es posible que los administradores del departamento de soporte técnico tengan que restablecer las contraseñas de las cuentas de usuario restauradas por la autenticación y las cuentas de equipo cuya contraseña de dominio ha cambiado después de que se haya realizado el sistema restaurado.
Los usuarios que cambiaron sus contraseñas después de realizar la copia de seguridad del estado del sistema encontrarán que su contraseña más reciente ya no funciona. Haga que estos usuarios intenten iniciar sesión con sus contraseñas anteriores si los conocen. De lo contrario, los administradores del departamento de soporte técnico deben restablecer la contraseña y seleccionar que el usuario debe cambiar la contraseña en la siguiente casilla de inicio de sesión . Házlo preferiblemente en un controlador de dominio en el mismo sitio de Active Directory en el que se encuentra el usuario.
Método 3: restaurar autoritativamente los usuarios eliminados y los grupos de seguridad de los usuarios eliminados dos veces
Al usar este método, realice los siguientes pasos generales:
- Compruebe si un catálogo global del dominio del usuario no se ha replicado en la eliminación. Y, a continuación, evite que ese controlador de dominio replie la eliminación. Si no hay ningún catálogo global latente, busque la copia de seguridad de estado del sistema más reciente de un controlador de dominio de catálogo global en el dominio principal del usuario eliminado.
- Restaure autoritativamente todas las cuentas de usuario eliminadas y todos los grupos de seguridad del dominio del usuario eliminado.
- Espere a que la replicación de un extremo a otro de los usuarios restaurados y los grupos de seguridad a todos los controladores de dominio del dominio del usuario eliminado y a los controladores de dominio del catálogo global del bosque.
- Repita los pasos 2 y 3 para restaurar de forma autoritativa usuarios eliminados y grupos de seguridad. (Solo se restaura el estado del sistema una vez).
- Si los usuarios eliminados eran miembros de grupos de seguridad en otros dominios, restaure autoritativamente todos los grupos de seguridad de los que los usuarios eliminados eran miembros de esos dominios. O bien, si las copias de seguridad de estado del sistema están actualizadas, restaure de forma autoritativa todos los grupos de seguridad de esos dominios. Para satisfacer el requisito de que los miembros del grupo eliminados se deben restaurar antes de que los grupos de seguridad corrijan los vínculos de pertenencia a grupos, restaure ambos tipos de objeto dos veces en este método. La primera restauración coloca todas las cuentas de usuario y cuentas de grupo en vigor. La segunda restauración restaura los grupos eliminados y repara la información de pertenencia a grupos, incluida la información de pertenencia a grupos anidados.
Para usar el método 3, siga este procedimiento:
Compruebe si existe un controlador de dominio de catálogo global en el dominio principal de usuarios eliminados y no se ha replicado en ninguna parte de la eliminación.
Nota:
Céntrese en los catálogos globales del dominio que tenga las programaciones de replicación menos frecuentes. Si existen estos controladores de dominio, use la herramienta de línea de comandos Repadmin.exe para deshabilitar inmediatamente la replicación entrante. Para ello, siga estos pasos:
- Seleccione Inicio y, a continuación, seleccione Ejecutar.
- Escriba cmd en el cuadro Abrir y, a continuación, seleccione Aceptar.
- Escriba
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
en el símbolo del sistema y presione ENTRAR.
Nota:
Si no puede emitir inmediatamente el comando Repadmin, quite toda la conectividad de red del controlador de dominio hasta que pueda usar Repadmin para deshabilitar la replicación entrante y, a continuación, devuelva inmediatamente la conectividad de red.
Este controlador de dominio se denominará controlador de dominio de recuperación.
Evite realizar adiciones, eliminaciones y cambios en los siguientes elementos hasta que se hayan completado todos los pasos de recuperación. Entre los cambios se incluyen los restablecimientos de contraseña por parte de los usuarios del dominio, los administradores del departamento de soporte técnico y los administradores del dominio en el que se produjo la eliminación, además de los cambios de pertenencia a grupos de grupos eliminados.
Cuentas de usuario y atributos en cuentas de usuario
Cuentas de equipo y atributos en cuentas de equipo
Cuentas de servicio
Grupos de seguridad
Nota:
En especial, evite cambios en la pertenencia a grupos para usuarios, equipos, grupos y cuentas de servicio en el bosque donde se produjo la eliminación.
Notifique a todos los administradores del bosque, a los administradores delegados y a los administradores del departamento de soporte técnico del bosque del stand-down temporal. Este stand-down es necesario en el método 2 porque está restaurando autoritativamente todos los grupos de seguridad de los usuarios eliminados. Por lo tanto, se pierden los cambios realizados en grupos después de la fecha de copia de seguridad del estado del sistema.
Cree una nueva copia de seguridad de estado del sistema en el dominio donde se produjo la eliminación. Puede usar esta copia de seguridad si tiene que revertir los cambios.
Nota:
Si las copias de seguridad de estado del sistema están actualizadas hasta el momento en que se produjo la eliminación, omita este paso y vaya al paso 4.
Si identificó un controlador de dominio de recuperación en el paso 1, realice una copia de seguridad de su estado del sistema ahora.
Si todos los catálogos globales que se encuentran en el dominio donde se produjo la eliminación replicaron la eliminación, realice una copia de seguridad del estado del sistema de un catálogo global en el dominio donde se produjo la eliminación.
Al crear una copia de seguridad, puede devolver el controlador de dominio de recuperación a su estado actual. Y vuelva a realizar el plan de recuperación si el primer intento no es correcto.
Si no encuentra un controlador de dominio de catálogo global latente en el dominio donde se produjo la eliminación del usuario, busque la copia de seguridad de estado del sistema más reciente de un controlador de dominio de catálogo global en ese dominio. Esta copia de seguridad de estado del sistema debe contener los objetos eliminados. Use este controlador de dominio como controlador de dominio de recuperación.
Solo las bases de datos de los controladores de dominio del catálogo global del dominio del usuario contienen información de pertenencia a grupos para dominios externos en el bosque. Si no hay ninguna copia de seguridad de estado del sistema de un controlador de dominio de catálogo global en el dominio donde se eliminaron los usuarios, no puede usar el
memberOf
atributo en las cuentas de usuario restauradas para determinar la pertenencia a grupos globales o universales, o para recuperar la pertenencia a dominios externos. Vaya al próximo paso. Si hay un registro externo de pertenencia a grupos en dominios externos, agregue los usuarios restaurados a los grupos de seguridad de esos dominios después de restaurar las cuentas de usuario.Si conoce la contraseña de la cuenta de administrador sin conexión, inicie el controlador de dominio de recuperación en modo Desrepair. Si no conoce la contraseña de la cuenta de administrador sin conexión, restablezca la contraseña mientras el controlador de dominio de recuperación sigue en modo normal de Active Directory.
Puedes usar la herramienta de línea de comandos setpwd para restablecer la contraseña en controladores de dominio que ejecutan Windows 2000 SP2 y versiones posteriores mientras están en modo de Active Directory en línea.
Nota:
Microsoft ya no admite Windows 2000.
Los administradores de Windows Server 2003 y los controladores de dominio posteriores pueden usar el
set dsrm password
comando en la herramienta de línea de comandos Ntdsutil para restablecer la contraseña de la cuenta de administrador sin conexión.Para obtener más información sobre cómo restablecer la cuenta de administrador del modo de restauración de servicios de directorio, vea Cómo restablecer la contraseña de la cuenta de administrador del modo de restauración de servicios de directorio en Windows Server.
Presione F8 durante el proceso de inicio para iniciar el controlador de dominio de recuperación en modo Desrepair. Inicie sesión en la consola del controlador de dominio de recuperación con la cuenta de administrador sin conexión. Si restablece la contraseña en el paso 5, use la nueva contraseña.
Si el controlador de dominio de recuperación es un controlador de dominio de catálogo global latente, no restaure el estado del sistema. Vaya directamente al paso 7.
Si va a crear el controlador de dominio de recuperación mediante una copia de seguridad de estado del sistema, restaure la copia de seguridad de estado del sistema más actual que se realizó en el controlador de dominio de recuperación que contiene los objetos eliminados ahora.
La autenticación restaura las cuentas de usuario eliminadas, las cuentas de equipo eliminadas o los grupos de seguridad eliminados.
Nota:
Los términos restauración de autenticación y restauración autoritativa hacen referencia al proceso de uso del comando autoritativo restore en la herramienta de línea de comandos Ntdsutil para incrementar los números de versión de objetos específicos o de contenedores específicos y todos sus objetos subordinados. Tan pronto como se produzca la replicación de un extremo a otro, los objetos de destino de la copia local del controlador de dominio de recuperación de Active Directory se vuelven autoritativos en todos los controladores de dominio que comparten esa partición. Una restauración autoritativa es diferente de una restauración de estado del sistema. Una restauración de estado del sistema rellena la copia local del controlador de dominio restaurado de Active Directory con las versiones de los objetos en el momento en que se realizó la copia de seguridad del estado del sistema.
Las restauraciones autoritativas se realizan con la herramienta de línea de comandos Ntdsutil haciendo referencia a la ruta de acceso del nombre de dominio (dn) de los usuarios eliminados o de los contenedores que hospedan los usuarios eliminados.
Al restaurar la autenticación, use rutas de acceso de nombre de dominio que sean tan bajas en el árbol de dominio como deben ser. El propósito es evitar la reversión de objetos que no están relacionados con la eliminación. Estos objetos pueden incluir objetos que se modificaron después de realizar la copia de seguridad del estado del sistema.
Restauración de autenticación de usuarios eliminados en el orden siguiente:
La autenticación restaura la ruta de acceso del nombre de dominio (dn) para cada cuenta de usuario eliminada, cuenta de equipo o grupo de seguridad eliminado.
Las restauraciones autoritativas de objetos específicos tardan más tiempo, pero son menos destructivas que las restauraciones autoritativas de un subárbol entero. La autenticación restaura el contenedor primario común más bajo que contiene los objetos eliminados.
Ntdsutil usa la sintaxis siguiente:
ntdsutil "authoritative restore" "restore object <object DN path>" q q
Por ejemplo, para restaurar autoritativamente el usuario eliminado John Doe en la unidad organizativa Mayberry del
Contoso.com
dominio, use el siguiente comando:ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
Para restaurar autoritativamente el grupo de seguridad eliminado ContosoPrintAccess en la unidad organizativa Mayberry del
Contoso.com
dominio, use el siguiente comando:ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
Importante
Se requiere el uso de comillas.
Con este formato Ntdsutil, también puede automatizar la restauración autoritativa de muchos objetos en un archivo por lotes o un script.
Nota:
Esta sintaxis solo está disponible en Windows Server 2003 y versiones posteriores. La única sintaxis de Windows 2000 es usar:
ntdsutil "authoritative restore" "restore subtree object DN path"
.Auth restore only the OU or Common-Name (CN) containers that host the deleted user accounts or groups.
Las restauraciones autoritativas de un subárbol completo son válidas cuando la unidad organizativa dirigida por el comando Ntdsutil Autoritativo restore contiene la mayoría de los objetos que está intentando restaurar de forma autoritativa. Idealmente, la unidad organizativa de destino contiene todos los objetos que está intentando restaurar de forma autoritativa.
Una restauración autoritativa en un subárbol de unidad organizativa restaura todos los atributos y objetos que residen en el contenedor. Los cambios realizados hasta el momento en que se restaura una copia de seguridad de estado del sistema se revierten a sus valores en el momento de la copia de seguridad. Con las cuentas de usuario, las cuentas de equipo y los grupos de seguridad, esta reversión puede significar la pérdida de los cambios más recientes en las contraseñas, al directorio principal, a la ruta de acceso del perfil, a la ubicación y a la información de contacto, a la pertenencia a grupos y a los descriptores de seguridad definidos en esos objetos y atributos.
Ntdsutil usa la sintaxis siguiente:
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
Por ejemplo, para restaurar autoritativamente la unidad organizativa Mayberry del
Contoso.com
dominio, use el siguiente comando:ntdsutil "authoritative restore" "restore subtree ou=Mayberry,dc=contoso,dc=com" q q
Nota:
Repita este paso para cada unidad organizativa del mismo nivel que hospede usuarios o grupos eliminados.
Importante
Al restaurar un objeto subordinado de una unidad organizativa, todos los contenedores primarios de los objetos subordinados eliminados deben restaurarse explícitamente.
Reinicie el controlador de dominio de recuperación en modo normal de Active Directory.
Replicación saliente de los objetos restaurados autoritativamente desde el controlador de dominio de recuperación a los controladores de dominio del dominio y en el bosque.
Mientras la replicación entrante en el controlador de dominio de recuperación permanece deshabilitada, escriba el siguiente comando para insertar los objetos restaurados autoritativamente en todos los controladores de dominio de réplica entre sitios del dominio y en catálogos globales del bosque:
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
Una vez que todos los controladores de dominio directo y transitivo del dominio del bosque y los servidores de catálogo global se han replicado en los usuarios restaurados de forma autoritativa y en los contenedores restaurados, vaya al paso 11.
Si todas las instrucciones siguientes son verdaderas, los vínculos de pertenencia a grupos se vuelven a generar con la restauración de las cuentas de usuario eliminadas. Vaya al paso 13.
- El bosque se ejecuta en el nivel funcional del bosque de Windows Server 2003 y versiones posteriores, o en el nivel funcional del bosque provisional de Windows Server 2003 y versiones posteriores.
- Solo se eliminaron los grupos de seguridad.
- Todos los usuarios eliminados se agregaron a todos los grupos de seguridad de todos los dominios del bosque.
Considere la posibilidad de usar el
Repadmin
comando para acelerar la replicación saliente de los usuarios desde el controlador de dominio restaurado.Si también se eliminaron los grupos o si no se puede garantizar que todos los usuarios eliminados se agregaran a todos los grupos de seguridad después de la transición al nivel funcional provisional o de bosque de Windows Server 2003 y versiones posteriores, vaya al paso 12.
Repita los pasos 7, 8 y 9 sin restaurar el estado del sistema y vaya al paso 11.
Si los usuarios eliminados se agregaron a grupos locales en dominios externos, realice una de las siguientes acciones:
- Agregue manualmente los usuarios eliminados a esos grupos.
- Restaure el estado del sistema y la autenticación restaure cada uno de los grupos de seguridad locales que contiene los usuarios eliminados.
Compruebe la pertenencia a grupos en el dominio del controlador de dominio de recuperación y en catálogos globales en otros dominios.
Use el comando siguiente para habilitar la replicación entrante en el controlador de dominio de recuperación:
repadmin /options recovery dc name -DISABLE_INBOUND_REPL
Realice una nueva copia de seguridad de estado del sistema de los controladores de dominio en los catálogos globales y de dominio del controlador de dominio de recuperación en otros dominios del bosque.
Notifique a todos los administradores del bosque, a los administradores delegados, a los administradores del departamento de soporte técnico del bosque y a los usuarios del dominio que ha completado la restauración del usuario.
Los administradores del departamento de soporte técnico pueden tener que restablecer las contraseñas de las cuentas de usuario restauradas de autenticación y las cuentas de equipo cuya contraseña de dominio cambió después de que se haya realizado el sistema restaurado.
Los usuarios que cambiaron sus contraseñas después de realizar la copia de seguridad del estado del sistema encontrarán que su contraseña más reciente ya no funciona. Haga que estos usuarios intenten iniciar sesión con sus contraseñas anteriores si los conocen. De lo contrario, los administradores del departamento de soporte técnico deben restablecer la contraseña con el usuario deben cambiar la contraseña en la siguiente casilla de inicio de sesión activada. Házlo preferiblemente en un controlador de dominio en el mismo sitio de Active Directory en el que se encuentra el usuario.
Recuperación de usuarios eliminados en un controlador de dominio cuando no tiene una copia de seguridad de estado del sistema válida
Si no tiene copias de seguridad de estado del sistema actuales en un dominio donde se eliminaron las cuentas de usuario o los grupos de seguridad, y la eliminación se produjo en dominios que contienen controladores de dominio de Windows Server 2003 y versiones posteriores, siga estos pasos para volver a actualizar manualmente los objetos eliminados del contenedor de objetos eliminados:
- Siga los pasos de la sección siguiente para volver a actualizar usuarios, equipos, grupos o todos ellos eliminados:
Cómo recuperar manualmente objetos en un contenedor de objetos eliminados - Use Usuarios y equipos de Active Directory para cambiar la cuenta de deshabilitada a habilitada. (La cuenta aparece en la unidad organizativa original).
- Use las características de restablecimiento masivo de Windows Server 2003 y versiones posteriores de Usuarios y equipos de Active Directory para realizar restablecimientos masivos en la contraseña debe cambiar en la siguiente configuración de directiva de inicio de sesión, en el directorio principal, en la ruta de acceso del perfil y en la pertenencia a grupos para la cuenta eliminada según sea necesario. También puede usar un equivalente mediante programación de estas características.
- Si se usó Microsoft Exchange 2000 o posterior, repare el buzón de Exchange para el usuario eliminado.
- Si se usó Exchange 2000 o posterior, vuelva a asociar el usuario eliminado con el buzón de Exchange.
- Compruebe que el usuario recuperado puede iniciar sesión y acceder a directorios locales, directorios compartidos y archivos.
Puede automatizar algunos o todos estos pasos de recuperación mediante los métodos siguientes:
- Escriba un script que automatice los pasos de recuperación manual que se enumeran en el paso 1. Al escribir este script, considere la posibilidad de determinar el ámbito del objeto eliminado por fecha, hora y último contenedor primario conocido y, a continuación, automatizar la reanimación del objeto eliminado. Para automatizar la reanimación, cambie el
isDeleted
atributo de TRUE a FALSE y cambie el nombre distintivo relativo al valor definido en ellastKnownParent
atributo o en un nuevo contenedor de nombre común o unidad organizativa (CN) especificado por el administrador. (El nombre distintivo relativo también se conoce como RDN). - Obtenga un programa que no sea de Microsoft que admita la reanimación de objetos eliminados en Windows Server 2003 y controladores de dominio posteriores. Una de estas utilidades es AdRestore. AdRestore usa los primitivos de Windows Server 2003 y versiones posteriores para recuperar objetos individualmente. Aelita Software Corporation y Commvault Systems también ofrecen productos que admiten la funcionalidad de recuperación en Windows Server 2003 y controladores de dominio basados en versiones posteriores.
Para obtener AdRestore, consulte AdRestore v1.1.
Microsoft proporciona información de contacto de terceros para ayudarle a encontrar soporte técnico. Esta información de contacto puede cambiar sin previo aviso. Microsoft no garantiza la precisión de esta información de contacto de terceros.
Cómo recuperar manualmente objetos en el contenedor de un objeto eliminado
Para recuperar manualmente objetos en el contenedor de un objeto eliminado, siga estos pasos:
Seleccione Inicio, Ejecutar y, a continuación, escriba ldp.exe.
ldp.exe está disponible:
- En equipos donde se ha instalado el rol controlador de dominio.
- En equipos en los que se han instalado herramientas de administración remota del servidor (RSAT).
Use el menú Conexión de Ldp para realizar las operaciones de conexión y las operaciones de enlace a un controlador de dominio de Windows Server 2003 y versiones posteriores.
Especifique las credenciales de administrador de dominio durante la operación de enlace.
En el menú Opciones, seleccione Controles.
En la lista Cargar predefinido , seleccione Devolver objetos eliminados.
Nota:
El control 1.2.840.113556.1.4.417 se mueve a la ventana Controles activos.
En Tipo de control, seleccione Servidor y seleccione Aceptar.
En el menú Ver , seleccione Árbol, escriba la ruta de acceso de nombre distintivo del contenedor de objetos eliminados en el dominio donde se produjo la eliminación y, a continuación, seleccione Aceptar.
Nota:
La ruta de acceso de nombre distintivo también se conoce como ruta de acceso de DN. Por ejemplo, si se produjo la eliminación en el
contoso.com
dominio, la ruta de acceso de DN sería la siguiente:
cn=deleted Objects,dc=contoso,dc=comEn el panel izquierdo de la ventana, haga doble clic en el contenedor de objetos eliminados.
Nota:
Como resultado de la búsqueda de la consulta idap, solo se devuelven 1000 objetos de forma predeterminada. Por ejemplo, si existen más de 1000 objetos en el contenedor Objetos eliminados, no todos los objetos aparecen en este contenedor. Si el objeto de destino no aparece, use ntdsutil y establezca el número máximo mediante maxpagesize para obtener los resultados de la búsqueda.
Haga doble clic en el objeto que desea recuperar o reanimar.
Haga clic con el botón derecho en el objeto que desea volver a activar y, a continuación, seleccione Modificar.
Cambie el valor del
isDeleted
atributo y la ruta de acceso de DN en una sola operación de modificación del Protocolo ligero de acceso a directorios (LDAP). Para configurar el cuadro de diálogo Modificar , siga estos pasos:En el cuadro Editar atributo de entrada, escriba isDeleted. Deje el cuadro Valor en blanco.
Seleccione el botón de opción Eliminar y, a continuación, seleccione Entrar para realizar las dos primeras entradas en el cuadro de diálogo Lista de entradas.
Importante
No seleccione Ejecutar.
En el cuadro Atributo , escriba distinguishedName.
En el cuadro Valores , escriba la nueva ruta de acceso de DN del objeto reanimado.
Por ejemplo, para reanimar la cuenta de usuario de JohnDoe a la unidad organizativa mayberry, use la siguiente ruta de acceso de DN: cn= JohnDoe,ou= Mayberry,dc= contoso,dc= com
Nota:
Si quiere reanimar un objeto eliminado a su contenedor original, anexe el valor del atributo lastKnownParent del objeto eliminado a su valor CN y, a continuación, pegue la ruta de acceso completa de DN en el cuadro Valores .
En el cuadro Operación , seleccione REEMPLAZAR.
Seleccione ENTRAR.
Active la casilla Sincrónico .
Active la casilla Extendido .
Seleccione Run (Ejecutar).
Después de volver a activar los objetos, seleccione Controles en el menú Opciones , seleccione el botón Desactive para quitar (1.2.840.113556.1.4.417) de la lista Controles activos.
Restablezca contraseñas de cuenta de usuario, perfiles, directorios principales y pertenencias a grupos para los usuarios eliminados.
Cuando se eliminó el objeto, todos los valores de atributo excepto
SID
,ObjectGUID
,LastKnownParent
ySAMAccountName
se quitaron.Habilite la cuenta reanimada en Usuarios y equipos de Active Directory.
Nota:
El objeto reanimado tiene el mismo SID principal que tenía antes de la eliminación, pero el objeto debe agregarse de nuevo a los mismos grupos de seguridad para tener el mismo nivel de acceso a los recursos. La primera versión de Windows Server 2003 y versiones posteriores no conserva el
sIDHistory
atributo en cuentas de usuario reanimadas, cuentas de equipo y grupos de seguridad. Windows Server 2003 y versiones posteriores con Service Pack 1 conserva elsIDHistory
atributo en los objetos eliminados.Quite los atributos de Microsoft Exchange y vuelva a conectar el usuario al buzón de Exchange.
Nota:
La reanimación de los objetos eliminados se admite cuando se produce la eliminación en un controlador de dominio de Windows Server 2003 y versiones posteriores. No se admite la reanimación de objetos eliminados cuando se produce la eliminación en un controlador de dominio de Windows 2000 que se actualiza posteriormente a Windows Server 2003 y versiones posteriores.
Nota:
Si la eliminación se produce en un controlador de dominio de Windows 2000 en el dominio, el
lastParentOf
atributo no se rellena en Los controladores de dominio de Windows Server 2003 y versiones posteriores.
Cómo determinar cuándo y dónde se produjo una eliminación
Cuando los usuarios se eliminan debido a una eliminación masiva, es posible que quiera obtener información sobre dónde se originó la eliminación. Para ello, siga los pasos que se indican a continuación:
Para localizar las entidades de seguridad eliminadas, siga los pasos 1 a 7 de la sección Cómo recuperar manualmente objetos en el contenedor de un objeto eliminado. Si se eliminó un árbol, siga estos pasos para buscar un contenedor primario del objeto eliminado.
Copie el valor del
objectGUID
atributo en el Portapapeles de Windows. Puede pegar este valor al escribir el comando en elRepadmin
paso 4.En la línea de comandos, ejecute el siguiente comando:
repadmin /showmeta GUID=<objectGUID> <FQDN>
Por ejemplo, si el
objectGUID
del objeto o contenedor eliminado es 791273b2-eba7-4285-a117-aa804ea76e95 y el nombre de dominio completo (FQDN) esdc.contoso.com
, ejecute el siguiente comando:repadmin /showmeta GUID=791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com
La sintaxis de este comando debe incluir el GUID del objeto o contenedor eliminados y el FQDN del servidor desde el que desea obtener origen.
En la salida del
Repadmin
comando, busque la fecha, hora y controlador de dominio de origen para elisDeleted
atributo . Por ejemplo, la información delisDeleted
atributo aparece en la quinta línea de la siguiente salida de ejemplo:Loc.USN Dc de origen Org.USN Org.Time/Date Ver Atributo 134759 Default-First-Site-Name\NA-DC1 134759 Fecha y hora 1 objectClass 134760 Default-First-Site-Name\NA-DC1 134760 Fecha y hora 2 ou 134759 Default-First-Site-Name\NA-DC1 134759 Fecha y hora 1 instanceType 134759 Default-First-Site-Name\NA-DC1 134759 Fecha y hora 1 whenCreated 134760 Default-First-Site-Name\NA-DC1 134760 Fecha y hora 1 IsDeleted 134759 Default-First-Site-Name\NA-DC1 134759 Fecha y hora 1 nTSecurityDescriptor 134760 Default-First-Site-Name\NA-DC1 134760 Fecha y hora 2 nombre 134760 Default-First-Site-Name\NA-DC1 134760 Fecha y hora 1 lastKnownParent 134760 Default-First-Site-Name\NA-DC1 134760 Fecha y hora 2 objectCategory Si el nombre del controlador de dominio de origen aparece como un GUID alfanumérico de 32 caracteres, use el comando Ping para resolver el GUID en la dirección IP y el nombre del controlador de dominio que originó la eliminación. El comando Ping usa la sintaxis siguiente:
ping -a <originating DC GUID>._msdomain controllers.<fully qualified path for forest root domain>
Nota:
La opción -a distingue mayúsculas de minúsculas. Use el nombre de dominio completo del dominio raíz del bosque independientemente del dominio en el que reside el controlador de dominio de origen.
Por ejemplo, si el controlador de dominio de origen reside en cualquier dominio del
Contoso.com
bosque y tenía un GUID de 644eb7e7-1566-4f29-a778-4b487637564b, ejecute el siguiente comando:ping -a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com
La salida devuelta por este comando es similar a la siguiente:
Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data: Reply from 65.53.65.101: bytes=32 time<1ms TTL=128 Reply from 65.53.65.101: bytes=32 time<1ms TTL=128 Reply from 65.53.65.101: bytes=32 time<1ms TTL=128 Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Cómo minimizar el impacto de las eliminaciones masivas en el futuro
Las claves para minimizar el impacto de la eliminación masiva de usuarios, equipos y grupos de seguridad son:
- Asegúrese de que tiene copias de seguridad de estado del sistema actualizadas.
- Controle estrechamente el acceso a las cuentas de usuario con privilegios.
- Controle estrechamente lo que pueden hacer esas cuentas.
- Practicar la recuperación de eliminaciones masivas.
Los cambios de estado del sistema se producen todos los días. Estos cambios pueden incluir:
- Restablecimientos de contraseña en cuentas de usuario y cuentas de equipo
- Cambios de pertenencia a grupos
- Otros cambios de atributo en cuentas de usuario, cuentas de equipo y grupos de seguridad.
Si se produce un error en el hardware o el software, o el sitio experimenta otro desastre, querrá restaurar las copias de seguridad que se realizaron después de cada conjunto significativo de cambios en cada dominio y sitio de Active Directory del bosque. Si no mantiene las copias de seguridad actuales, es posible que pierda datos o que tenga que revertir los objetos restaurados.
Microsoft recomienda realizar los pasos siguientes para evitar eliminaciones masivas:
No comparta la contraseña de las cuentas de administrador integradas o permita compartir cuentas de usuario administrativas comunes. Si se conoce la contraseña de la cuenta de administrador integrada, cambie la contraseña y defina un proceso interno que desaliente su uso. Los eventos de auditoría de las cuentas de usuario compartidas hacen imposible determinar la identidad del usuario que está realizando cambios en Active Directory. Por lo tanto, se debe desalentar el uso de cuentas de usuario compartidas.
Es raro que las cuentas de usuario, las cuentas de equipo y los grupos de seguridad se eliminen intencionadamente. Es especialmente cierto que las eliminaciones de árbol. Desasocie la capacidad de los administradores delegados y del servicio para eliminar estos objetos de la capacidad de crear y administrar cuentas de usuario, cuentas de equipo, grupos de seguridad, contenedores de unidades organizativas y sus atributos. Conceda solo a las cuentas de usuario con más privilegios o grupos de seguridad el derecho a realizar eliminaciones de árbol. Estas cuentas de usuario con privilegios pueden incluir administradores de empresa.
Conceda a los administradores delegados acceso solo a la clase de objeto que esos administradores pueden administrar. Por ejemplo, el trabajo principal de un administrador del departamento de soporte técnico consiste en modificar las propiedades de las cuentas de usuario. No tiene permisos para crear y eliminar cuentas de equipo, grupos de seguridad o contenedores de unidades organizativas. Esta restricción también se aplica a los permisos de eliminación para los administradores de otras clases de objetos específicas.
Experimente con la configuración de auditoría para realizar un seguimiento de las operaciones de eliminación en un dominio de laboratorio. Después de estar familiarizado con los resultados, aplique su mejor solución al dominio de producción.
Los cambios mayoristas de control de acceso y auditoría en contenedores que hospedan decenas de miles de objetos pueden hacer que la base de datos de Active Directory crezca significativamente, especialmente en dominios de Windows 2000. Use un dominio de prueba que refleje el dominio de producción para evaluar posibles cambios en el espacio libre en disco. Compruebe los volúmenes de unidades de disco duro que hospedan los archivos Ntds.dit y los archivos de registro de los controladores de dominio en el dominio de producción para liberar espacio en disco. Evite establecer los cambios de control de acceso y auditoría en el encabezado de controlador de red de dominio. Realizar estos cambios se aplicaría innecesariamente a todos los objetos de todas las clases de todos los contenedores de la partición. Por ejemplo, evite realizar cambios en el sistema de nombres de dominio (DNS) y el registro de registros de seguimiento de vínculos distribuidos (DLT) en la carpeta CN=SYSTEM de la partición de dominio.
Use la estructura de unidades organizativas de procedimientos recomendados para separar cuentas de usuario, cuentas de equipo, grupos de seguridad y cuentas de servicio, en su propia unidad organizativa. Al usar esta estructura, puede aplicar listas de control de acceso discrecionales (DACL) a objetos de una sola clase para la administración delegada. Y permite que los objetos se restauren según la clase de objeto si tienen que restaurarse. La estructura de unidades organizativas de procedimientos recomendados se describe en la sección Creación de un diseño de unidad organizativa del siguiente artículo:
Procedimiento recomendado diseño de Active Directory para administrar redes WindowsPruebe las eliminaciones masivas en un entorno de laboratorio que refleje el dominio de producción. Elija el método de recuperación que tenga sentido para usted y, a continuación, personalícelo en su organización. Es posible que quiera identificar:
- Los nombres de los controladores de dominio de cada dominio de los que se realiza una copia de seguridad periódicamente
- Dónde se almacenan las imágenes de copia de seguridad
Idealmente, estas imágenes se almacenan en un disco duro adicional que es local para un catálogo global en cada dominio del bosque. - Qué miembros de la organización del departamento de soporte técnico se van a poner en contacto
- La mejor manera de hacer ese contacto
La mayoría de las eliminaciones masivas de cuentas de usuario, de cuentas de equipo y de grupos de seguridad que Microsoft ve son accidentales. Analice este escenario con el personal de TI y desarrolle un plan de acción interno. Céntrese en la detección temprana. Y devuelva la funcionalidad a los usuarios del dominio y a la empresa lo más rápido posible. También puede realizar pasos para evitar que se produzcan eliminaciones masivas accidentales editando las listas de control de acceso (ACL) de las unidades organizativas.
Para obtener más información sobre cómo usar herramientas de interfaz de Windows para evitar eliminaciones masivas accidentales, consulte Protección contra eliminaciones masivas accidentales en Active Directory.
Herramientas y scripts que pueden ayudarle a recuperarse de eliminaciones masivas
La utilidad de línea de comandos Groupadd.exe lee el memberOf
atributo en una colección de usuarios de una unidad organizativa y crea un archivo .ldf que agrega cada cuenta de usuario restaurada a los grupos de seguridad de cada dominio del bosque.
Groupadd.exe detecta automáticamente los dominios y grupos de seguridad de los que los usuarios eliminados eran miembros y los agrega a esos grupos. Este proceso se explica con más detalle en el paso 11 del método 1.
Groupadd.exe se ejecuta en controladores de dominio de Windows Server 2003 y versiones posteriores.
Groupadd.exe usa la sintaxis siguiente:
groupadd / after_restore ldf_file [/ before_restore ldf_file ]
Aquí, ldf_file
representa el nombre del archivo .ldf que se va a usar con el argumento anterior, after_restore
representa el origen de datos del archivo de usuario y before_restore
representa los datos de usuario del entorno de producción. (El origen de datos del archivo de usuario es los buenos datos de usuario).
Para obtener Groupadd.exe, póngase en contacto con los Servicios de soporte técnico de Microsoft.
Los productos de otros fabricantes que se mencionan en este artículo han sido creados por compañías independientes de Microsoft. Microsoft no ofrece ninguna garantía, ya sea implícita o de otro tipo, sobre la confiabilidad o el rendimiento de dichos productos.
Referencias
Para obtener más información sobre cómo usar la característica Papelera de reciclaje de AD incluida en Windows Server 2008 R2, consulte Guía paso a paso de la papelera de reciclaje de Active Directory.