Jak przywrócić usunięte konta użytkowników i ich członkostwa w grupach w usłudze Active Directory

2025-01-15

Ten artykuł zawiera informacje na temat przywracania usuniętych kont użytkowników i członkostwa w grupach w usłudze Active Directory.

Oryginalny numer KB: 840001

Wprowadzenie

Aby przywrócić usunięte konta użytkowników, konta komputerów i grupy zabezpieczeń, można użyć kilku metod. Te obiekty są określane zbiorczo jako podmioty zabezpieczeń.

Najczęstszą metodą jest włączenie funkcji Kosza usługi AD obsługiwanej na kontrolerach domeny na podstawie systemu Windows Server 2008 R2 i nowszych. Aby uzyskać więcej informacji na temat tej funkcji, w tym sposobu włączania jej i przywracania obiektów, zobacz Przewodnik krok po kroku kosza usługi Active Directory.

Jeśli ta metoda nie jest dostępna, można użyć następujących trzech metod. We wszystkich trzech metodach autorytatywnie przywracasz usunięte obiekty, a następnie przywracasz informacje o członkostwie grupy dla usuniętych podmiotów zabezpieczeń. Po przywróceniu usuniętego obiektu należy przywrócić poprzednie wartości atrybutów member i memberOf w podmiotu zabezpieczeń, którego dotyczy problem.

Uwaga 16.

Odzyskiwanie usuniętych obiektów w usłudze Active Directory można uprościć, włączając funkcję Kosza usługi AD obsługiwaną na kontrolerach domeny na podstawie systemu Windows Server 2008 R2 i nowszych. Aby uzyskać więcej informacji na temat tej funkcji, w tym sposobu włączania jej i przywracania obiektów, zobacz Przewodnik krok po kroku kosza usługi Active Directory.

Więcej informacji

Metody 1 i 2 zapewniają lepsze środowisko dla użytkowników i administratorów domeny. Te metody zachowują dodatki do grup zabezpieczeń, które zostały wykonane między godziną ostatniej kopii zapasowej stanu systemu a czasem usunięcia. W metodzie 3 nie wprowadzasz indywidualnych korekt podmiotów zabezpieczeń. Zamiast tego należy wycofać członkostwo w grupach zabezpieczeń do ich stanu w momencie utworzenia ostatniej kopii zapasowej.

Większość operacji usuwania na dużą skalę jest przypadkowa. Firma Microsoft zaleca wykonanie kilku kroków, aby zapobiec zbiorczemu usuwaniu obiektów przez inne osoby.

Uwaga 16.

Aby zapobiec przypadkowemu usunięciu lub przemieszczaniu obiektów (zwłaszcza jednostek organizacyjnych), do deskryptora zabezpieczeń każdego obiektu (DENY DELETE & DELETE TREE) można dodać dwa wpisy odmowy kontroli dostępu (ACL) do deskryptora zabezpieczeń obiektu PARENT (DENY DELETE CHILD). Aby to zrobić, użyj narzędzia wiersza polecenia Użytkownicy i komputery usługi Active Directory, ADSIEdit, LDP lub DSACLS. Możesz również zmienić domyślne uprawnienia w schemacie usługi AD dla jednostek organizacyjnych, aby te acEs były domyślnie uwzględniane.

Na przykład w celu ochrony jednostki organizacyjnej, która jest wywoływana CONTOSO.COM przed przypadkowym przeniesieniem lub usunięciem z nadrzędnej jednostki organizacyjnej o nazwie MyCompany, należy wykonać następującą konfigurację:

W przypadku jednostki organizacyjnej MyCompany dodaj atrybut DENY ACE for Everyone to DELETE CHILD z zakresem tylko tego obiektu:

DSACLS "OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:DC"/

W przypadku jednostki organizacyjnej Użytkownicy dodaj atrybut DENY ACE for Everyone to DELETE and DELETE TREE z tylko zakresem Tego obiektu:

DSACLS "OU=Users,OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:SDDT"

Przystawka Użytkownicy i komputery usługi Active Directory w systemie Windows Server 2008 zawiera pole wyboru Chroń obiekt przed przypadkowym usunięciem na karcie Obiekt.

Uwaga 16.

Aby wyświetlić tę kartę, należy włączyć pole wyboru Funkcje zaawansowane.

Po utworzeniu jednostki organizacyjnej przy użyciu Użytkownicy i komputery usługi Active Directory w systemie Windows Server 2008 zostanie wyświetlone pole wyboru Chroń kontener przed przypadkowym usunięciem. Domyślnie pole wyboru jest zaznaczone i można je anulować.

Mimo że każdy obiekt w usłudze Active Directory można skonfigurować przy użyciu tych ACL, najlepiej nadaje się do jednostek organizacyjnych. Usunięcie lub przenoszenie wszystkich obiektów liścia może mieć duży wpływ. Ta konfiguracja zapobiega takim usunięciom lub ruchom. Aby naprawdę usunąć lub przenieść obiekt przy użyciu takiej konfiguracji, najpierw należy usunąć odmowy aces.

W tym artykule omówiono sposób przywracania kont użytkowników, kont komputerów i ich członkostwa w grupach po usunięciu ich z usługi Active Directory. W odmianach tego scenariusza konta użytkowników, konta komputerów lub grupy zabezpieczeń mogły zostać usunięte pojedynczo lub w jakiejś kombinacji. We wszystkich tych przypadkach mają zastosowanie te same początkowe kroki. Autorytatywnie przywracasz lub przywracasz uwierzytelnianie, te obiekty, które zostały przypadkowo usunięte. Niektóre usunięte obiekty wymagają przywrócenia większej liczby prac. Te obiekty obejmują obiekty, takie jak konta użytkowników zawierające atrybuty, które są łączami wstecznymi atrybutów innych obiektów. Dwa z tych atrybutów to managedBy i memberOf.

Po dodaniu podmiotów zabezpieczeń, takich jak konto użytkownika, grupa zabezpieczeń lub konto komputera do grupy zabezpieczeń, należy wprowadzić następujące zmiany w usłudze Active Directory:

Nazwa podmiotu zabezpieczeń jest dodawana do atrybutu członkowskiego każdej grupy zabezpieczeń.
Dla każdej grupy zabezpieczeń, do atrybutu podmiotu zabezpieczeń jest dodawany link wsteczny memberOf użytkownika, komputera lub grupy zabezpieczeń.

Podobnie, gdy użytkownik, komputer lub grupa zostanie usunięta z usługi Active Directory, zostaną wykonane następujące akcje:

Usunięty podmiot zabezpieczeń jest przenoszony do usuniętego kontenera obiektów.
Kilka wartości atrybutów memberOf , w tym atrybut, są usuwane z usuniętego podmiotu zabezpieczeń.
Usunięte podmioty zabezpieczeń są usuwane z wszystkich grup zabezpieczeń, do których należeli. Innymi słowy, usunięte podmioty zabezpieczeń są usuwane z atrybutu członkowskiego każdej grupy zabezpieczeń.

Po odzyskaniu usuniętych podmiotów zabezpieczeń i przywróceniu ich członkostwa w grupach każdy podmiot zabezpieczeń musi istnieć w usłudze Active Directory przed przywróceniem członkostwa w grupie. Element członkowski może być użytkownikiem, komputerem lub inną grupą zabezpieczeń. Aby dokładniej przywrócić tę regułę, obiekt zawierający atrybuty, których wartości są łączami wstecznym, musi istnieć w usłudze Active Directory przed obiektem zawierającym łącze przekazujące można przywrócić lub zmodyfikować.

W tym artykule opisano sposób odzyskiwania usuniętych kont użytkowników i ich członkostwa w grupach zabezpieczeń. Jej koncepcje dotyczą również innych operacji usuwania obiektów. Koncepcje tego artykułu dotyczą również usuniętych obiektów, których wartości atrybutów używają linków przesyłania dalej i łączy z powrotem do innych obiektów w usłudze Active Directory.

Aby odzyskać podmioty zabezpieczeń, można użyć jednej z trzech metod. W przypadku użycia metody 1 pozostaw wszystkie podmioty zabezpieczeń dodane do dowolnej grupy zabezpieczeń w lesie. Dodajesz tylko podmioty zabezpieczeń, które zostały usunięte z odpowiednich domen z powrotem do ich grup zabezpieczeń. Można na przykład utworzyć kopię zapasową stanu systemu, dodać użytkownika do grupy zabezpieczeń, a następnie przywrócić kopię zapasową stanu systemu. W przypadku używania metod 1 lub 2 należy zachować wszystkich użytkowników, którzy zostali dodani do grup zabezpieczeń zawierających usuniętych użytkowników między datami utworzenia kopii zapasowej stanu systemu i datą przywrócenia kopii zapasowej. W przypadku użycia metody 3 należy wycofać członkostwa w grupach zabezpieczeń dla wszystkich grup zabezpieczeń, które zawierają usuniętych użytkowników do ich stanu w momencie tworzenia kopii zapasowej stanu systemu.

Metoda 1 — przywracanie usuniętych kont użytkowników, a następnie dodawanie przywróconych użytkowników z powrotem do grup przy użyciu narzędzia wiersza polecenia Ntdsutil.exe

Narzędzie wiersza polecenia Ntdsutil.exe umożliwia przywrócenie linków wstecznych usuniętych obiektów. Dla każdej autorytatywnej operacji przywracania są generowane dwa pliki. Jeden plik zawiera listę autorytatywnie przywróconych obiektów. Drugi plik jest plikiem ldf używanym z narzędziem Ldifde.exe. Ten plik służy do przywracania linków wstecznych dla obiektów, które są autorytatywnie przywracane. Autorytatywne przywracanie obiektu użytkownika powoduje również wygenerowanie plików w formacie LDIF (LDAP Data Interchange Format) z członkostwem w grupie. Ta metoda pozwala uniknąć podwójnego przywracania.

W przypadku korzystania z tej metody należy wykonać następujące kroki wysokiego poziomu:

Sprawdź, czy wykaz globalny w domenie użytkownika nie został zreplikowany w usunięciu. Następnie uniemożliwić replikowanie tego wykazu globalnego. Jeśli nie ma ukrytego wykazu globalnego, znajdź najnowszą kopię zapasową stanu systemu kontrolera domeny wykazu globalnego w domenie głównej usuniętego użytkownika.
Uwierzytelnianie przywraca wszystkie usunięte konta użytkowników, a następnie zezwala na kompleksową replikację tych kont użytkowników.
Dodaj wszystkich przywróconych użytkowników z powrotem do wszystkich grup we wszystkich domenach, do których należeli konta użytkowników przed ich usunięciem.

Aby użyć metody 1, wykonaj następującą procedurę:

Sprawdź, czy w usuniętej domenie głównej użytkownika znajduje się kontroler domeny wykazu globalnego, który nie replikował żadnej części usunięcia.

Uwaga 16.

Skoncentruj się na katalogach globalnych, które mają najmniej częste harmonogramy replikacji.

Jeśli istnieje co najmniej jeden z tych wykazów globalnych, użyj narzędzia wiersza polecenia Repadmin.exe, aby natychmiast wyłączyć replikację przychodzącą, wykonując następujące kroki:
1. Wybierz przycisk Start, a następnie wybierz pozycję Uruchom.
2. Wpisz polecenie cmd w polu Otwórz , a następnie wybierz przycisk OK.
3. Wpisz następujące polecenie w wierszu polecenia, a następnie naciśnij ENTER:
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
  Uwaga 16.
  
  Jeśli nie możesz natychmiast wydać Repadmin polecenia, usuń całą łączność sieciową z ukrytego wykazu globalnego, dopóki nie będzie można użyć Repadmin polecenia , aby wyłączyć replikację przychodzącą, a następnie natychmiast zwrócić łączność sieciową.
Ten kontroler domeny będzie nazywany kontrolerem domeny odzyskiwania. Jeśli nie ma takiego wykazu globalnego, przejdź do kroku 2.
Najlepiej przestać wprowadzać zmiany w grupach zabezpieczeń w lesie, jeśli wszystkie następujące instrukcje są prawdziwe:
- Używasz metody 1 do autorytatywnego przywracania usuniętych użytkowników lub kont komputerów według ich ścieżki nazwy wyróżniającej (dn).
- Usunięcie zostało zreplikowane do wszystkich kontrolerów domeny w lesie z wyjątkiem ukrytego kontrolera domeny odzyskiwania.
- Nie uwierzytelnianie przywraca grupy zabezpieczeń ani ich kontenery nadrzędne.
Jeśli uwierzytelnianie przywraca grupy zabezpieczeń lub kontenery jednostek organizacyjnych hostujących grupy zabezpieczeń lub konta użytkowników, tymczasowo zatrzymaj wszystkie te zmiany.

Powiadamianie administratorów i administratorów pomocy technicznej w odpowiednich domenach oprócz użytkowników domeny w domenie, w której wystąpiło usunięcie dotyczące zatrzymywania tych zmian.
Utwórz nową kopię zapasową stanu systemu w domenie, w której wystąpiło usunięcie. Możesz użyć tej kopii zapasowej, jeśli musisz wycofać zmiany.

Uwaga 16.

Jeśli kopie zapasowe stanu systemu są aktualne do punktu usunięcia, pomiń ten krok i przejdź do kroku 4.

Jeśli zidentyfikowano kontroler domeny odzyskiwania w kroku 1, utwórz kopię zapasową stanu systemu teraz.

Jeśli wszystkie wykazy globalne znajdujące się w domenie, w której wystąpiło usunięcie zreplikowane podczas usuwania, utwórz kopię zapasową stanu systemu wykazu globalnego w domenie, w której wystąpiło usunięcie.

Podczas tworzenia kopii zapasowej można zwrócić kontroler domeny odzyskiwania z powrotem do jego bieżącego stanu. Jeśli pierwsza próba nie powiedzie się, wykonaj ponownie plan odzyskiwania.
Jeśli nie możesz znaleźć ukrytego kontrolera domeny wykazu globalnego w domenie, w której wystąpiło usunięcie użytkownika, znajdź najnowszą kopię zapasową stanu systemu kontrolera domeny wykazu globalnego w tej domenie. Ta kopia zapasowa stanu systemu powinna zawierać usunięte obiekty. Użyj tego kontrolera domeny jako kontrolera domeny odzyskiwania.

Tylko przywrócenie kontrolerów domeny wykazu globalnego w domenie użytkownika zawiera informacje o globalnym i uniwersalnym członkostwie grupy dla grup zabezpieczeń, które znajdują się w domenach zewnętrznych. Jeśli nie ma kopii zapasowej stanu systemu kontrolera domeny wykazu globalnego w domenie, w której użytkownicy zostali usunięci, nie można użyć atrybutu memberOf na przywróconych kontach użytkowników, aby określić członkostwo w globalnej lub uniwersalnej grupie lub odzyskać członkostwo w domenach zewnętrznych. Ponadto dobrym pomysłem jest znalezienie najnowszej kopii zapasowej stanu systemu kontrolera domeny nienależących do wykazu globalnego.
Jeśli znasz hasło dla konta administratora trybu offline, uruchom kontroler domeny odzyskiwania w trybie Disrepair. Jeśli nie znasz hasła dla konta administratora trybu offline, zresetuj hasło przy użyciu ntdsutil.exe, gdy kontroler domeny odzyskiwania jest nadal w normalnym trybie usługi Active Directory.

Za pomocą narzędzia wiersza polecenia setpwd można zresetować hasło na kontrolerach domeny, gdy są w trybie online usługi Active Directory.

Uwaga 16.

Firma Microsoft nie obsługuje już systemu Windows 2000.

Administratorzy kontrolerów domeny systemu Windows Server 2003 i nowszych mogą użyć set dsrm password polecenia w narzędziu wiersza polecenia Ntdsutil, aby zresetować hasło dla konta administratora trybu offline.

Aby uzyskać więcej informacji na temat resetowania konta administratora trybu przywracania usług katalogowych, zobacz Jak zresetować hasło konta administratora trybu przywracania usług katalogowych w systemie Windows Server.
Naciśnij F8 podczas procesu uruchamiania, aby uruchomić kontroler domeny odzyskiwania w trybie disrepair. Zaloguj się do konsoli kontrolera domeny odzyskiwania przy użyciu konta administratora trybu offline. Jeśli zresetujesz hasło w kroku 5, użyj nowego hasła.

Jeśli kontroler domeny odzyskiwania jest ukrytym kontrolerem domeny wykazu globalnego, nie przywracaj stanu systemu. Przejdź do kroku 7.

Jeśli tworzysz kontroler domeny odzyskiwania przy użyciu kopii zapasowej stanu systemu, przywróć najnowszą kopię zapasową stanu systemu utworzoną na kontrolerze domeny odzyskiwania.
Uwierzytelnianie przywraca usunięte konta użytkowników, usunięte konta komputerów lub usunięte grupy zabezpieczeń.

Uwaga 16.

Terminy przywracanie uwierzytelniania i przywracanie autorytatywne odnoszą się do procesu używania autorytatywnego polecenia przywracania w narzędziu wiersza polecenia Ntdsutil w celu przyrostowania numerów wersji określonych obiektów lub określonych kontenerów i wszystkich ich obiektów podrzędnych. Gdy tylko nastąpi kompleksowa replikacja, obiekty docelowe w lokalnej kopii kontrolera domeny odzyskiwania usługi Active Directory staną się autorytatywne na wszystkich kontrolerach domeny, które współużytkować tę partycję. Przywracanie autorytatywne różni się od przywracania stanu systemu. Przywracanie stanu systemu wypełnia lokalną kopię usługi Active Directory przywróconego kontrolera domeny z wersjami obiektów w momencie utworzenia kopii zapasowej stanu systemu.

Przywracanie autorytatywne jest wykonywane za pomocą narzędzia wiersza polecenia Ntdsutil i odwołuje się do ścieżki nazwy domeny (dn) usuniętych użytkowników lub kontenerów hostujących usuniętych użytkowników.

Podczas przywracania uwierzytelniania należy użyć ścieżek nazwy domeny (dn), które są tak niskie w drzewie domeny, jak muszą być. Celem jest uniknięcie przywracania obiektów, które nie są związane z usunięciem. Te obiekty mogą zawierać obiekty, które zostały zmodyfikowane po utworzeniu kopii zapasowej stanu systemu.

Przywracanie uwierzytelniania usuniętych użytkowników w następującej kolejności:
1. Uwierzytelnianie przywraca ścieżkę nazwy domeny (dn) dla każdego usuniętego konta użytkownika, konta komputera lub grupy zabezpieczeń.
  
  Autorytatywne przywracanie określonych obiektów trwa dłużej, ale są mniej destrukcyjne niż autorytatywne przywracanie całego poddrzewa. Uwierzytelnianie przywraca najniższy wspólny kontener nadrzędny, który przechowuje usunięte obiekty.
  
  Narzędzie Ntdsutil używa następującej składni:
```
ntdsutil "authoritative restore" "restore object <object DN path>" q q
```
  Na przykład, aby autorytatywnie przywrócić usuniętego użytkownika John Doe w jednostki organizacyjnej Contoso.com Mayberry domeny, użyj następującego polecenia:
```
ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
```
  Aby autorytatywnie przywrócić usuniętą grupę zabezpieczeń ContosoPrintAccess w jednostki organizacyjnej Contoso.com Mayberry domeny, użyj następującego polecenia:
```
ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
```
  Ważne
  
  Użycie cudzysłowów jest wymagane.
  
  Dla każdego przywróconego użytkownika generowane są co najmniej dwa pliki. Te pliki mają następujący format:
  
  ar_YYYYMMDD-HHMMSS_objects.txt
  Ten plik zawiera listę autorytatywnie przywróconych obiektów. Użyj tego pliku z ntdsutil autorytatywnym poleceniem przywracania create ldif file from w dowolnej innej domenie w lesie, w którym użytkownik był członkiem grup lokalnych domeny.
  
  ar_YYYYMMDD-HHMMSSS_links_usn.loc.ldf
  Jeśli wykonasz przywracanie uwierzytelniania w wykazie globalnym, jeden z tych plików jest generowany dla każdej domeny w lesie. Ten plik zawiera skrypt, którego można użyć z narzędziem Ldifde.exe. Skrypt przywraca linki wsteczne dla przywróconych obiektów. W domenie głównej użytkownika skrypt przywraca wszystkie członkostwa w grupach dla przywróconych użytkowników. We wszystkich innych domenach w lesie, w którym użytkownik ma członkostwo w grupie, skrypt przywraca tylko członkostwa w grupach uniwersalnych i globalnych. Skrypt nie przywraca żadnych członkostw w grupach lokalnych domeny. Te członkostwa nie są śledzone przez wykaz globalny.
2. Auth restore only the OU or Common-Name (CN) containers that hostd the deleted user accounts or groups (Auth restore only the OU or Common-Name(CN) containers that hostd the deleted user accounts or groups (Auth restore only the OU or Common-Name( CN) containers that hostd the deleted user accounts or groups
  
  Autorytatywne przywracanie całego poddrzewa jest prawidłowe, gdy jednostka organizacyjna docelowa polecenia ntdsutil autorytatywne przywracanie zawiera większość obiektów, które próbujesz autorytatywnie przywrócić. W idealnym przypadku docelowa jednostka organizacyjna zawiera wszystkie obiekty, które próbujesz autorytatywnie przywrócić.
  
  Przywracanie autorytatywne w poddrzewie jednostki organizacyjnej przywraca wszystkie atrybuty i obiekty znajdujące się w kontenerze. Wszelkie zmiany wprowadzone do czasu przywrócenia kopii zapasowej stanu systemu są przywracane do ich wartości w momencie tworzenia kopii zapasowej. W przypadku kont użytkowników, kont komputerów i grup zabezpieczeń wycofanie może oznaczać utratę najnowszych zmian:
  - Hasła
  - katalog macierzysny
  - ścieżka profilu
  - lokalizacja
  - informacje kontaktowe
  - członkostwo w grupie
  - wszelkie deskryptory zabezpieczeń zdefiniowane na tych obiektach i atrybutach.
  Narzędzie Ntdsutil używa następującej składni:
```
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
```
  Na przykład aby autorytatywnie przywrócić jednostki organizacyjne Contoso.com Mayberry domeny, użyj następującego polecenia:
```
ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
```
  Uwaga 16.
  
  Powtórz ten krok dla każdej jednostki organizacyjnej równorzędnej, która hostuje usuniętych użytkowników lub grup.
  
  Ważne
  
  Po przywróceniu obiektu podrzędnego jednostki organizacyjnej wszystkie usunięte kontenery nadrzędne usuniętych obiektów podrzędnych muszą zostać jawnie przywrócone.
  
  Dla każdej jednostki organizacyjnej, którą przywracasz, są generowane co najmniej dwa pliki. Te pliki mają następujący format:
  
  ar_YYYYMMDD-HHMMSS_objects.txt
  Ten plik zawiera listę autorytatywnie przywróconych obiektów. Użyj tego pliku z ntdsutil authoritative restore create ldif file from polecenia w dowolnej innej domenie w lesie, gdzie przywróconi użytkownicy byli członkami grup lokalnych domeny.
  
  ar_YYYYMMDD-HHMMSSS_links_usn.loc.ldf
  Ten plik zawiera skrypt, którego można użyć z narzędziem Ldifde.exe. Skrypt przywraca linki wsteczne dla przywróconych obiektów. W domenie głównej użytkownika skrypt przywraca wszystkie członkostwa w grupach dla przywróconych użytkowników.
Jeśli usunięte obiekty zostały odzyskane na kontrolerze domeny odzyskiwania z powodu przywracania stanu systemu, usuń wszystkie sieciowe, które zapewniają łączność sieciową ze wszystkimi innymi kontrolerami domeny w lesie.
Uruchom ponownie kontroler domeny odzyskiwania w normalnym trybie usługi Active Directory.
Wpisz następujące polecenie, aby wyłączyć replikację przychodzącą do kontrolera domeny odzyskiwania:
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
Włącz łączność sieciową z powrotem z kontrolerem domeny odzyskiwania, którego stan systemu został przywrócony.
Ruch wychodzący replikuje obiekty przywrócone przez uwierzytelnianie z kontrolera domeny odzyskiwania do kontrolerów domeny w domenie i w lesie.

Podczas gdy replikacja przychodząca do kontrolera domeny odzyskiwania pozostaje wyłączona, wpisz następujące polecenie, aby wypchnąć obiekty przywrócone uwierzytelnianie do wszystkich kontrolerów domeny repliki między lokacjami w domenie i do wszystkich wykazów globalnych w lesie:
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Jeśli wszystkie poniższe instrukcje są prawdziwe, linki członkostwa w grupach zostaną ponownie skompilowane przy użyciu przywracania i replikacji usuniętych kont użytkowników. Przejdź do kroku 14.

Uwaga 16.

Jeśli co najmniej jedna z poniższych instrukcji nie jest prawdziwa, przejdź do kroku 12.
- Las jest uruchomiony na poziomie funkcjonalności systemu Windows Server 2003 lub nowszego lub nowszego lasu lub na poziomie funkcjonalności systemu Windows Server 2003 lub nowszego lub nowszego tymczasowego lasu.
- Usunięto tylko konta użytkowników lub konta komputerów, a nie grupy zabezpieczeń.
- Usunięci użytkownicy zostali dodani do grup zabezpieczeń we wszystkich domenach lasu po przejściu lasu do systemu Windows Server 2003 lub nowszego lub nowszego poziomu funkcjonalności lasu.
W konsoli kontrolera domeny odzyskiwania użyj narzędzia Ldifde.exe i ar_YYYYYMMDDD-HHMMSS_links_usn.loc.ldf, aby przywrócić członkostwa w grupach użytkownika. W tym celu wykonaj następujące kroki:
- Wybierz pozycję Start, wybierz pozycję Uruchom, wpisz polecenie cmd w polu Otwórz, a następnie wybierz przycisk OK.
- W wierszu polecenia wpisz następujące polecenie, a następnie naciśnij ENTER:
```
ldifde -i -f ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
```
Włącz replikację przychodzącą do kontrolera domeny odzyskiwania przy użyciu następującego polecenia:
```
repadmin /options <recovery dc name> -DISABLE_INBOUND_REPL
```
Jeśli usunięci użytkownicy zostali dodani do grup lokalnych w domenach zewnętrznych, wykonaj jedną z następujących czynności:
- Ręcznie dodaj usuniętych użytkowników z powrotem do tych grup.
- Przywróć stan systemu i przywracanie uwierzytelniania każdego z lokalnych grup zabezpieczeń, które zawierają usuniętych użytkowników.
Sprawdź członkostwo w grupie w domenie kontrolera domeny odzyskiwania i w wykazach globalnych w innych domenach.
Utwórz nową kopię zapasową stanu systemu kontrolerów domeny w domenie kontrolera domeny odzyskiwania.
Powiadom wszystkich administratorów lasu, delegowanych administratorów, administratorów pomocy technicznej w lesie i użytkowników w domenie, że przywracanie użytkownika zostało ukończone.

Administratorzy pomocy technicznej mogą wymagać zresetowania haseł kont użytkowników i kont komputerów przywróconych przez uwierzytelnianie, których hasło domeny zostało zmienione po przywróceniu systemu.

Użytkownicy, którzy zmienili swoje hasła po utworzeniu kopii zapasowej stanu systemu, zobaczą, że najnowsze hasło już nie działa. Użytkownicy tacy próbują się zalogować przy użyciu poprzednich haseł, jeśli je znają. W przeciwnym razie administratorzy pomocy technicznej muszą zresetować hasło i wybrać użytkownika musi zmienić hasło przy następnym logowaniu pole wyboru. Należy to zrobić na kontrolerze domeny w tej samej lokacji usługi Active Directory, w których znajduje się użytkownik.

Metoda 2 — przywracanie usuniętych kont użytkowników, a następnie dodawanie przywróconych użytkowników z powrotem do ich grup

W przypadku korzystania z tej metody należy wykonać następujące kroki wysokiego poziomu:

Sprawdź, czy wykaz globalny w domenie użytkownika nie został zreplikowany w usunięciu. Następnie uniemożliwić replikowanie tego wykazu globalnego. Jeśli nie ma ukrytego wykazu globalnego, znajdź najnowszą kopię zapasową stanu systemu kontrolera domeny wykazu globalnego w domenie głównej usuniętego użytkownika.
Uwierzytelnianie przywraca wszystkie usunięte konta użytkowników, a następnie zezwala na kompleksową replikację tych kont użytkowników.
Dodaj wszystkich przywróconych użytkowników z powrotem do wszystkich grup we wszystkich domenach, do których należeli konta użytkowników przed ich usunięciem.

Aby użyć metody 2, wykonaj następującą procedurę:

Sprawdź, czy w usuniętej domenie głównej użytkownika znajduje się kontroler domeny wykazu globalnego, który nie replikował żadnej części usunięcia.

Uwaga 16.

Skoncentruj się na katalogach globalnych, które mają najmniej częste harmonogramy replikacji.

Jeśli istnieje co najmniej jeden z tych wykazów globalnych, użyj narzędzia wiersza polecenia Repadmin.exe, aby natychmiast wyłączyć replikację przychodzącą. W tym celu wykonaj następujące kroki:
1. Wybierz przycisk Start, a następnie wybierz pozycję Uruchom.
2. Wpisz polecenie cmd w polu Otwórz , a następnie wybierz przycisk OK.
3. Wpisz następujące polecenie w wierszu polecenia, a następnie naciśnij ENTER:
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
Uwaga 16.

Jeśli nie możesz natychmiast wydać polecenia Repadmin, usuń całą łączność sieciową z ukrytego wykazu globalnego, dopóki nie będzie można użyć narzędzia Repadmin, aby wyłączyć replikację przychodzącą, a następnie natychmiast zwrócić łączność sieciową.

Ten kontroler domeny będzie nazywany kontrolerem domeny odzyskiwania. Jeśli nie ma takiego wykazu globalnego, przejdź do kroku 2.
Zdecyduj, czy dodatki, usunięcia i zmiany kont użytkowników, kont komputerów i grup zabezpieczeń muszą zostać tymczasowo zatrzymane do momentu ukończenia wszystkich kroków odzyskiwania.

Aby zachować najbardziej elastyczną ścieżkę odzyskiwania, tymczasowo przestań wprowadzać zmiany w następujących elementach. Zmiany obejmują resetowanie haseł przez użytkowników domeny, administratorów pomocy technicznej i administratorów w domenie, w której wystąpiło usunięcie, oprócz zmian członkostwa w grupach usuniętych użytkowników. Rozważ wstrzymanie dodawania, usuwania i modyfikacji następujących elementów:
1. Konta użytkowników i atrybuty na kontach użytkowników
2. Konta i atrybuty komputerów na kontach komputerów
3. Konta usług
4. Grupy zabezpieczeń
Najlepiej przestać wprowadzać zmiany w grupach zabezpieczeń w lesie, jeśli wszystkie następujące instrukcje są prawdziwe:
- Używasz metody 2 do autorytatywnego przywracania usuniętych użytkowników lub kont komputerów według ścieżki nazwy domeny (dn).
- Usunięcie zostało zreplikowane do wszystkich kontrolerów domeny w lesie z wyjątkiem ukrytego kontrolera domeny odzyskiwania.
- Nie uwierzytelnianie przywraca grupy zabezpieczeń ani ich kontenery nadrzędne.
Jeśli uwierzytelnianie przywraca grupy zabezpieczeń lub kontenery jednostek organizacyjnych hostujących grupy zabezpieczeń lub konta użytkowników, tymczasowo zatrzymaj wszystkie te zmiany.

Powiadamianie administratorów i administratorów pomocy technicznej w odpowiednich domenach oprócz użytkowników domeny w domenie, w której wystąpiło usunięcie dotyczące zatrzymywania tych zmian.
Utwórz nową kopię zapasową stanu systemu w domenie, w której wystąpiło usunięcie. Możesz użyć tej kopii zapasowej, jeśli musisz wycofać zmiany.

Uwaga 16.

Jeśli kopie zapasowe stanu systemu są aktualne do punktu usunięcia, pomiń ten krok i przejdź do kroku 4.

Jeśli zidentyfikowano kontroler domeny odzyskiwania w kroku 1, utwórz kopię zapasową stanu systemu teraz.

Jeśli wszystkie wykazy globalne znajdujące się w domenie, w której wystąpiło usunięcie zreplikowane podczas usuwania, utwórz kopię zapasową stanu systemu wykazu globalnego w domenie, w której wystąpiło usunięcie.

Podczas tworzenia kopii zapasowej można zwrócić kontroler domeny odzyskiwania z powrotem do jego bieżącego stanu. Jeśli pierwsza próba nie powiedzie się, wykonaj ponownie plan odzyskiwania.
Jeśli nie możesz znaleźć ukrytego kontrolera domeny wykazu globalnego w domenie, w której wystąpiło usunięcie użytkownika, znajdź najnowszą kopię zapasową stanu systemu kontrolera domeny wykazu globalnego w tej domenie. Ta kopia zapasowa stanu systemu powinna zawierać usunięte obiekty. Użyj tego kontrolera domeny jako kontrolera domeny odzyskiwania.

Tylko przywrócenie kontrolerów domeny wykazu globalnego w domenie użytkownika zawiera informacje o globalnym i uniwersalnym członkostwie grupy dla grup zabezpieczeń, które znajdują się w domenach zewnętrznych. Jeśli nie ma kopii zapasowej stanu systemu kontrolera domeny wykazu globalnego w domenie, w której użytkownicy zostali usunięci, nie można użyć atrybutu memberOf na przywróconych kontach użytkowników w celu określenia członkostwa globalnego lub uniwersalnej grupy lub odzyskania członkostwa w domenach zewnętrznych. Ponadto dobrym pomysłem jest znalezienie najnowszej kopii zapasowej stanu systemu kontrolera domeny nienależących do wykazu globalnego.
Jeśli znasz hasło dla konta administratora trybu offline, uruchom kontroler domeny odzyskiwania w trybie Disrepair. Jeśli nie znasz hasła dla konta administratora trybu offline, zresetuj hasło, gdy kontroler domeny odzyskiwania jest nadal w normalnym trybie usługi Active Directory.

Za pomocą narzędzia wiersza polecenia setpwd można zresetować hasło na kontrolerach domeny z systemem Windows 2000 z dodatkiem Service Pack 2 (SP2) i nowszym w trybie online usługi Active Directory.

Uwaga 16.

Firma Microsoft nie obsługuje już systemu Windows 2000.

Administratorzy kontrolerów domeny systemu Windows Server 2003 i nowszych mogą użyć set dsrm password polecenia w narzędziu wiersza polecenia Ntdsutil, aby zresetować hasło dla konta administratora trybu offline.

Aby uzyskać więcej informacji na temat resetowania konta administratora trybu przywracania usług katalogowych, zobacz Jak zresetować hasło konta administratora trybu przywracania usług katalogowych w systemie Windows Server.
Naciśnij F8 podczas procesu uruchamiania, aby uruchomić kontroler domeny odzyskiwania w trybie disrepair. Zaloguj się do konsoli kontrolera domeny odzyskiwania przy użyciu konta administratora trybu offline. Jeśli zresetujesz hasło w kroku 5, użyj nowego hasła.

Jeśli kontroler domeny odzyskiwania jest ukrytym kontrolerem domeny wykazu globalnego, nie przywracaj stanu systemu. Przejdź do kroku 7.

Jeśli tworzysz kontroler domeny odzyskiwania przy użyciu kopii zapasowej stanu systemu, przywróć najnowszą kopię zapasową stanu systemu utworzoną na kontrolerze domeny odzyskiwania.
Uwierzytelnianie przywraca usunięte konta użytkowników, usunięte konta komputerów lub usunięte grupy zabezpieczeń.

Uwaga 16.

Terminy przywracanie uwierzytelniania i przywracanie autorytatywne odnoszą się do procesu używania autorytatywnego polecenia przywracania w narzędziu wiersza polecenia Ntdsutil w celu przyrostowania numerów wersji określonych obiektów lub określonych kontenerów i wszystkich ich obiektów podrzędnych. Gdy tylko nastąpi kompleksowa replikacja, obiekty docelowe w lokalnej kopii kontrolera domeny odzyskiwania usługi Active Directory staną się autorytatywne na wszystkich kontrolerach domeny, które współużytkować tę partycję. Przywracanie autorytatywne różni się od przywracania stanu systemu. Przywracanie stanu systemu wypełnia lokalną kopię usługi Active Directory przywróconego kontrolera domeny z wersjami obiektów w momencie utworzenia kopii zapasowej stanu systemu.

Przywracanie autorytatywne jest wykonywane za pomocą narzędzia wiersza polecenia Ntdsutil i odwołuje się do ścieżki nazwy domeny (dn) usuniętych użytkowników lub kontenerów hostujących usuniętych użytkowników.

Podczas przywracania uwierzytelniania należy użyć ścieżek nazwy domeny (dn), które są tak niskie w drzewie domeny, jak muszą być. Celem jest uniknięcie przywracania obiektów, które nie są związane z usunięciem. Te obiekty mogą zawierać obiekty, które zostały zmodyfikowane po utworzeniu kopii zapasowej stanu systemu.

Przywracanie uwierzytelniania usuniętych użytkowników w następującej kolejności:
1. Uwierzytelnianie przywraca ścieżkę nazwy domeny (dn) dla każdego usuniętego konta użytkownika, konta komputera lub grupy zabezpieczeń.
  
  Autorytatywne przywracanie określonych obiektów trwa dłużej, ale są mniej destrukcyjne niż autorytatywne przywracanie całego poddrzewa. Uwierzytelnianie przywraca najniższy wspólny kontener nadrzędny, który przechowuje usunięte obiekty.
  
  Narzędzie Ntdsutil używa następującej składni:
```
ntdsutil "authoritative restore" "restore object <object DN path>" q q
```
  Na przykład, aby autorytatywnie przywrócić usuniętego użytkownika John Doe w jednostki organizacyjnej Contoso.com Mayberry domeny, użyj następującego polecenia:
```
ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
```
  Aby autorytatywnie przywrócić usuniętą grupę zabezpieczeń ContosoPrintAccess w jednostki organizacyjnej Contoso.com Mayberry domeny, użyj następującego polecenia:
```
ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
```
  Ważne
  
  Użycie cudzysłowów jest wymagane.
  
  Uwaga 16.
  
  Ta składnia jest dostępna tylko w systemie Windows Server 2003 lub nowszym. Jedyną składnią w systemie Windows 2000 jest użycie następujących elementów:
```
ntdsutil "authoritative restore" "restore subtree object DN path"
```
  Uwaga 16.
  
  Operacja przywracania autorytatywnego Ntdsutil nie powiodła się, jeśli ścieżka wyróżniająca nazwy (DN) zawiera znaki rozszerzone lub spacje. Aby przywracanie skryptowe zakończyło się pomyślnie, restore object <DN path> polecenie musi zostać przekazane jako jeden pełny ciąg.
  
  Aby obejść ten problem, opakuj nazwę DN zawierającą znaki rozszerzone i spacje z sekwencjami ucieczki ukośnika odwrotnego podwójnego cudzysłowu. Oto przykład:
```
ntdsutil "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\"" q q
```
  Uwaga 16.
  
  Polecenie należy zmodyfikować dalej, jeśli nazwa WYRÓŻNIAJĄC przywracanych obiektów zawiera przecinki. Zobacz poniższy przykład:
```
ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\"" q q
```
  Uwaga 16.
  
  Jeśli obiekty zostały przywrócone z taśmy, oznaczone autorytatywne i przywracanie nie działa zgodnie z oczekiwaniami, a następnie ta sama taśma jest używana do przywrócenia bazy danych NTDS po raz kolejny, wersja USN obiektów do przywrócenia autorytatywnie musi być zwiększona wyższa niż wartość domyślna 100000 lub obiekty nie będą replikowane po drugim przywróceniu. Poniższa składnia jest wymagana do utworzenia skryptu zwiększonej liczby wersji wyższej niż 100000 (wartość domyślna):
```
ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
```
  Uwaga 16.
  
  Jeśli skrypt wyświetli monit o potwierdzenie dla każdego przywracanego obiektu, możesz wyłączyć monity. Składnia umożliwiająca wyłączenie monitowania jest następująca:
```
ntdsutil "popups off" "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
```
2. Auth restore only the OU or Common-Name (CN) containers that hostd the deleted user accounts or groups (Auth restore only the OU or Common-Name(CN) containers that hostd the deleted user accounts or groups (Auth restore only the OU or Common-Name( CN) containers that hostd the deleted user accounts or groups
  
  Autorytatywne przywracanie całego poddrzewa jest prawidłowe, gdy jednostka organizacyjna docelowa polecenia ntdsutil autorytatywne przywracanie zawiera większość obiektów, które próbujesz autorytatywnie przywrócić. W idealnym przypadku docelowa jednostka organizacyjna zawiera wszystkie obiekty, które próbujesz autorytatywnie przywrócić.
  
  Przywracanie autorytatywne w poddrzewie jednostki organizacyjnej przywraca wszystkie atrybuty i obiekty znajdujące się w kontenerze. Wszelkie zmiany wprowadzone do czasu przywrócenia kopii zapasowej stanu systemu są przywracane do ich wartości w momencie tworzenia kopii zapasowej. W przypadku kont użytkowników, kont komputerów i grup zabezpieczeń wycofanie może oznaczać utratę najnowszych zmian haseł, katalogu macierzystego, ścieżki profilu, lokalizacji i informacji kontaktowych, członkostwa w grupach oraz deskryptorów zabezpieczeń zdefiniowanych na tych obiektach i atrybutach.
  
  Narzędzie Ntdsutil używa następującej składni:
```
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
```
  Na przykład aby autorytatywnie przywrócić jednostki organizacyjne Contoso.com Mayberry domeny, użyj następującego polecenia:
```
ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
```
  Uwaga 16.
  
  Powtórz ten krok dla każdej jednostki organizacyjnej równorzędnej, która hostuje usuniętych użytkowników lub grup.
  
  Ważne
  
  Po przywróceniu obiektu podrzędnego jednostki organizacyjnej wszystkie usunięte kontenery nadrzędne usuniętych obiektów podrzędnych muszą zostać jawnie przywrócone.
Jeśli usunięte obiekty zostały odzyskane na kontrolerze domeny odzyskiwania z powodu przywracania stanu systemu, usuń wszystkie sieciowe, które zapewniają łączność sieciową ze wszystkimi innymi kontrolerami domeny w lesie.
Uruchom ponownie kontroler domeny odzyskiwania w normalnym trybie usługi Active Directory.
Wpisz następujące polecenie, aby wyłączyć replikację przychodzącą do kontrolera domeny odzyskiwania:
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
Włącz łączność sieciową z powrotem z kontrolerem domeny odzyskiwania, którego stan systemu został przywrócony.
Ruch wychodzący replikuje obiekty przywrócone przez uwierzytelnianie z kontrolera domeny odzyskiwania do kontrolerów domeny w domenie i w lesie.

Podczas gdy replikacja przychodząca do kontrolera domeny odzyskiwania pozostaje wyłączona, wpisz następujące polecenie, aby wypchnąć obiekty przywrócone uwierzytelnianie do wszystkich kontrolerów domeny repliki między lokacjami w domenie i do wszystkich wykazów globalnych w lesie:
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Jeśli wszystkie poniższe instrukcje są prawdziwe, linki członkostwa w grupach zostaną ponownie skompilowane przy użyciu przywracania i replikacji usuniętych kont użytkowników. Przejdź do kroku 14.

Uwaga 16.

Jeśli co najmniej jedna z poniższych instrukcji nie jest prawdziwa, przejdź do kroku 12.
- Las działa na poziomie funkcjonalności systemu Windows Server 2003 i nowszego lasu lub na poziomie funkcjonalności lasu systemu Windows Server 2003 i nowszego tymczasowego lasu.
- Usunięto tylko konta użytkowników lub konta komputerów, a nie grupy zabezpieczeń.
- Usunięci użytkownicy zostali dodani do grup zabezpieczeń we wszystkich domenach w lesie po przejściu lasu do systemu Windows Server 2003 i nowszego poziomu funkcjonalności lasu.
Określ, które grupy zabezpieczeń były członkami usuniętych użytkowników, a następnie dodaj je do tych grup.

Uwaga 16.

Aby można było dodać użytkowników do grup, użytkownicy, którzy uwierzytelniają się przywrócone w kroku 7 i którzy są replikowane wychodząco w kroku 11, muszą być replikowane do kontrolerów domeny w domenie przywoływalnego kontrolera domeny i do wszystkich kontrolerów domeny wykazu globalnego w lesie.

Jeśli wdrożono narzędzie do aprowizacji grup w celu ponownego wypełniania członkostwa w grupach zabezpieczeń, użyj tego narzędzia, aby przywrócić usuniętych użytkowników do grup zabezpieczeń, których byli członkami przed ich usunięciem. Zrób to po wszystkich bezpośrednich i przechodnich kontrolerach domeny w domenie lasu i serwerach wykazu globalnego mają replikację przychodzącą przywróconych użytkowników uwierzytelniania i wszystkich przywróconych kontenerów.

Jeśli nie masz narzędzia, Ldifde.exe narzędzia wiersza polecenia i Groupadd.exe mogą zautomatyzować to zadanie po uruchomieniu na kontrolerze domeny odzyskiwania. Te narzędzia są dostępne w usługach pomocy technicznej produktów firmy Microsoft. W tym scenariuszu Ldifde.exe tworzy plik informacyjny LDIF (LDAP Data Interchange Format), który zawiera nazwy kont użytkowników i ich grup zabezpieczeń. Rozpoczyna się on od kontenera jednostki organizacyjnej, który określa administrator. Groupadd.exe następnie odczytuje memberOf atrybut dla każdego konta użytkownika wymienionego w pliku ldf. Następnie generuje oddzielne i unikatowe informacje LDIF dla każdej domeny w lesie. Te informacje LDIF zawierają nazwy grup zabezpieczeń skojarzonych z usuniętymi użytkownikami. Użyj informacji LDIF, aby dodać informacje z powrotem do użytkowników, aby można było przywrócić ich członkostwo w grupach. Wykonaj następujące kroki dla tej fazy odzyskiwania:
1. Zaloguj się do konsoli kontrolera domeny odzyskiwania przy użyciu konta użytkownika, które jest członkiem grupy zabezpieczeń administratora domeny.
2. Użyj polecenia Ldifde, aby zrzucić nazwy poprzednio usuniętych kont użytkowników i ich memberOf atrybutów, począwszy od najwyższego kontenera jednostki organizacyjnej, w którym wystąpiło usunięcie. Polecenie Ldifde używa następującej składni:
```
ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=user)" -l memberof -p subtree -f user_membership_after_restore.ldf
```
  Użyj następującej składni, jeśli usunięte konta komputerów zostały dodane do grup zabezpieczeń:
```
ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=computer)" -l memberof -p subtree -f computer_membership_after_restore.ldf
```
3. Uruchom polecenie , Groupadd aby utworzyć więcej plików ldf, które zawierają nazwy domen i nazwy globalnych i uniwersalnych grup zabezpieczeń, do których należeli usunięci użytkownicy. Polecenie Groupadd używa następującej składni:
```
Groupadd / after_restore users_membership_after_restore.ldf
```
  Powtórz to polecenie, jeśli usunięte konta komputerów zostały dodane do grup zabezpieczeń.
4. Zaimportuj każdy Groupaddplik _fully.qualified.domain.name.ldf utworzony w kroku 12c do pojedynczego kontrolera domeny wykazu globalnego odpowiadającego plikowi ldf każdej domeny. Użyj następującej składni Ldifde:
```
Ldifde -i -k -f Groupadd_<fully.qualified.domain.name>.ldf
```
  Uruchom plik ldf dla domeny, z której użytkownicy zostali usunięci na dowolnym kontrolerze domeny z wyjątkiem kontrolera domeny odzyskiwania.
5. W konsoli każdego kontrolera domeny używanego do importowania pliku Groupadd_<fully.qualified.domain.name.ldf> dla określonej domeny ruch wychodzący replikuje dodatki członkostwa grupy do innych kontrolerów domeny w domenie oraz do kontrolerów domeny wykazu globalnego w lesie. Aby to zrobić, użyj następującego polecenia:
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Aby wyłączyć replikację ruchu wychodzącego, wpisz następujący tekst, a następnie naciśnij ENTER:
```
repadmin /options +DISABLE_OUTBOUND_REPL
```
Uwaga 16.

Aby ponownie włączyć replikację ruchu wychodzącego, wpisz następujący tekst, a następnie naciśnij ENTER:
```
repadmin /options -DISABLE_OUTBOUND_REPL
```
Jeśli usunięci użytkownicy zostali dodani do grup lokalnych w domenach zewnętrznych, wykonaj jedną z następujących czynności:
- Ręcznie dodaj usuniętych użytkowników z powrotem do tych grup.
- Przywróć stan systemu i przywracanie uwierzytelniania każdego z lokalnych grup zabezpieczeń, które zawierają usuniętych użytkowników.
Sprawdź członkostwo w grupie w domenie kontrolera domeny odzyskiwania i w wykazach globalnych w innych domenach.
Utwórz nową kopię zapasową stanu systemu kontrolerów domeny w domenie kontrolera domeny odzyskiwania.
Powiadom wszystkich administratorów lasu, delegowanych administratorów, administratorów pomocy technicznej w lesie i użytkowników w domenie, że przywracanie użytkownika zostało ukończone.

Administratorzy pomocy technicznej mogą wymagać zresetowania haseł kont użytkowników i kont komputerów przywróconych przez uwierzytelnianie, których hasło domeny zostało zmienione po przywróceniu systemu.

Użytkownicy, którzy zmienili swoje hasła po utworzeniu kopii zapasowej stanu systemu, zobaczą, że najnowsze hasło już nie działa. Użytkownicy tacy próbują się zalogować przy użyciu poprzednich haseł, jeśli je znają. W przeciwnym razie administratorzy pomocy technicznej muszą zresetować hasło i wybrać użytkownika musi zmienić hasło przy następnym logowaniu pole wyboru. Należy to zrobić na kontrolerze domeny w tej samej lokacji usługi Active Directory, w których znajduje się użytkownik.

Metoda 3 . Autorytatywne przywracanie usuniętych użytkowników i usuniętych grup zabezpieczeń użytkowników dwa razy

W przypadku korzystania z tej metody należy wykonać następujące kroki wysokiego poziomu:

Sprawdź, czy wykaz globalny w domenie użytkownika nie został zreplikowany w usunięciu. Następnie uniemożliwić temu kontrolerowi domeny replikację przychodzącą usunięcie. Jeśli nie ma ukrytego wykazu globalnego, znajdź najnowszą kopię zapasową stanu systemu kontrolera domeny wykazu globalnego w domenie głównej usuniętego użytkownika.
Autorytatywnie przywróć wszystkie usunięte konta użytkowników i wszystkie grupy zabezpieczeń w domenie usuniętego użytkownika.
Poczekaj na kompleksową replikację przywróconych użytkowników i grup zabezpieczeń do wszystkich kontrolerów domeny w domenie usuniętego użytkownika oraz do kontrolerów domeny wykazu globalnego lasu.
Powtórz kroki 2 i 3, aby autorytatywnie przywrócić usuniętych użytkowników i grupy zabezpieczeń. (Przywracasz stan systemu tylko raz).
Jeśli usunięci użytkownicy byli członkami grup zabezpieczeń w innych domenach, autorytatywnie przywróć wszystkie grupy zabezpieczeń, do których należą usunięci użytkownicy w tych domenach. Lub jeśli kopie zapasowe stanu systemu są aktualne, autorytatywnie przywróć wszystkie grupy zabezpieczeń w tych domenach. Aby spełnić wymaganie, aby usunąć członków grupy, należy przywrócić przed grupami zabezpieczeń w celu naprawienia łączy członkostwa w grupach, należy przywrócić oba typy obiektów dwa razy w tej metodzie. Pierwsze przywrócenie powoduje umieszczenie wszystkich kont użytkowników i kont grup. Drugie przywracanie przywraca usunięte grupy i naprawia informacje o członkostwie w grupie, w tym informacje o członkostwie dla grup zagnieżdżonych.

Aby użyć metody 3, wykonaj następującą procedurę:

Sprawdź, czy kontroler domeny wykazu globalnego istnieje w domenie głównej usuniętych użytkowników i nie został zreplikowany w żadnej części usuwania.

Uwaga 16.

Skoncentruj się na katalogach globalnych w domenie, która ma najmniej częste harmonogramy replikacji. Jeśli te kontrolery domeny istnieją, użyj narzędzia wiersza polecenia Repadmin.exe, aby natychmiast wyłączyć replikację przychodzącą. W tym celu wykonaj następujące kroki:
1. Wybierz przycisk Start, a następnie wybierz pozycję Uruchom.
2. Wpisz polecenie cmd w polu Otwórz , a następnie wybierz przycisk OK.
3. Wpisz repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL polecenie w wierszu polecenia, a następnie naciśnij ENTER.
Uwaga 16.

Jeśli nie możesz natychmiast wydać polecenia Repadmin, usuń całą łączność sieciową z kontrolera domeny, dopóki nie będzie można użyć narzędzia Repadmin, aby wyłączyć replikację przychodzącą, a następnie natychmiast zwrócić łączność sieciową.

Ten kontroler domeny będzie nazywany kontrolerem domeny odzyskiwania.
Unikaj dodawania, usuwania i zmieniania następujących elementów do momentu ukończenia wszystkich kroków odzyskiwania. Zmiany obejmują resetowanie haseł przez użytkowników domeny, administratorów pomocy technicznej i administratorów w domenie, w której wystąpiło usunięcie, oprócz zmian członkostwa w grupach usuniętych użytkowników.
1. Konta użytkowników i atrybuty na kontach użytkowników
2. Konta i atrybuty komputerów na kontach komputerów
3. Konta usług
4. Grupy zabezpieczeń
  
  Uwaga 16.
  
  Szczególnie unikaj zmian członkostwa w grupach dla użytkowników, komputerów, grup i kont usług w lesie, w którym wystąpiło usunięcie.
5. Powiadom wszystkich administratorów lasu, administratorów delegowanych i administratorów pomocy technicznej w lesie tymczasowego stand-down. Ta funkcja stand-down jest wymagana w metodzie 2, ponieważ autorytatywnie przywracasz wszystkie usunięte grupy zabezpieczeń użytkowników. W związku z tym wszelkie zmiany wprowadzone w grupach po utracie kopii zapasowej stanu systemu.
Utwórz nową kopię zapasową stanu systemu w domenie, w której wystąpiło usunięcie. Możesz użyć tej kopii zapasowej, jeśli musisz wycofać zmiany.

Uwaga 16.

Jeśli kopie zapasowe stanu systemu są aktualne do czasu wystąpienia usunięcia, pomiń ten krok i przejdź do kroku 4.

Jeśli zidentyfikowano kontroler domeny odzyskiwania w kroku 1, utwórz kopię zapasową stanu systemu teraz.

Jeśli wszystkie wykazy globalne znajdujące się w domenie, w której wystąpiło usunięcie zreplikowane, utwórz kopię zapasową stanu systemu wykazu globalnego w domenie, w której wystąpiło usunięcie.

Podczas tworzenia kopii zapasowej można zwrócić kontroler domeny odzyskiwania z powrotem do jego bieżącego stanu. Jeśli pierwsza próba nie powiedzie się, wykonaj ponownie plan odzyskiwania.
Jeśli nie możesz znaleźć ukrytego kontrolera domeny wykazu globalnego w domenie, w której wystąpiło usunięcie użytkownika, znajdź najnowszą kopię zapasową stanu systemu kontrolera domeny wykazu globalnego w tej domenie. Ta kopia zapasowa stanu systemu powinna zawierać usunięte obiekty. Użyj tego kontrolera domeny jako kontrolera domeny odzyskiwania.

Tylko bazy danych kontrolerów domeny wykazu globalnego w domenie użytkownika zawierają informacje o członkostwie grupy dla domen zewnętrznych w lesie. Jeśli nie ma kopii zapasowej stanu systemu kontrolera domeny wykazu globalnego w domenie, w której użytkownicy zostali usunięci, nie można użyć atrybutu memberOf na przywróconych kontach użytkowników, aby określić członkostwo w globalnej lub uniwersalnej grupie lub odzyskać członkostwo w domenach zewnętrznych. Przejdź do kolejnego kroku. Jeśli istnieje zewnętrzny rekord członkostwa w grupach w domenach zewnętrznych, dodaj przywróconych użytkowników do grup zabezpieczeń w tych domenach po przywróceniu kont użytkowników.
Jeśli znasz hasło dla konta administratora trybu offline, uruchom kontroler domeny odzyskiwania w trybie Disrepair. Jeśli nie znasz hasła dla konta administratora trybu offline, zresetuj hasło, gdy kontroler domeny odzyskiwania jest nadal w normalnym trybie usługi Active Directory.

Za pomocą narzędzia wiersza polecenia setpwd można zresetować hasło na kontrolerach domeny z systemem Windows 2000 z dodatkiem SP2 lub nowszym, gdy są w trybie online usługi Active Directory.

Uwaga 16.

Firma Microsoft nie obsługuje już systemu Windows 2000.

Administratorzy kontrolerów domeny systemu Windows Server 2003 i nowszych mogą użyć set dsrm password polecenia w narzędziu wiersza polecenia Ntdsutil, aby zresetować hasło dla konta administratora trybu offline.

Aby uzyskać więcej informacji na temat resetowania konta administratora trybu przywracania usług katalogowych, zobacz Jak zresetować hasło konta administratora trybu przywracania usług katalogowych w systemie Windows Server.
Naciśnij F8 podczas procesu uruchamiania, aby uruchomić kontroler domeny odzyskiwania w trybie disrepair. Zaloguj się do konsoli kontrolera domeny odzyskiwania przy użyciu konta administratora trybu offline. Jeśli zresetujesz hasło w kroku 5, użyj nowego hasła.

Jeśli kontroler domeny odzyskiwania jest ukrytym kontrolerem domeny wykazu globalnego, nie przywracaj stanu systemu. Przejdź bezpośrednio do kroku 7.

Jeśli tworzysz kontroler domeny odzyskiwania przy użyciu kopii zapasowej stanu systemu, przywróć najnowszą kopię zapasową stanu systemu utworzoną na kontrolerze domeny odzyskiwania, który zawiera teraz usunięte obiekty.
Uwierzytelnianie przywraca usunięte konta użytkowników, usunięte konta komputerów lub usunięte grupy zabezpieczeń.

Uwaga 16.

Terminy przywracanie uwierzytelniania i przywracanie autorytatywne odnoszą się do procesu używania autorytatywnego polecenia przywracania w narzędziu wiersza polecenia Ntdsutil w celu przyrostowania numerów wersji określonych obiektów lub określonych kontenerów i wszystkich ich obiektów podrzędnych. Gdy tylko nastąpi kompleksowa replikacja, obiekty docelowe w lokalnej kopii kontrolera domeny odzyskiwania usługi Active Directory staną się autorytatywne na wszystkich kontrolerach domeny, które współużytkować tę partycję. Przywracanie autorytatywne różni się od przywracania stanu systemu. Przywracanie stanu systemu wypełnia lokalną kopię usługi Active Directory przywróconego kontrolera domeny z wersjami obiektów w momencie utworzenia kopii zapasowej stanu systemu.

Przywracanie autorytatywne odbywa się za pomocą narzędzia wiersza polecenia Ntdsutil, odwołując się do ścieżki nazwy domeny (dn) usuniętych użytkowników lub kontenerów hostujących usuniętych użytkowników.

Podczas przywracania uwierzytelniania należy użyć ścieżek nazw domen, które są tak niskie w drzewie domeny, jak muszą być. Celem jest uniknięcie przywracania obiektów, które nie są związane z usunięciem. Te obiekty mogą zawierać obiekty, które zostały zmodyfikowane po utworzeniu kopii zapasowej stanu systemu.

Przywracanie uwierzytelniania usuniętych użytkowników w następującej kolejności:
1. Uwierzytelnianie przywraca ścieżkę nazwy domeny (dn) dla każdego usuniętego konta użytkownika, konta komputera lub usuniętej grupy zabezpieczeń.
  
  Autorytatywne przywracanie określonych obiektów trwa dłużej, ale są mniej destrukcyjne niż autorytatywne przywracanie całego poddrzewa. Uwierzytelnianie przywraca najniższy wspólny kontener nadrzędny, który przechowuje usunięte obiekty.
  
  Narzędzie Ntdsutil używa następującej składni:
```
ntdsutil "authoritative restore" "restore object <object DN path>" q q
```
  Na przykład, aby autorytatywnie przywrócić usuniętego użytkownika John Doe w jednostki organizacyjnej Contoso.com Mayberry domeny, użyj następującego polecenia:
```
ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
```
  Aby autorytatywnie przywrócić usuniętą grupę zabezpieczeń ContosoPrintAccess w jednostki organizacyjnej Contoso.com Mayberry domeny, użyj następującego polecenia:
```
ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
```
  Ważne
  
  Użycie cudzysłowów jest wymagane.
  
  Korzystając z tego formatu Ntdsutil, można również zautomatyzować autorytatywne przywracanie wielu obiektów w pliku wsadowym lub skryptu.
  
  Uwaga 16.
  
  Ta składnia jest dostępna tylko w systemie Windows Server 2003 lub nowszym. Jedyną składnią w systemie Windows 2000 jest użycie: ntdsutil "authoritative restore" "restore subtree object DN path".
2. Auth restore only the OU or Common-Name (CN) containers that hostd the deleted user accounts or groups (Auth restore only the OU or Common-Name(CN) containers that hostd the deleted user accounts or groups (Auth restore only the OU or Common-Name( CN) containers that hostd the deleted user accounts or groups
  
  Autorytatywne przywracanie całego poddrzewa jest prawidłowe, gdy jednostka organizacyjna docelowa polecenia Ntdsutil Authoritative restore zawiera większość obiektów, które próbujesz autorytatywnie przywrócić. W idealnym przypadku docelowa jednostka organizacyjna zawiera wszystkie obiekty, które próbujesz autorytatywnie przywrócić.
  
  Przywracanie autorytatywne w poddrzewie jednostki organizacyjnej przywraca wszystkie atrybuty i obiekty, które znajdują się w kontenerze. Wszelkie zmiany wprowadzone do czasu przywrócenia kopii zapasowej stanu systemu są przywracane do ich wartości w momencie tworzenia kopii zapasowej. W przypadku kont użytkowników, kont komputerów i grup zabezpieczeń wycofanie może oznaczać utratę najnowszych zmian haseł, katalogu macierzystego, ścieżki profilu, lokalizacji i informacji kontaktowych, członkostwa w grupach oraz deskryptorów zabezpieczeń zdefiniowanych na tych obiektach i atrybutach.
  
  Narzędzie Ntdsutil używa następującej składni:
```
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
```
  Na przykład aby autorytatywnie przywrócić jednostki organizacyjne Contoso.com Mayberry domeny, użyj następującego polecenia:
```
ntdsutil "authoritative restore" "restore subtree ou=Mayberry,dc=contoso,dc=com" q q
```
  Uwaga 16.
  
  Powtórz ten krok dla każdej jednostki organizacyjnej równorzędnej, która hostuje usuniętych użytkowników lub grup.
  
  Ważne
  
  Po przywróceniu podrzędnego obiektu jednostki organizacyjnej wszystkie kontenery nadrzędne usuniętych obiektów podrzędnych muszą zostać jawnie przywrócone.
Uruchom ponownie kontroler domeny odzyskiwania w normalnym trybie usługi Active Directory.
Ruch wychodzący replikuje autorytatywnie przywrócone obiekty z kontrolera domeny odzyskiwania do kontrolerów domeny w domenie i w lesie.

Podczas gdy replikacja przychodząca do kontrolera domeny odzyskiwania pozostaje wyłączona, wpisz następujące polecenie, aby wypchnąć autorytatywnie przywrócone obiekty do wszystkich kontrolerów domeny repliki między lokacjami w domenie i do wykazu globalnego w lesie:
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Po replikacji wszystkich bezpośrednich i przechodnich kontrolerów domeny w domenie lasu i serwerach wykazu globalnego w autorytatywnie przywróconych użytkownikach i wszystkich przywróconych kontenerach przejdź do kroku 11.

Jeśli wszystkie poniższe instrukcje są prawdziwe, linki członkostwa w grupach zostaną ponownie skompilowane z przywróceniem usuniętych kont użytkowników. Przejdź do kroku 13.
- Las działa na poziomie funkcjonalności lasu systemu Windows Server 2003 lub nowszym lub na poziomie funkcjonalności lasu tymczasowego systemu Windows Server 2003 lub nowszego.
- Nie usunięto tylko grup zabezpieczeń.
- Wszyscy usunięci użytkownicy zostali dodani do wszystkich grup zabezpieczeń we wszystkich domenach w lesie.
Rozważ użycie polecenia , Repadmin aby przyspieszyć replikację wychodzącą użytkowników z przywróconego kontrolera domeny.

Jeśli grupy zostały również usunięte lub jeśli nie możesz zagwarantować, że wszyscy usunięci użytkownicy zostali dodani do wszystkich grup zabezpieczeń po przejściu do systemu Windows Server 2003 lub nowszego poziomu funkcjonalności tymczasowej lub lasu, przejdź do kroku 12.
Powtórz kroki 7, 8 i 9 bez przywracania stanu systemu, a następnie przejdź do kroku 11.
Jeśli usunięci użytkownicy zostali dodani do grup lokalnych w domenach zewnętrznych, wykonaj jedną z następujących czynności:
- Ręcznie dodaj usuniętych użytkowników z powrotem do tych grup.
- Przywróć stan systemu i przywracanie uwierzytelniania każdego z lokalnych grup zabezpieczeń, które zawierają usuniętych użytkowników.
Sprawdź członkostwo w grupie w domenie kontrolera domeny odzyskiwania i w wykazach globalnych w innych domenach.
Użyj następującego polecenia, aby włączyć replikację przychodzącą do kontrolera domeny odzyskiwania:
```
repadmin /options recovery dc name -DISABLE_INBOUND_REPL
```
Utwórz nową kopię zapasową stanu systemu kontrolerów domeny w domenie i wykazach globalnych kontrolera domeny odzyskiwania w innych domenach w lesie.
Powiadom wszystkich administratorów lasu, delegowanych administratorów, administratorów pomocy technicznej w lesie i użytkowników w domenie, że przywracanie użytkownika zostało ukończone.

Administratorzy pomocy technicznej mogą wymagać zresetowania haseł przywróconych kont użytkowników i kont komputerów, których hasło domeny zostało zmienione po przywróceniu systemu.

Użytkownicy, którzy zmienili swoje hasła po utworzeniu kopii zapasowej stanu systemu, zobaczą, że najnowsze hasło już nie działa. Użytkownicy tacy próbują się zalogować przy użyciu poprzednich haseł, jeśli je znają. W przeciwnym razie administratorzy pomocy technicznej muszą zresetować hasło, gdy użytkownik musi zmienić hasło przy następnym logowaniu pole wyboru. Należy to zrobić na kontrolerze domeny w tej samej lokacji usługi Active Directory, w których znajduje się użytkownik.

Jak odzyskać usuniętych użytkowników na kontrolerze domeny, gdy nie masz prawidłowej kopii zapasowej stanu systemu

Jeśli brakuje bieżących kopii zapasowych stanu systemu w domenie, w której usunięto konta użytkowników lub grupy zabezpieczeń, a usunięcie miało miejsce w domenach zawierających kontrolery domeny systemu Windows Server 2003 i nowszych, wykonaj następujące kroki, aby ręcznie ponownie sanimować usunięte obiekty z usuniętego kontenera obiektów:

Wykonaj kroki opisane w poniższej sekcji, aby ponownie połączyć usuniętych użytkowników, komputery, grupy lub wszystkie z nich:
Jak ręcznie cofnąć usuwanie obiektów w kontenerze usuniętych obiektów
Użyj Użytkownicy i komputery usługi Active Directory, aby zmienić konto z wyłączone na włączone. (Konto jest wyświetlane w oryginalnej jednostki organizacyjnej).
Użyj funkcji resetowania zbiorczego w systemie Windows Server 2003 i nowszej wersji Użytkownicy i komputery usługi Active Directory, aby wykonać resetowanie zbiorcze na haśle musi zmienić się przy następnym ustawieniu zasad logowania, w katalogu głównym, na ścieżce profilu i członkostwie grupy dla usuniętego konta zgodnie z potrzebami. Można również użyć programowego odpowiednika tych funkcji.
Jeśli użyto programu Microsoft Exchange 2000 lub nowszego, napraw skrzynkę pocztową programu Exchange dla usuniętego użytkownika.
Jeśli użyto programu Exchange 2000 lub nowszego, ponownie skojarz usuniętego użytkownika ze skrzynką pocztową programu Exchange.
Sprawdź, czy odzyskany użytkownik może zalogować się i uzyskać dostęp do katalogów lokalnych, katalogów udostępnionych i plików.

Niektóre lub wszystkie te kroki odzyskiwania można zautomatyzować przy użyciu następujących metod:

Napisz skrypt, który automatyzuje ręczne kroki odzyskiwania wymienione w kroku 1. Podczas pisania takiego skryptu rozważ określenie zakresu usuniętego obiektu według daty, godziny i ostatniego znanego kontenera nadrzędnego, a następnie zautomatyzowanie ponownego reanimacji usuniętego obiektu. Aby zautomatyzować reanimację, zmień isDeleted atrybut z TRUE na FALSE i zmień względną nazwę wyróżniającą na wartość zdefiniowaną w atrybucie lub w lastKnownParent nowym kontenerze jednostki organizacyjnej lub nazwy pospolitej (CN), który jest określony przez administratora. (Względna nazwa wyróżniająca jest również znana jako nazwa RDN).
Uzyskaj program firmy innej niż Microsoft, który obsługuje reanimację usuniętych obiektów w systemie Windows Server 2003 i nowszych kontrolerach domeny. Jednym z takich narzędzi jest AdRestore. Usługa AdRestore używa systemu Windows Server 2003 i nowszych elementów pierwotnych, aby cofnąć usunięcie pojedynczych obiektów. Aelita Software Corporation i Commvault Systems oferują również produkty, które obsługują funkcję cofania w systemie Windows Server 2003 i nowszych kontrolerach domeny.

Aby uzyskać usługę AdRestore, zobacz AdRestore v1.1.

Firma Microsoft udostępnia informacje dotyczące sposobów kontaktowania się z innymi firmami, aby ułatwić uzyskanie niezbędnej pomocy technicznej. Informacje te mogą zostać zmienione bez powiadomienia. Firma Microsoft nie gwarantuje dokładności tych informacji kontaktowych innych firm.

Jak ręcznie cofnąć usuwanie obiektów w kontenerze usuniętego obiektu

Aby ręcznie cofnąć usuwanie obiektów w kontenerze usuniętego obiektu, wykonaj następujące kroki:

Wybierz pozycję Start, wybierz pozycję Uruchom, a następnie wpisz ldp.exe.

ldp.exe jest dostępna:
- Na komputerach, na których zainstalowano rolę kontrolera domeny.
- Na komputerach, na których zainstalowano narzędzia administracji zdalnej serwera (RSAT).
Użyj menu Połączenie w Ldp, aby wykonać operacje łączenia i operacje powiązania z systemem Windows Server 2003 i nowszym kontrolerem domeny.

Określ poświadczenia administratora domeny podczas operacji powiązania.
W menu Opcje wybierz pozycję Kontrolki.
Na liście Załaduj wstępnie zdefiniowane wybierz pozycję Return Deleted Objects (Zwracanie usuniętych obiektów).

Uwaga 16.

Kontrolka 1.2.840.113556.1.4.417 zostanie przeniesiona do okna Kontrolki aktywne.
W obszarze Typ kontrolki wybierz pozycję Serwer, a następnie wybierz przycisk OK.
W menu Widok wybierz pozycję Drzewo, wpisz ścieżkę nazwy wyróżniającej kontenera usuniętych obiektów w domenie, w której wystąpiło usunięcie, a następnie wybierz przycisk OK.

Uwaga 16.

Ścieżka nazwy wyróżniającej jest również nazywana ścieżką DN. Jeśli na przykład usunięcie miało miejsce w domenie contoso.com , ścieżka DN będzie następującą ścieżką:
cn=deleted Objects,dc=contoso,dc=com
W lewym okienku okna kliknij dwukrotnie usunięty kontener obiektów.

Uwaga 16.

W wyniku wyszukiwania zapytania Idap domyślnie zwracanych jest tylko 1000 obiektów. Na przykład fot, jeśli w kontenerze Deleted Objects istnieje więcej niż 1000 obiektów, nie wszystkie obiekty są wyświetlane w tym kontenerze. Jeśli obiekt docelowy nie jest wyświetlany, użyj narzędzia ntdsutil, a następnie ustaw maksymalną liczbę przy użyciu parametru maxpagesize , aby uzyskać wyniki wyszukiwania .
Kliknij dwukrotnie obiekt, który chcesz cofnąć lub ponownie uruchomić.
Kliknij prawym przyciskiem myszy obiekt, który chcesz ponownie ożywić, a następnie wybierz polecenie Modyfikuj.

Zmień wartość atrybutu isDeleted i ścieżki DN w jednej operacji modyfikowania protokołu LDAP (Lightweight Directory Access Protocol). Aby skonfigurować okno dialogowe Modyfikowanie , wykonaj następujące kroki:
1. W polu Edytuj atrybut wpisu wpisz isDeleted. Pozostaw pole Wartość puste.
2. Wybierz przycisk Usuń, a następnie wybierz Enter, aby wykonać pierwsze z dwóch wpisów w oknie dialogowym Lista wpisów.
  
  Ważne
  
  Nie wybieraj pozycji Uruchom.
3. W polu Atrybut wpisz distinguishedName.
4. W polu Wartości wpisz nową ścieżkę DN reanimowanego obiektu.
  
  Aby na przykład ponownie połączyć konto użytkownika JohnDoe z jednostki organizacyjnej Mayberry, użyj następującej ścieżki DN: cn= JohnDoe,ou= Mayberry,dc= contoso,dc= com
  
  Uwaga 16.
  
  Jeśli chcesz ponownie przywrócić usunięty obiekt do oryginalnego kontenera, dołącz wartość ostatniego atrybutu lastKnownParent obiektu usuniętego do jego wartości CN, a następnie wklej pełną ścieżkę DN w polu Wartości .
5. W polu Operacja wybierz pozycję Zamień.
6. Wybierz ENTER.
7. Zaznacz pole wyboru Synchroniczne.
8. Zaznacz pole wyboru Rozszerzone.
9. Wybierz pozycję Run (Uruchom).
Po ponownym ożywieniu obiektów wybierz pozycję Kontrolki w menu Opcje, wybierz przycisk Wyewidencjonuj, aby usunąć (1.2.840.113556.1.4.417) z listy aktywnych kontrolek.
Zresetuj hasła, profile, katalogi główne i członkostwa w grupach dla usuniętych użytkowników.

Po usunięciu obiektu wszystkie wartości atrybutów z wyjątkiem SID, ObjectGUID, LastKnownParenti SAMAccountName zostały usunięte.
Włącz reanimowane konto w Użytkownicy i komputery usługi Active Directory.

Uwaga 16.

Reanimowany obiekt ma ten sam podstawowy identyfikator SID, który miał przed usunięciem, ale obiekt musi zostać ponownie dodany do tych samych grup zabezpieczeń, aby mieć ten sam poziom dostępu do zasobów. Pierwsza wersja systemu Windows Server 2003 i nowszych nie zachowuje atrybutu sIDHistory na reanimowanych kontach użytkowników, kontach komputerów i grupach zabezpieczeń. System Windows Server 2003 lub nowszy z dodatkiem Service Pack 1 zachowuje sIDHistory atrybut usuniętych obiektów.
Usuń atrybuty programu Microsoft Exchange i ponownie połącz użytkownika ze skrzynką pocztową programu Exchange.

Uwaga 16.

Reanimacja usuniętych obiektów jest obsługiwana w przypadku usunięcia na kontrolerze domeny systemu Windows Server 2003 i nowszym. Ponowne reanimacja usuniętych obiektów nie jest obsługiwana, gdy usunięcie występuje na kontrolerze domeny systemu Windows 2000, który następnie został uaktualniony do systemu Windows Server 2003 i nowszych.

Uwaga 16.

Jeśli usunięcie nastąpi na kontrolerze domeny systemu Windows 2000 w domenie, lastParentOf atrybut nie zostanie wypełniony na kontrolerach domeny systemu Windows Server 2003 i nowszych.

Jak określić, kiedy i gdzie wystąpiło usunięcie

Gdy użytkownicy zostaną usunięci z powodu zbiorczego usunięcia, warto dowiedzieć się, skąd pochodzi usunięcie. W tym celu wykonaj następujące kroki:

Aby zlokalizować usunięte podmioty zabezpieczeń, wykonaj kroki od 1 do 7 w sekcji Jak ręcznie cofnąć usuwanie obiektów w sekcji kontenera usuniętego obiektu. Jeśli drzewo zostało usunięte, wykonaj następujące kroki, aby zlokalizować kontener nadrzędny usuniętego obiektu.
Skopiuj wartość atrybutu objectGUID do schowka systemu Windows. Tę wartość można wkleić po wprowadzeniu Repadmin polecenia w kroku 4.
W wierszu polecenia uruchom następujące polecenie:
```
repadmin /showmeta GUID=<objectGUID> <FQDN>
```
Jeśli na przykład objectGUID usunięty obiekt lub kontener to 791273b2-eba7-4285-a117-aa804ea76e95, a w pełni kwalifikowana nazwa domeny (FQDN) to dc.contoso.com, uruchom następujące polecenie:
```
repadmin /showmeta GUID=791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com
```
Składnia tego polecenia musi zawierać identyfikator GUID usuniętego obiektu lub kontenera oraz nazwę FQDN serwera, z którego chcesz pochodzić.

W danych wyjściowych Repadmin polecenia znajdź źródłowy datę, godzinę i kontroler domeny dla atrybutu isDeleted . Na przykład informacje dotyczące atrybutu isDeleted są wyświetlane w piątym wierszu następujących przykładowych danych wyjściowych:

Loc.USN	Źródłowy kontroler domeny	Org.USN	Org.Time/Date	VER	Atrybut
134759	Default-First-Site-Name\NA-DC1	134759	DateTime	1	objectClass
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	2	Ou
134759	Default-First-Site-Name\NA-DC1	134759	DateTime	1	instanceType
134759	Default-First-Site-Name\NA-DC1	134759	DateTime	1	whenCreated
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	1	isDeleted
134759	Default-First-Site-Name\NA-DC1	134759	DateTime	1	nTSecurityDescriptor
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	2	name
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	1	lastKnownParent
134760	Default-First-Site-Name\NA-DC1	134760	DateTime	2	objectCategory

Jeśli nazwa źródłowego kontrolera domeny jest wyświetlana jako 32-znakowy identyfikator GUID alfanumeryczny, użyj polecenia Ping, aby rozpoznać identyfikator GUID do adresu IP i nazwę kontrolera domeny, który pochodzi z usunięcia. Polecenie Ping używa następującej składni:
```
ping -a <originating DC GUID>._msdomain controllers.<fully qualified path for forest root domain>
```
Uwaga 16.

Opcja -a uwzględnia wielkość liter. Użyj w pełni kwalifikowanej nazwy domeny głównej lasu niezależnie od domeny, w którym znajduje się źródłowy kontroler domeny.

Jeśli na przykład źródłowy kontroler domeny znajduje się w dowolnej domenie w Contoso.com lesie i miał identyfikator GUID 644eb7e7-1566-4f29-a778-4b487637564b, uruchom następujące polecenie:
```
ping -a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com
```
Dane wyjściowe zwrócone przez to polecenie są podobne do następujących:
```
Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:

Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
```

Jak zminimalizować wpływ operacji usuwania zbiorczego w przyszłości

Klucze, które minimalizują wpływ zbiorczego usuwania użytkowników, komputerów i grup zabezpieczeń, to:

Upewnij się, że masz aktualne kopie zapasowe stanu systemu.
Ściśle kontroluj dostęp do uprzywilejowanych kont użytkowników.
Ściśle kontroluj, co te konta mogą robić.
Przećwicz odzyskiwanie po usunięciu zbiorczym.

Zmiany stanu systemu są wprowadzane codziennie. Te zmiany mogą obejmować:

Resetowanie haseł na kontach użytkowników i kontach komputerów
Zmiany członkostwa w grupach
Inne zmiany atrybutów na kontach użytkowników, kontach komputerów i grupach zabezpieczeń.

Jeśli sprzęt lub oprogramowanie ulegnie awarii lub lokacja wystąpi inna awaria, należy przywrócić kopie zapasowe wprowadzone po każdym znaczącym zestawie zmian w każdej domenie i lokacji usługi Active Directory w lesie. Jeśli nie zachowasz bieżących kopii zapasowych, możesz utracić dane lub może być konieczne wycofanie przywróconych obiektów.

Firma Microsoft zaleca wykonanie następujących kroków, aby zapobiec usuwaniu zbiorczemu:

Nie udostępniaj hasła dla wbudowanych kont administratorów ani nie zezwalaj na udostępnianie typowych kont użytkowników administracyjnych. Jeśli hasło wbudowanego konta administratora jest znane, zmień hasło i zdefiniuj proces wewnętrzny, który zniechęca do jego użycia. Zdarzenia inspekcji dla udostępnionych kont użytkowników uniemożliwiają określenie tożsamości użytkownika, który wprowadza zmiany w usłudze Active Directory. W związku z tym należy zniechęcić do korzystania z kont użytkowników udostępnionych.
Rzadko zdarza się, że konta użytkowników, konta komputerów i grupy zabezpieczeń są celowo usuwane. Dotyczy to szczególnie usuwania drzewa. Usuń skojarzenie możliwości administratorów usług i delegowanych w celu usunięcia tych obiektów z możliwości tworzenia kont użytkowników, kont komputerów, grup zabezpieczeń, kontenerów jednostek organizacyjnych i ich atrybutów oraz zarządzania nimi. Przyznaj tylko najbardziej uprzywilejowanym kontom użytkowników lub grupom zabezpieczeń prawo do usuwania drzewa. Te uprzywilejowane konta użytkowników mogą obejmować administratorów przedsiębiorstwa.
Przyznaj administratorom delegowanym dostęp tylko do klasy obiektu, którą ci administratorzy mogą zarządzać. Na przykład podstawowym zadaniem administratora pomocy technicznej jest modyfikowanie właściwości na kontach użytkowników. Nie ma uprawnień do tworzenia i usuwania kont komputerów, grup zabezpieczeń ani kontenerów jednostek organizacyjnych. To ograniczenie dotyczy również uprawnień usuwania dla administratorów innych określonych klas obiektów.
Eksperymentuj z ustawieniami inspekcji, aby śledzić operacje usuwania w domenie laboratorium. Po zapoznaniu się z wynikami zastosuj najlepsze rozwiązanie do domeny produkcyjnej.
Hurtowa kontrola dostępu i inspekcja zmian w kontenerach hostujących dziesiątki tysięcy obiektów może znacznie zwiększyć bazę danych usługi Active Directory, zwłaszcza w domenach systemu Windows 2000. Użyj domeny testowej, która dubluje domenę produkcyjną, aby ocenić potencjalne zmiany w celu zwolnienia miejsca na dysku. Sprawdź woluminy dysku twardego, które hostują pliki Ntds.dit i pliki dziennika kontrolerów domeny w domenie produkcyjnej, aby uzyskać wolne miejsce na dysku. Unikaj ustawiania kontroli dostępu i inspekcji zmian na głównym kontrolerze sieci domeny. Wprowadzenie tych zmian byłoby niepotrzebnie stosowane do wszystkich obiektów wszystkich klas we wszystkich kontenerach w partycji. Na przykład należy unikać wprowadzania zmian w systemie nazw domen (DNS) i rejestracji rekordów śledzenia linków rozproszonych (DLT) w folderze CN=SYSTEM partycji domeny.
Użyj struktury jednostki organizacyjnej najlepszych rozwiązań, aby oddzielić konta użytkowników, konta komputerów, grupy zabezpieczeń i konta usług w ramach własnej jednostki organizacyjnej. W przypadku korzystania z tej struktury można zastosować listy kontroli dostępu (DACLS) według uznania do obiektów pojedynczej klasy na potrzeby administracji delegowanej. I można umożliwić przywrócenie obiektów zgodnie z klasą obiektów, jeśli trzeba je przywrócić. Struktura jednostki organizacyjnej z najlepszymi rozwiązaniami została omówiona w sekcji Tworzenie projektu jednostki organizacyjnej w następującym artykule:
Najlepsze rozwiązanie dotyczące projektowania usługi Active Directory do zarządzania sieciami systemu Windows
Przetestuj zbiorcze usunięcia w środowisku laboratoryjnym, które odzwierciedla domenę produkcyjną. Wybierz metodę odzyskiwania, która ma sens, a następnie dostosuj ją do swojej organizacji. Możesz chcieć zidentyfikować:
- Nazwy kontrolerów domeny w każdej domenie, która jest regularnie tworzona
- Gdzie są przechowywane obrazy kopii zapasowej
  W idealnym przypadku te obrazy są przechowywane na dodatkowym dysku twardym lokalnym w katalogu globalnym w każdej domenie w lesie.
- Którzy członkowie organizacji pomocy technicznej do kontaktu
- Najlepszy sposób na kontakt
Większość zbiorczych operacji usuwania kont użytkowników, kont komputerów i grup zabezpieczeń, które firma Microsoft widzi, są przypadkowe. Omówienie tego scenariusza z personelem IT i opracowanie wewnętrznego planu działania. Skup się na wczesnym wykrywaniu. I zwracać funkcje do użytkowników domeny i firmy tak szybko, jak to możliwe. Można również wykonać kroki, aby zapobiec przypadkowemu usunięciu zbiorczemu, edytując listy kontroli dostępu (ACL) jednostek organizacyjnych.

Aby uzyskać więcej informacji na temat używania narzędzi interfejsu systemu Windows w celu zapobiegania przypadkowym usunięciom zbiorczym, zobacz Ochrona przed przypadkowymi usunięciami zbiorczymi w usłudze Active Directory.

Narzędzia i skrypty, które mogą ułatwić odzyskiwanie po usunięciu zbiorczym

Narzędzie wiersza polecenia Groupadd.exe odczytuje memberOf atrybut w kolekcji użytkowników w jednostki organizacyjnej i tworzy plik ldf, który dodaje każde przywrócone konto użytkownika do grup zabezpieczeń w każdej domenie w lesie.

Groupadd.exe automatycznie odnajduje domeny i grupy zabezpieczeń, do których zostali usunięci użytkownicy, i dodaje je z powrotem do tych grup. Ten proces wyjaśniono bardziej szczegółowo w kroku 11 metody 1.

Groupadd.exe działa na kontrolerach domeny systemu Windows Server 2003 i nowszych.

Groupadd.exe używa następującej składni:

groupadd / after_restore ldf_file [/ before_restore ldf_file ]

ldf_file W tym miejscu reprezentuje nazwę pliku ldf, który ma być używany z poprzednim argumentem, after_restore reprezentuje źródło danych pliku użytkownika i before_restore reprezentuje dane użytkownika ze środowiska produkcyjnego. (Źródło danych pliku użytkownika to dobre dane użytkownika).

Aby uzyskać Groupadd.exe, skontaktuj się z pomocą techniczną firmy Microsoft.

Produkty innych firm omówione w tym artykule są wytwarzane przez producentów niezależnych od firmy Microsoft. Firma Microsoft nie udziela żadnych gwarancji, dorozumianych ani żadnego innego rodzaju, w odniesieniu do wydajności lub niezawodności tych produktów.

Informacje

Aby uzyskać więcej informacji na temat korzystania z funkcji Kosza usługi AD zawartej w systemie Windows Server 2008 R2, zobacz Przewodnik krok po kroku kosza usługi Active Directory.

Udostępnij za pośrednictwem

Jak przywrócić usunięte konta użytkowników i ich członkostwa w grupach w usłudze Active Directory

Wprowadzenie

Więcej informacji

Metoda 1 — przywracanie usuniętych kont użytkowników, a następnie dodawanie przywróconych użytkowników z powrotem do grup przy użyciu narzędzia wiersza polecenia Ntdsutil.exe

Metoda 2 — przywracanie usuniętych kont użytkowników, a następnie dodawanie przywróconych użytkowników z powrotem do ich grup

Metoda 3 . Autorytatywne przywracanie usuniętych użytkowników i usuniętych grup zabezpieczeń użytkowników dwa razy

Jak odzyskać usuniętych użytkowników na kontrolerze domeny, gdy nie masz prawidłowej kopii zapasowej stanu systemu

Jak ręcznie cofnąć usuwanie obiektów w kontenerze usuniętego obiektu

Jak określić, kiedy i gdzie wystąpiło usunięcie

Jak zminimalizować wpływ operacji usuwania zbiorczego w przyszłości

Narzędzia i skrypty, które mogą ułatwić odzyskiwanie po usunięciu zbiorczym

Informacje

Opinia

Dodatkowe zasoby