Como restaurar contas de usuário excluídas e suas associações de grupo no Active Directory

2025-01-15

Este artigo fornece informações sobre como restaurar contas de usuário excluídas e associações de grupo no Active Directory.

Número original do KB: 840001

Introdução

Você pode usar vários métodos para restaurar contas de usuário, contas de computador e grupos de segurança excluídos. Esses objetos são conhecidos coletivamente como entidades de segurança.

O método mais comum é habilitar o recurso Lixeira do AD com suporte em controladores de domínio baseados no Windows Server 2008 R2 e posterior. Para obter mais informações sobre esse recurso, incluindo como habilitá-lo e restaurar objetos, consulte Guia passo a passo da Lixeira do Active Directory.

Se esse método não estiver disponível para você, os três métodos a seguir poderão ser usados. Em todos os três métodos, você restaura autoritativamente os objetos excluídos e, em seguida, restaura as informações de associação de grupo para as entidades de segurança excluídas. Ao restaurar um objeto excluído, você deve restaurar os valores anteriores dos member atributos e memberOf na entidade de segurança afetada.

Observação

A recuperação de objetos excluídos no Active Directory pode ser simplificada habilitando o recurso Lixeira do AD com suporte em controladores de domínio baseados no Windows Server 2008 R2 e posterior. Para obter mais informações sobre esse recurso, incluindo como habilitá-lo e restaurar objetos, consulte Guia passo a passo da Lixeira do Active Directory.

Mais informações

Os métodos 1 e 2 fornecem uma experiência melhor para usuários e administradores de domínio. Esses métodos preservam as adições aos grupos de segurança que foram feitas entre o momento do último backup de estado do sistema e o momento em que a exclusão ocorreu. No método 3, você não faz ajustes individuais nas entidades de segurança. Em vez disso, você reverte as associações do grupo de segurança para seu estado no momento do último backup.

A maioria das exclusões em grande escala são acidentais. A Microsoft recomenda que você execute várias etapas para impedir que outras pessoas excluam objetos em massa.

Observação

Para evitar a exclusão ou movimentação acidental de objetos (especialmente unidades organizacionais), duas entradas de controle de acesso (ACEs) podem ser adicionadas ao descritor de segurança de cada objeto (DENY DELETE & DELETE TREE) E UMA ACEs (entradas de controle de acesso negado) pode ser adicionada ao descritor de segurança do PAI de cada objeto (DENY DELETE CHILD). Para fazer isso, use Usuários e Computadores do Active Directory, ADSIEdit, LDP ou a ferramenta de linha de comando DSACLS. Você também pode alterar as permissões padrão no esquema do AD para unidades organizacionais para que essas ACEs sejam incluídas por padrão.

Por exemplo, para impedir que a unidade organizacional chamada CONTOSO.COM seja movida ou excluída acidentalmente da unidade organizacional pai chamada MinhaEmpresa, faça a seguinte configuração:

Para a unidade organizacional MinhaEmpresa , adicione DENY ACE para Todos para DELETE CHILD com o escopo Somente este objeto:

DSACLS "OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:DC"/

Na unidade organizacional Usuários, adicione DENY ACE para todos a DELETE e DELETE TREE com o escopo Somente este objeto:

DSACLS "OU=Users,OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:SDDT"

O snap-in Usuários e Computadores do Active Directory no Windows Server 2008 inclui uma caixa de seleção Proteger objeto contra exclusão acidental na guia Objeto .

Observação

A caixa de seleção Recursos avançados deve estar habilitada para exibir essa guia.

Quando você cria uma unidade organizacional usando Usuários e Computadores do Active Directory no Windows Server 2008, a caixa de seleção Proteger o contêiner contra exclusão acidental é exibida. Por padrão, a caixa de seleção está marcada e pode ser desmarcada.

Embora você possa configurar todos os objetos no Active Directory usando essas ACEs, elas são mais adequadas para unidades organizacionais. A exclusão ou movimentos de todos os objetos folha podem ter um efeito importante. Essa configuração impede tais exclusões ou movimentos. Para realmente excluir ou mover um objeto usando essa configuração, as ACEs de negação devem ser removidas primeiro.

Este artigo discute como restaurar contas de usuário, contas de computador e suas associações de grupo depois que elas forem excluídas do Active Directory. Em variações desse cenário, contas de usuário, contas de computador ou grupos de segurança podem ter sido excluídos individualmente ou em alguma combinação. Em todos esses casos, as mesmas etapas iniciais se aplicam. Você restaura com autoridade ou restaura autenticamente os objetos que foram excluídos inadvertidamente. Alguns objetos excluídos exigem mais trabalho para serem restaurados. Esses objetos incluem objetos como contas de usuário que contêm atributos que são links de retorno dos atributos de outros objetos. Dois desses atributos são managedBy e memberOf.

Ao adicionar entidades de segurança, como uma conta de usuário, um grupo de segurança ou uma conta de computador a um grupo de segurança, você faz as seguintes alterações no Active Directory:

O nome da entidade de segurança é adicionado ao atributo de membro de cada grupo de segurança.
Para cada grupo de segurança do qual o usuário, o computador ou o grupo de segurança é membro, um link regressivo é adicionado ao atributo da memberOf entidade de segurança.

Da mesma forma, quando um usuário, um computador ou um grupo é excluído do Active Directory, ocorrem as seguintes ações:

A entidade de segurança excluída é movida para o contêiner de objetos excluídos.
Alguns valores de atributo, incluindo o memberOf atributo, são removidos da entidade de segurança excluída.
As entidades de segurança excluídas são removidas de todos os grupos de segurança dos quais eram membros. Em outras palavras, as entidades de segurança excluídas são removidas do atributo de membro de cada grupo de segurança.

Quando você recupera entidades de segurança excluídas e restaura suas associações de grupo, cada entidade de segurança deve existir no Active Directory antes de restaurar sua associação de grupo. O membro pode ser um usuário, um computador ou outro grupo de segurança. Para reafirmar essa regra de forma mais ampla, um objeto que contém atributos cujos valores são links regressivos deve existir no Active Directory antes que o objeto que contém esse link de encaminhamento possa ser restaurado ou modificado.

Este artigo se concentra em como recuperar contas de usuário excluídas e suas associações em grupos de segurança. Seus conceitos se aplicam igualmente a outras exclusões de objetos. Os conceitos deste artigo se aplicam igualmente a objetos excluídos cujos valores de atributo usam links de encaminhamento e links de retorno para outros objetos no Active Directory.

Você pode usar qualquer um dos três métodos para recuperar entidades de segurança. Ao usar o método 1, você deixa em vigor todas as entidades de segurança que foram adicionadas a qualquer grupo de segurança na floresta. E você adiciona apenas entidades de segurança que foram excluídas de seus respectivos domínios de volta aos seus grupos de segurança. Por exemplo, você faz um backup do estado do sistema, adiciona um usuário a um grupo de segurança e restaura o backup do estado do sistema. Ao usar os métodos 1 ou 2, você preserva todos os usuários que foram adicionados a grupos de segurança que contêm usuários excluídos entre as datas em que o backup de estado do sistema foi criado e a data em que o backup foi restaurado. Ao usar o método 3, você reverte as associações de grupo de segurança para todos os grupos de segurança que contêm usuários excluídos para seu estado no momento do backup de estado do sistema.

Método 1 - Restaure as contas de usuário excluídas e, em seguida, adicione os usuários restaurados de volta aos seus grupos usando a ferramenta de linha de comando Ntdsutil.exe

A ferramenta de linha de comando Ntdsutil.exe permite restaurar os backlinks de objetos excluídos. Dois arquivos são gerados para cada operação de restauração autoritativa. Um arquivo contém uma lista de objetos restaurados com autoridade. O outro arquivo é um arquivo .ldf usado com o utilitário Ldifde.exe. Esse arquivo é usado para restaurar os backlinks para os objetos que são restaurados com autoridade. Uma restauração autoritativa de um objeto de usuário também gera arquivos LDIF (Formato de Intercâmbio de Dados LDAP) com a associação ao grupo. Este método evita uma restauração dupla.

Ao usar esse método, você executa as seguintes etapas de alto nível:

Verifique se um catálogo global no domínio do usuário não foi replicado na exclusão. E então impedir que esse catálogo global seja replicado. Se não houver um catálogo global latente, localize o backup de estado do sistema mais atual de um controlador de domínio de catálogo global no domínio inicial do usuário excluído.
A autenticação restaura todas as contas de usuário excluídas e, em seguida, permite a replicação de ponta a ponta dessas contas de usuário.
Adicione todos os usuários restaurados de volta a todos os grupos em todos os domínios dos quais as contas de usuário eram membros antes de serem excluídas.

Para usar o método 1, siga este procedimento:

Verifique se há um controlador de domínio de catálogo global no domínio inicial do usuário excluído que não replicou nenhuma parte da exclusão.

Observação

Concentre-se nos catálogos globais que têm os agendamentos de replicação menos frequentes.

Se houver um ou mais desses catálogos globais, use a ferramenta de linha de comando Repadmin.exe para desabilitar imediatamente a replicação de entrada seguindo estas etapas:
1. Selecione Iniciar, e depois selecione Executar.
2. Digite cmd na caixa Abrir e selecione OK.
3. Digite o seguinte comando no prompt de comando e pressione ENTER:
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
  Observação
  
  Se você não puder emitir o comando imediatamente, remova toda a conectividade de rede do catálogo global latente até que você possa usar Repadmin para desabilitar a Repadmin replicação de entrada e, em seguida, retorne imediatamente a conectividade de rede.
Esse controlador de domínio será chamado de controlador de domínio de recuperação. Se não houver esse catálogo global, vá para a etapa 2.
É melhor parar de fazer alterações em grupos de segurança na floresta se todas as instruções a seguir forem verdadeiras:
- Você está usando o método 1 para restaurar autoritativamente usuários ou contas de computador excluídos por seu caminho de nome distinto (dn).
- A exclusão foi replicada para todos os controladores de domínio na floresta, exceto o controlador de domínio de recuperação latente.
- Você não está restaurando grupos de segurança ou seus contêineres pai.
Se você estiver restaurando grupos de segurança ou contêineres de unidade organizacional (UO) que hospedam grupos de segurança ou contas de usuário, interrompa temporariamente todas essas alterações.

Notifique os administradores e administradores de suporte técnico nos domínios apropriados, além dos usuários do domínio no domínio em que ocorreu a exclusão, sobre a interrupção dessas alterações.
Crie um novo backup de estado do sistema no domínio em que ocorreu a exclusão. Você pode usar esse backup se precisar reverter suas alterações.

Observação

Se os backups de estado do sistema estiverem atualizados até o ponto da exclusão, ignore esta etapa e vá para a etapa 4.

Se você identificou um controlador de domínio de recuperação na etapa 1, faça backup do estado do sistema agora.

Se todos os catálogos globais localizados no domínio em que ocorreu a exclusão forem replicados na exclusão, faça backup do estado do sistema de um catálogo global no domínio em que ocorreu a exclusão.

Ao criar um backup, você pode retornar o controlador de domínio de recuperação de volta ao seu estado atual. E execute seu plano de recuperação novamente se sua primeira tentativa não for bem-sucedida.
Se você não conseguir encontrar um controlador de domínio de catálogo global latente no domínio em que ocorreu a exclusão do usuário, localize o backup de estado do sistema mais recente de um controlador de domínio de catálogo global nesse domínio. Esse backup de estado do sistema deve conter os objetos excluídos. Use esse controlador de domínio como o controlador de domínio de recuperação.

Somente as restaurações dos controladores de domínio do catálogo global no domínio do usuário contêm informações de associação de grupo global e universal para grupos de segurança que residem em domínios externos. Se não houver backup de estado do sistema de um controlador de domínio de catálogo global no domínio em que os usuários foram excluídos, você não poderá usar o atributo em contas de usuário restauradas para determinar a associação de grupo global ou universal ou para recuperar a memberOf associação em domínios externos. Além disso, é uma boa ideia encontrar o backup de estado do sistema mais recente de um controlador de domínio de catálogo não global.
Se você souber a senha da conta de administrador offline, inicie o controlador de domínio de recuperação no modo de reparo. Se você não souber a senha da conta de administrador offline, redefina a senha usando ntdsutil.exe enquanto o controlador de domínio de recuperação ainda estiver no modo normal do Active Directory.

Você pode usar a ferramenta de linha de comando setpwd para redefinir a senha em controladores de domínio enquanto eles estão no modo online do Active Directory.

Observação

A Microsoft não oferece mais suporte ao Windows 2000.

Os administradores de controladores de domínio do Windows Server 2003 e posteriores podem usar o set dsrm password comando na ferramenta de linha de comando Ntdsutil para redefinir a senha da conta de administrador offline.

Para obter mais informações sobre como redefinir a conta de administrador do Modo de Restauração dos Serviços de Diretório, consulte Como redefinir a senha da conta de administrador do Modo de Restauração dos Serviços de Diretório no Windows Server.
Pressione F8 durante o processo de inicialização para iniciar o controlador de domínio de recuperação no modo de reparo. Entre no console do controlador de domínio de recuperação com a conta de administrador offline. Se você redefinir a senha na etapa 5, use a nova senha.

Se o controlador de domínio de recuperação for um controlador de domínio de catálogo global latente, não restaure o estado do sistema. Vá para a etapa 7.

Se você estiver criando o controlador de domínio de recuperação usando um backup de estado do sistema, restaure o backup de estado do sistema mais atual que foi feito no controlador de domínio de recuperação agora.
A autenticação restaura as contas de usuário excluídas, as contas de computador excluídas ou os grupos de segurança excluídos.

Observação

Os termos restauração de autenticação e restauração autoritativa referem-se ao processo de uso do comando de restauração autoritativa na ferramenta de linha de comando Ntdsutil para incrementar os números de versão de objetos específicos ou de contêineres específicos e todos os seus objetos subordinados. Assim que ocorre a replicação de ponta a ponta, os objetos de destino na cópia local do Active Directory do controlador de domínio de recuperação tornam-se autoritativos em todos os controladores de domínio que compartilham essa partição. Uma restauração autoritativa é diferente de uma restauração de estado do sistema. Uma restauração de estado do sistema preenche a cópia local do Active Directory do controlador de domínio restaurado com as versões dos objetos no momento em que o backup de estado do sistema foi feito.

As restaurações autoritativas são executadas com a ferramenta de linha de comando Ntdsutil e referem-se ao caminho do nome de domínio (dn) dos usuários excluídos ou dos contêineres que hospedam os usuários excluídos.

Ao autenticar a restauração, use caminhos de nome de domínio (dn) que sejam tão baixos na árvore de domínio quanto necessário. O objetivo é evitar a reversão de objetos que não estão relacionados à exclusão. Esses objetos podem incluir objetos que foram modificados após o backup do estado do sistema ter sido feito.

Autenticação restaura usuários excluídos na seguinte ordem:
1. A autenticação restaura o caminho do nome de domínio (dn) para cada conta de usuário, conta de computador ou grupo de segurança excluído.
  
  As restaurações autoritativas de objetos específicos levam mais tempo, mas são menos destrutivas do que as restaurações autoritativas de uma subárvore inteira. Auth restaura o contêiner pai comum mais baixo que contém os objetos excluídos.
  
  O Ntdsutil usa a seguinte sintaxe:
```
ntdsutil "authoritative restore" "restore object <object DN path>" q q
```
  Por exemplo, para restaurar autoritativamente o usuário excluído John Doe na UO Mayberry do Contoso.com domínio, use o seguinte comando:
```
ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
```
  Para restaurar autoritativamente o grupo de segurança excluído ContosoPrintAccess na UO Mayberry do Contoso.com domínio, use o seguinte comando:
```
ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
```
  Importante
  
  O uso de aspas é obrigatório.
  
  Para cada usuário que você restaura, pelo menos dois arquivos são gerados. Esses arquivos têm o seguinte formato:
  
  ar_AAAAMMDD-HHMMSS_objects.txt
  Esse arquivo contém uma lista dos objetos restaurados de forma autoritativa. Use esse arquivo com o comando de restauração create ldif file from autoritativa ntdsutil em qualquer outro domínio na floresta em que o usuário era membro de grupos locais de domínio.
  
  ar_AAAAMMDD-HHMMSS_links_usn.loc.ldf
  Se você executar a restauração de autenticação em um catálogo global, um desses arquivos será gerado para cada domínio na floresta. Esse arquivo contém um script que pode ser usado com o utilitário Ldifde.exe. O script restaura os backlinks para os objetos restaurados. No domínio inicial do usuário, o script restaura todas as associações de grupo para os usuários restaurados. Em todos os outros domínios da floresta em que o usuário tem associação de grupo, o script restaura apenas associações de grupo universais e globais. O script não restaura nenhuma associação de grupo Local de Domínio. Essas associações não são rastreadas por um catálogo global.
2. A autenticação restaura apenas os contêineres UO ou CN (Nome Comum) que hospedam as contas de usuário ou grupos excluídos.
  
  As restaurações autoritativas de uma subárvore inteira são válidas quando a UO direcionada pelo comando ntdsutil authoritative restore contém a maioria dos objetos que você está tentando restaurar autoritativamente. Idealmente, a UO de destino contém todos os objetos que você está tentando restaurar com autoridade.
  
  Uma restauração autoritativa em uma subárvore de UO restaura todos os atributos e objetos que residem no contêiner. Todas as alterações feitas até o momento em que um backup de estado do sistema é restaurado são revertidas para seus valores no momento do backup. Com contas de usuário, contas de computador e grupos de segurança, essa reversão pode significar a perda das alterações mais recentes em:
  - senhas
  - O diretório inicial
  - O caminho do perfil
  - local
  - Informações de contato
  - associação de grupo
  - quaisquer descritores de segurança definidos nesses objetos e atributos.
  O Ntdsutil usa a seguinte sintaxe:
```
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
```
  Por exemplo, para restaurar autoritativamente a UO Mayberry do Contoso.com domínio, use o seguinte comando:
```
ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
```
  Observação
  
  Repita essa etapa para cada UO par que hospeda usuários ou grupos excluídos.
  
  Importante
  
  Quando você restaura um objeto subordinado de uma UO, todos os contêineres pai excluídos dos objetos subordinados excluídos devem ser restaurados explicitamente por autenticação.
  
  Para cada unidade organizacional restaurada, pelo menos dois arquivos são gerados. Esses arquivos têm o seguinte formato:
  
  ar_AAAAMMDD-HHMMSS_objects.txt
  Esse arquivo contém uma lista dos objetos restaurados de forma autoritativa. Use esse arquivo com o comando de restauração create ldif file from autoritativa ntdsutil em qualquer outro domínio na floresta em que os usuários restaurados eram membros de grupos locais de domínio.
  
  ar_AAAAMMDD-HHMMSS_links_usn.loc.ldf
  Esse arquivo contém um script que pode ser usado com o utilitário Ldifde.exe. O script restaura os backlinks para os objetos restaurados. No domínio inicial do usuário, o script restaura todas as associações de grupo para os usuários restaurados.
Se os objetos excluídos foram recuperados no controlador de domínio de recuperação devido a uma restauração de estado do sistema, remova todos os cabos de rede que fornecem conectividade de rede para todos os outros controladores de domínio na floresta.
Reinicie o controlador de domínio de recuperação no modo normal do Active Directory.
Digite o seguinte comando para desabilitar a replicação de entrada para o controlador de domínio de recuperação:
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
Habilite a conectividade de rede de volta para o controlador de domínio de recuperação cujo estado do sistema foi restaurado.
Replicar de saída os objetos restaurados por autenticação do controlador de domínio de recuperação para os controladores de domínio no domínio e na floresta.

Enquanto a replicação de entrada para o controlador de domínio de recuperação permanecer desabilitada, digite o seguinte comando para enviar os objetos restaurados por autenticação para todos os controladores de domínio de réplica entre sites no domínio e para todos os catálogos globais na floresta:
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Se todas as instruções a seguir forem verdadeiras, os links de associação de grupo serão recriados com a restauração e a replicação das contas de usuário excluídas. Vá para a etapa 14.

Observação

Se uma ou mais das afirmações a seguir não forem verdadeiras, vá para a etapa 12.
- Sua floresta está sendo executada no nível funcional da floresta do Windows Server 2003 e posterior ou posterior ou no nível funcional da floresta do Windows Server 2003 e posterior ou posterior.
- Somente contas de usuário ou contas de computador foram excluídas, e não grupos de segurança.
- Os usuários excluídos foram adicionados a grupos de segurança em todos os domínios da floresta depois que a floresta foi transferida para o Windows Server 2003 e posterior, ou nível funcional de floresta posterior.
No console do controlador de domínio de recuperação, use o utilitário Ldifde.exe e o arquivo ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf para restaurar as associações de grupo do usuário. Para fazer isso, siga estas etapas:
- Selecione Iniciar, selecione Executar, digite cmd na caixa Abrir e selecione OK.
- No prompt de comando, digite o seguinte comando e pressione ENTER:
```
ldifde -i -f ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
```
Habilite a replicação de entrada para o controlador de domínio de recuperação usando o seguinte comando:
```
repadmin /options <recovery dc name> -DISABLE_INBOUND_REPL
```
Se os usuários excluídos foram adicionados a grupos locais em domínios externos, execute uma das seguintes ações:
- Adicione manualmente os usuários excluídos de volta a esses grupos.
- Restaure o estado do sistema e restaure cada um dos grupos de segurança locais que contêm os usuários excluídos.
Verifique a associação de grupo no domínio do controlador de domínio de recuperação e em catálogos globais em outros domínios.
Faça um novo backup de estado do sistema de controladores de domínio no domínio do controlador de domínio de recuperação.
Notifique todos os administradores de floresta, administradores delegados, administradores de suporte técnico na floresta e usuários no domínio de que a restauração do usuário foi concluída.

Os administradores de suporte técnico podem ter que redefinir as senhas de contas de usuário restauradas por autenticação e contas de computador cuja senha de domínio foi alterada após o sistema restaurado ter sido feito.

Os usuários que alteraram suas senhas após o backup do estado do sistema descobrirão que sua senha mais recente não funciona mais. Faça com que esses usuários tentem fazer logon usando suas senhas anteriores, se as conhecerem. Caso contrário, os administradores de suporte técnico devem redefinir a senha e marcar a caixa de seleção O usuário deve alterar a senha no próximo logon . Faça isso preferencialmente em um controlador de domínio no mesmo site do Active Directory em que o usuário está localizado.

Método 2 - Restaure as contas de usuário excluídas e, em seguida, adicione os usuários restaurados de volta aos seus grupos

Ao usar esse método, você executa as seguintes etapas de alto nível:

Verifique se um catálogo global no domínio do usuário não foi replicado na exclusão. E então impedir que esse catálogo global seja replicado. Se não houver um catálogo global latente, localize o backup de estado do sistema mais atual de um controlador de domínio de catálogo global no domínio inicial do usuário excluído.
A autenticação restaura todas as contas de usuário excluídas e, em seguida, permite a replicação de ponta a ponta dessas contas de usuário.
Adicione todos os usuários restaurados de volta a todos os grupos em todos os domínios dos quais as contas de usuário eram membros antes de serem excluídas.

Para usar o método 2, siga este procedimento:

Verifique se há um controlador de domínio de catálogo global no domínio inicial do usuário excluído que não replicou nenhuma parte da exclusão.

Observação

Concentre-se nos catálogos globais que têm os agendamentos de replicação menos frequentes.

Se um ou mais desses catálogos globais existirem, use a ferramenta de linha de comando Repadmin.exe para desabilitar imediatamente a replicação de entrada. Para fazer isso, siga estas etapas:
1. Selecione Iniciar, e depois selecione Executar.
2. Digite cmd na caixa Abrir e selecione OK.
3. Digite o seguinte comando no prompt de comando e pressione ENTER:
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
Observação

Se você não puder emitir o comando Repadmin imediatamente, remova toda a conectividade de rede do catálogo global latente até que você possa usar Repadmin para desabilitar a replicação de entrada e, em seguida, retorne imediatamente a conectividade de rede.

Esse controlador de domínio será chamado de controlador de domínio de recuperação. Se não houver esse catálogo global, vá para a etapa 2.
Decida se as adições, exclusões e alterações em contas de usuário, contas de computador e grupos de segurança devem ser interrompidas temporariamente até que todas as etapas de recuperação tenham sido concluídas.

Para manter o caminho de recuperação mais flexível, pare temporariamente de fazer alterações nos itens a seguir. As alterações incluem redefinições de senha por usuários do domínio, administradores de suporte técnico e administradores no domínio em que ocorreu a exclusão, além de alterações de associação de grupo nos grupos de usuários excluídos. Considere interromper adições, exclusões e modificações nos seguintes itens:
1. Contas de usuário e atributos em contas de usuário
2. Contas de computador e atributos em contas de computador
3. Contas de serviço
4. Grupos de segurança
É melhor parar de fazer alterações em grupos de segurança na floresta se todas as instruções a seguir forem verdadeiras:
- Você está usando o método 2 para restaurar autoritativamente usuários ou contas de computador excluídos pelo caminho do nome de domínio (dn).
- A exclusão foi replicada para todos os controladores de domínio na floresta, exceto o controlador de domínio de recuperação latente.
- Você não está restaurando grupos de segurança ou seus contêineres pai.
Se você estiver restaurando grupos de segurança ou contêineres de unidade organizacional (UO) que hospedam grupos de segurança ou contas de usuário, interrompa temporariamente todas essas alterações.

Notifique os administradores e administradores de suporte técnico nos domínios apropriados, além dos usuários do domínio no domínio em que ocorreu a exclusão, sobre a interrupção dessas alterações.
Crie um novo backup de estado do sistema no domínio em que ocorreu a exclusão. Você pode usar esse backup se precisar reverter suas alterações.

Observação

Se os backups de estado do sistema estiverem atualizados até o ponto da exclusão, ignore esta etapa e vá para a etapa 4.

Se você identificou um controlador de domínio de recuperação na etapa 1, faça backup do estado do sistema agora.

Se todos os catálogos globais localizados no domínio em que ocorreu a exclusão forem replicados na exclusão, faça backup do estado do sistema de um catálogo global no domínio em que ocorreu a exclusão.

Ao criar um backup, você pode retornar o controlador de domínio de recuperação de volta ao seu estado atual. E execute seu plano de recuperação novamente se sua primeira tentativa não for bem-sucedida.
Se você não conseguir encontrar um controlador de domínio de catálogo global latente no domínio em que ocorreu a exclusão do usuário, localize o backup de estado do sistema mais recente de um controlador de domínio de catálogo global nesse domínio. Esse backup de estado do sistema deve conter os objetos excluídos. Use esse controlador de domínio como o controlador de domínio de recuperação.

Somente as restaurações dos controladores de domínio do catálogo global no domínio do usuário contêm informações de associação de grupo global e universal para grupos de segurança que residem em domínios externos. Se não houver backup de estado do sistema de um controlador de domínio de catálogo global no domínio em que os usuários foram excluídos, você não poderá usar o atributo em contas de usuário restauradas para determinar a associação de grupo global ou universal ou para recuperar a memberOf associação em domínios externos. Além disso, é uma boa ideia encontrar o backup de estado do sistema mais recente de um controlador de domínio de catálogo não global.
Se você souber a senha da conta de administrador offline, inicie o controlador de domínio de recuperação no modo de reparo. Se você não souber a senha da conta de administrador offline, redefina a senha enquanto o controlador de domínio de recuperação ainda estiver no modo normal do Active Directory.

Você pode usar a ferramenta de linha de comando setpwd para redefinir a senha em controladores de domínio que executam o Windows 2000 Service Pack 2 (SP2) e posterior enquanto eles estão no modo Active Directory online.

Observação

A Microsoft não oferece mais suporte ao Windows 2000.

Os administradores de controladores de domínio do Windows Server 2003 e posteriores podem usar o set dsrm password comando na ferramenta de linha de comando Ntdsutil para redefinir a senha da conta de administrador offline.

Para obter mais informações sobre como redefinir a conta de administrador do Modo de Restauração dos Serviços de Diretório, consulte Como redefinir a senha da conta de administrador do Modo de Restauração dos Serviços de Diretório no Windows Server.
Pressione F8 durante o processo de inicialização para iniciar o controlador de domínio de recuperação no modo de reparo. Entre no console do controlador de domínio de recuperação com a conta de administrador offline. Se você redefinir a senha na etapa 5, use a nova senha.

Se o controlador de domínio de recuperação for um controlador de domínio de catálogo global latente, não restaure o estado do sistema. Vá para a etapa 7.

Se você estiver criando o controlador de domínio de recuperação usando um backup de estado do sistema, restaure o backup de estado do sistema mais atual que foi feito no controlador de domínio de recuperação agora.
A autenticação restaura as contas de usuário excluídas, as contas de computador excluídas ou os grupos de segurança excluídos.

Observação

Os termos restauração de autenticação e restauração autoritativa referem-se ao processo de uso do comando de restauração autoritativa na ferramenta de linha de comando Ntdsutil para incrementar os números de versão de objetos específicos ou de contêineres específicos e todos os seus objetos subordinados. Assim que ocorre a replicação de ponta a ponta, os objetos de destino na cópia local do Active Directory do controlador de domínio de recuperação tornam-se autoritativos em todos os controladores de domínio que compartilham essa partição. Uma restauração autoritativa é diferente de uma restauração de estado do sistema. Uma restauração de estado do sistema preenche a cópia local do Active Directory do controlador de domínio restaurado com as versões dos objetos no momento em que o backup de estado do sistema foi feito.

As restaurações autoritativas são executadas com a ferramenta de linha de comando Ntdsutil e referem-se ao caminho do nome de domínio (dn) dos usuários excluídos ou dos contêineres que hospedam os usuários excluídos.

Ao autenticar a restauração, use caminhos de nome de domínio (dn) que sejam tão baixos na árvore de domínio quanto necessário. O objetivo é evitar a reversão de objetos que não estão relacionados à exclusão. Esses objetos podem incluir objetos que foram modificados após o backup do estado do sistema ter sido feito.

Autenticação restaura usuários excluídos na seguinte ordem:
1. A autenticação restaura o caminho do nome de domínio (dn) para cada conta de usuário, conta de computador ou grupo de segurança excluído.
  
  As restaurações autoritativas de objetos específicos levam mais tempo, mas são menos destrutivas do que as restaurações autoritativas de uma subárvore inteira. Auth restaura o contêiner pai comum mais baixo que contém os objetos excluídos.
  
  O Ntdsutil usa a seguinte sintaxe:
```
ntdsutil "authoritative restore" "restore object <object DN path>" q q
```
  Por exemplo, para restaurar autoritativamente o usuário excluído John Doe na UO Mayberry do Contoso.com domínio, use o seguinte comando:
```
ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
```
  Para restaurar autoritativamente o grupo de segurança excluído ContosoPrintAccess na UO Mayberry do Contoso.com domínio, use o seguinte comando:
```
ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
```
  Importante
  
  O uso de aspas é obrigatório.
  
  Observação
  
  Essa sintaxe está disponível apenas no Windows Server 2003 e posterior. A única sintaxe no Windows 2000 é usar o seguinte:
```
ntdsutil "authoritative restore" "restore subtree object DN path"
```
  Observação
  
  A operação de restauração autoritativa Ntdsutil não será bem-sucedida se o DN (caminho de nome distinto) contiver caracteres ou espaços estendidos. Para que a restauração com script seja bem-sucedida, o restore object <DN path> comando deve ser passado como uma cadeia de caracteres completa.
  
  Para contornar esse problema, envolva o DN que contém caracteres estendidos e espaços com sequências de escape de barra invertida e aspas duplas. Este é um exemplo:
```
ntdsutil "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\"" q q
```
  Observação
  
  O comando deve ser modificado ainda mais se o DN dos objetos que estão sendo restaurados contiver vírgulas. Consulte o seguinte exemplo:
```
ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\"" q q
```
  Observação
  
  Se os objetos foram restaurados da fita, marcados como autoritativos e a restauração não funcionou conforme o esperado e, em seguida, a mesma fita for usada para restaurar o banco de dados NTDS mais uma vez, a versão USN dos objetos a serem restaurados autoritativamente deverá ser aumentada acima do padrão de 100000 ou os objetos não serão replicados após a segunda restauração. A sintaxe abaixo é necessária para criar um script de um número de versão aumentado maior que 100000 (padrão):
```
ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
```
  Observação
  
  Se o script solicitar confirmação em cada objeto que está sendo restaurado, você poderá desativar os prompts. A sintaxe para desativar a solicitação é:
```
ntdsutil "popups off" "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
```
2. A autenticação restaura apenas os contêineres UO ou CN (Nome Comum) que hospedam as contas de usuário ou grupos excluídos.
  
  As restaurações autoritativas de uma subárvore inteira são válidas quando a UO direcionada pelo comando ntdsutil authoritative restore contém a maioria dos objetos que você está tentando restaurar autoritativamente. Idealmente, a UO de destino contém todos os objetos que você está tentando restaurar com autoridade.
  
  Uma restauração autoritativa em uma subárvore de UO restaura todos os atributos e objetos que residem no contêiner. Todas as alterações feitas até o momento em que um backup de estado do sistema é restaurado são revertidas para seus valores no momento do backup. Com contas de usuário, contas de computador e grupos de segurança, essa reversão pode significar a perda das alterações mais recentes nas senhas, no diretório inicial, no caminho do perfil, no local e nas informações de contato, na associação ao grupo e em quaisquer descritores de segurança definidos nesses objetos e atributos.
  
  O Ntdsutil usa a seguinte sintaxe:
```
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
```
  Por exemplo, para restaurar autoritativamente a UO Mayberry do Contoso.com domínio, use o seguinte comando:
```
ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
```
  Observação
  
  Repita essa etapa para cada UO par que hospeda usuários ou grupos excluídos.
  
  Importante
  
  Quando você restaura um objeto subordinado de uma UO, todos os contêineres pai excluídos dos objetos subordinados excluídos devem ser restaurados explicitamente por autenticação.
Se os objetos excluídos foram recuperados no controlador de domínio de recuperação devido a uma restauração de estado do sistema, remova todos os cabos de rede que fornecem conectividade de rede para todos os outros controladores de domínio na floresta.
Reinicie o controlador de domínio de recuperação no modo normal do Active Directory.
Digite o seguinte comando para desabilitar a replicação de entrada para o controlador de domínio de recuperação:
```
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
```
Habilite a conectividade de rede de volta para o controlador de domínio de recuperação cujo estado do sistema foi restaurado.
Replicar de saída os objetos restaurados por autenticação do controlador de domínio de recuperação para os controladores de domínio no domínio e na floresta.

Enquanto a replicação de entrada para o controlador de domínio de recuperação permanecer desabilitada, digite o seguinte comando para enviar os objetos restaurados por autenticação para todos os controladores de domínio de réplica entre sites no domínio e para todos os catálogos globais na floresta:
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Se todas as instruções a seguir forem verdadeiras, os links de associação de grupo serão recriados com a restauração e a replicação das contas de usuário excluídas. Vá para a etapa 14.

Observação

Se uma ou mais das afirmações a seguir não forem verdadeiras, vá para a etapa 12.
- Sua floresta está sendo executada no nível funcional da floresta do Windows Server 2003 e posterior, ou no nível funcional da floresta do Windows Server 2003 e posterior.
- Somente contas de usuário ou contas de computador foram excluídas, e não grupos de segurança.
- Os usuários excluídos foram adicionados a grupos de segurança em todos os domínios da floresta depois que a floresta foi transferida para o Windows Server 2003 e posterior para o nível funcional da floresta.
Determine de quais grupos de segurança os usuários excluídos eram membros e adicione-os a esses grupos.

Observação

Antes de adicionar usuários a grupos, os usuários que você restaurou na etapa 7 e que você replicou de saída na etapa 11 devem ter replicado para os controladores de domínio no domínio do controlador de domínio referenciado e para todos os controladores de domínio de catálogo global na floresta.

Se você tiver implantado um utilitário de provisionamento de grupo para preencher novamente a associação de grupos de segurança, use esse utilitário para restaurar os usuários excluídos para os grupos de segurança dos quais eles eram membros antes de serem excluídos. Faça isso depois que todos os controladores de domínio diretos e transitivos no domínio da floresta e nos servidores de catálogo global tiverem replicado a entrada dos usuários restaurados por autenticação e de todos os contêineres restaurados.

Se você não tiver o utilitário, as Ldifde.exe ferramentas de linha de comando e Groupadd.exe poderão automatizar essa tarefa para você quando forem executadas no controlador de domínio de recuperação. Essas ferramentas estão disponíveis no Atendimento Microsoft. Nesse cenário, Ldifde.exe cria um arquivo de informações LDIF (Formato de Intercâmbio de Dados) LDAP que contém os nomes das contas de usuário e seus grupos de segurança. Ele começa em um contêiner de UO especificado pelo administrador. Groupadd.exe lê o memberOf atributo de cada conta de usuário listada no arquivo .ldf. Em seguida, ele gera informações LDIF separadas e exclusivas para cada domínio na floresta. Essas informações LDIF contêm os nomes dos grupos de segurança associados aos usuários excluídos. Use as informações LDIF para adicionar as informações de volta aos usuários para que suas associações de grupo possam ser restauradas. Siga estas etapas para esta fase da recuperação:
1. Entre no console do controlador de domínio de recuperação usando uma conta de usuário que seja membro do grupo de segurança do administrador de domínio.
2. Use o comando Ldifde para despejar os nomes das contas de usuário excluídas anteriormente e seus memberOf atributos, começando no contêiner de UO superior em que ocorreu a exclusão. O comando Ldifde usa a seguinte sintaxe:
```
ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=user)" -l memberof -p subtree -f user_membership_after_restore.ldf
```
  Use a seguinte sintaxe se contas de computador excluídas foram adicionadas a grupos de segurança:
```
ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=computer)" -l memberof -p subtree -f computer_membership_after_restore.ldf
```
3. Execute o Groupadd comando para criar mais arquivos .ldf que contenham os nomes de domínios e os nomes de grupos de segurança globais e universais dos quais os usuários excluídos eram membros. O Groupadd comando usa a seguinte sintaxe:
```
Groupadd / after_restore users_membership_after_restore.ldf
```
  Repita esse comando se as contas de computador excluídas tiverem sido adicionadas aos grupos de segurança.
4. Importe cada Groupaddarquivo _fully.qualified.domain.name.ldf criado na etapa 12c para um único controlador de domínio de catálogo global que corresponda ao arquivo .ldf de cada domínio. Use a seguinte sintaxe Ldifde:
```
Ldifde -i -k -f Groupadd_<fully.qualified.domain.name>.ldf
```
  Execute o arquivo .ldf para o domínio do qual os usuários foram excluídos em qualquer controlador de domínio, exceto o controlador de domínio de recuperação.
5. No console de cada controlador de domínio usado para importar o arquivo Groupadd_<fully.qualified.domain.name.ldf> para um domínio específico, replique de saída as adições de associação de grupo para os outros controladores de domínio no domínio e para os controladores de domínio do catálogo global na floresta. Para fazer isso, use o seguinte comando:
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Para desabilitar a replicação de saída, digite o seguinte texto e pressione ENTER:
```
repadmin /options +DISABLE_OUTBOUND_REPL
```
Observação

Para reabilitar a replicação de saída, digite o seguinte texto e pressione ENTER:
```
repadmin /options -DISABLE_OUTBOUND_REPL
```
Se os usuários excluídos foram adicionados a grupos locais em domínios externos, execute uma das seguintes ações:
- Adicione manualmente os usuários excluídos de volta a esses grupos.
- Restaure o estado do sistema e restaure cada um dos grupos de segurança locais que contêm os usuários excluídos.
Verifique a associação de grupo no domínio do controlador de domínio de recuperação e em catálogos globais em outros domínios.
Faça um novo backup de estado do sistema de controladores de domínio no domínio do controlador de domínio de recuperação.
Notifique todos os administradores de floresta, administradores delegados, administradores de suporte técnico na floresta e usuários no domínio de que a restauração do usuário foi concluída.

Os administradores de suporte técnico podem ter que redefinir as senhas de contas de usuário restauradas por autenticação e contas de computador cuja senha de domínio foi alterada após o sistema restaurado ter sido feito.

Os usuários que alteraram suas senhas após o backup do estado do sistema descobrirão que sua senha mais recente não funciona mais. Faça com que esses usuários tentem fazer logon usando suas senhas anteriores, se as conhecerem. Caso contrário, os administradores de suporte técnico devem redefinir a senha e marcar a caixa de seleção O usuário deve alterar a senha no próximo logon . Faça isso preferencialmente em um controlador de domínio no mesmo site do Active Directory em que o usuário está localizado.

Método 3 - Restaurar autoritativamente os usuários excluídos e os grupos de segurança dos usuários excluídos duas vezes

Ao usar esse método, você executa as seguintes etapas de alto nível:

Verifique se um catálogo global no domínio do usuário não foi replicado na exclusão. E, em seguida, impedir que o controlador de domínio replique a exclusão de entrada. Se não houver um catálogo global latente, localize o backup de estado do sistema mais atual de um controlador de domínio de catálogo global no domínio inicial do usuário excluído.
Restaure autoritativamente todas as contas de usuário excluídas e todos os grupos de segurança no domínio do usuário excluído.
Aguarde a replicação de ponta a ponta dos usuários restaurados e dos grupos de segurança para todos os controladores de domínio no domínio do usuário excluído e para os controladores de domínio do catálogo global da floresta.
Repita as etapas 2 e 3 para restaurar autoritativamente usuários e grupos de segurança excluídos. (Você restaura o estado do sistema apenas uma vez.)
Se os usuários excluídos eram membros de grupos de segurança em outros domínios, restaure autoritativamente todos os grupos de segurança dos quais os usuários excluídos eram membros nesses domínios. Ou, se os backups de estado do sistema forem atuais, restaure autoritativamente todos os grupos de segurança nesses domínios. Para atender ao requisito de que os membros do grupo excluídos devem ser restaurados antes dos grupos de segurança para corrigir os links de associação de grupo, você restaura os dois tipos de objeto duas vezes nesse método. A primeira restauração coloca todas as contas de usuário e contas de grupo no lugar. A segunda restauração restaura grupos excluídos e repara as informações de associação de grupo, incluindo informações de associação para grupos aninhados.

Para usar o método 3, siga este procedimento:

Verifique se existe um controlador de domínio de catálogo global no domínio inicial dos usuários excluídos e se não foi replicado em nenhuma parte da exclusão.

Observação

Concentre-se em catálogos globais no domínio que tem os agendamentos de replicação menos frequentes. Se esses controladores de domínio existirem, use a ferramenta de linha de comando Repadmin.exe para desabilitar imediatamente a replicação de entrada. Para fazer isso, siga estas etapas:
1. Selecione Iniciar, e depois selecione Executar.
2. Digite cmd na caixa Abrir e selecione OK.
3. Digite repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL no prompt de comando e pressione ENTER.
Observação

Se você não puder emitir o comando Repadmin imediatamente, remova toda a conectividade de rede do controlador de domínio até que você possa usar o Repadmin para desabilitar a replicação de entrada e, em seguida, retorne imediatamente a conectividade de rede.

Esse controlador de domínio será chamado de controlador de domínio de recuperação.
Evite fazer adições, exclusões e alterações nos itens a seguir até que todas as etapas de recuperação tenham sido concluídas. As alterações incluem redefinições de senha por usuários do domínio, administradores de suporte técnico e administradores no domínio em que ocorreu a exclusão, além de alterações de associação de grupo nos grupos de usuários excluídos.
1. Contas de usuário e atributos em contas de usuário
2. Contas de computador e atributos em contas de computador
3. Contas de serviço
4. Grupos de segurança
  
  Observação
  
  Evite especialmente alterações na associação de grupo para usuários, computadores, grupos e contas de serviço na floresta em que ocorreu a exclusão.
5. Notifique todos os administradores de floresta, os administradores delegados e os administradores de suporte técnico na floresta sobre o stand-down temporário. Essa suspensão é necessária no método 2 porque você está restaurando autoritativamente todos os grupos de segurança dos usuários excluídos. Portanto, todas as alterações feitas em grupos após a data do backup do estado do sistema são perdidas.
Crie um novo backup de estado do sistema no domínio em que ocorreu a exclusão. Você pode usar esse backup se precisar reverter suas alterações.

Observação

Se os backups de estado do sistema estiverem atualizados até o momento em que a exclusão ocorreu, ignore esta etapa e vá para a etapa 4.

Se você identificou um controlador de domínio de recuperação na etapa 1, faça backup do estado do sistema agora.

Se todos os catálogos globais localizados no domínio em que ocorreu a exclusão replicaram a exclusão, faça backup do estado do sistema de um catálogo global no domínio em que a exclusão ocorreu.

Ao criar um backup, você pode retornar o controlador de domínio de recuperação de volta ao seu estado atual. E execute seu plano de recuperação novamente se sua primeira tentativa não for bem-sucedida.
Se você não conseguir encontrar um controlador de domínio de catálogo global latente no domínio em que ocorreu a exclusão do usuário, localize o backup de estado do sistema mais recente de um controlador de domínio de catálogo global nesse domínio. Esse backup de estado do sistema deve conter os objetos excluídos. Use esse controlador de domínio como o controlador de domínio de recuperação.

Somente os bancos de dados dos controladores de domínio do catálogo global no domínio do usuário contêm informações de associação de grupo para domínios externos na floresta. Se não houver backup de estado do sistema de um controlador de domínio de catálogo global no domínio em que os usuários foram excluídos, você não poderá usar o atributo em contas de usuário restauradas para determinar a associação de grupo global ou universal ou para recuperar a memberOf associação em domínios externos. Vá para a próxima etapa. Se houver um registro externo de associação de grupo em domínios externos, adicione os usuários restaurados a grupos de segurança nesses domínios depois que as contas de usuário forem restauradas.
Se você souber a senha da conta de administrador offline, inicie o controlador de domínio de recuperação no modo de reparo. Se você não souber a senha da conta de administrador offline, redefina a senha enquanto o controlador de domínio de recuperação ainda estiver no modo normal do Active Directory.

Você pode usar a ferramenta de linha de comando setpwd para redefinir a senha em controladores de domínio que executam o Windows 2000 SP2 e posterior enquanto eles estão no modo online do Active Directory.

Observação

A Microsoft não oferece mais suporte ao Windows 2000.

Os administradores de controladores de domínio do Windows Server 2003 e posteriores podem usar o set dsrm password comando na ferramenta de linha de comando Ntdsutil para redefinir a senha da conta de administrador offline.

Para obter mais informações sobre como redefinir a conta de administrador do Modo de Restauração dos Serviços de Diretório, consulte Como redefinir a senha da conta de administrador do Modo de Restauração dos Serviços de Diretório no Windows Server.
Pressione F8 durante o processo de inicialização para iniciar o controlador de domínio de recuperação no modo de reparo. Faça logon no console do controlador de domínio de recuperação com a conta de administrador offline. Se você redefinir a senha na etapa 5, use a nova senha.

Se o controlador de domínio de recuperação for um controlador de domínio de catálogo global latente, não restaure o estado do sistema. Vá diretamente para a etapa 7.

Se você estiver criando o controlador de domínio de recuperação usando um backup de estado do sistema, restaure o backup de estado do sistema mais atual que foi feito no controlador de domínio de recuperação que contém os objetos excluídos agora.
A autenticação restaura as contas de usuário excluídas, as contas de computador excluídas ou os grupos de segurança excluídos.

Observação

Os termos restauração de autenticação e restauração autoritativa referem-se ao processo de uso do comando de restauração autoritativa na ferramenta de linha de comando Ntdsutil para incrementar os números de versão de objetos específicos ou de contêineres específicos e todos os seus objetos subordinados. Assim que ocorre a replicação de ponta a ponta, os objetos de destino na cópia local do Active Directory do controlador de domínio de recuperação tornam-se autoritativos em todos os controladores de domínio que compartilham essa partição. Uma restauração autoritativa é diferente de uma restauração de estado do sistema. Uma restauração de estado do sistema preenche a cópia local do Active Directory do controlador de domínio restaurado com as versões dos objetos no momento em que o backup de estado do sistema foi feito.

As restaurações autoritativas são executadas com a ferramenta de linha de comando Ntdsutil referenciando o caminho do nome de domínio (dn) dos usuários excluídos ou dos contêineres que hospedam os usuários excluídos.

Ao autenticar a restauração, use caminhos de nome de domínio que sejam tão baixos na árvore de domínio quanto necessário. O objetivo é evitar a reversão de objetos que não estão relacionados à exclusão. Esses objetos podem incluir objetos que foram modificados após o backup do estado do sistema ter sido feito.

Autenticação restaura usuários excluídos na seguinte ordem:
1. Autenticação restaura o caminho do nome de domínio (dn) para cada conta de usuário, conta de computador ou grupo de segurança excluído.
  
  As restaurações autoritativas de objetos específicos levam mais tempo, mas são menos destrutivas do que as restaurações autoritativas de uma subárvore inteira. Auth restaura o contêiner pai comum mais baixo que contém os objetos excluídos.
  
  O Ntdsutil usa a seguinte sintaxe:
```
ntdsutil "authoritative restore" "restore object <object DN path>" q q
```
  Por exemplo, para restaurar autoritativamente o usuário excluído John Doe na UO Mayberry do Contoso.com domínio, use o seguinte comando:
```
ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
```
  Para restaurar autoritativamente o grupo de segurança excluído ContosoPrintAccess na UO Mayberry do Contoso.com domínio, use o seguinte comando:
```
ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
```
  Importante
  
  O uso de aspas é obrigatório.
  
  Usando esse formato Ntdsutil, você também pode automatizar a restauração autoritativa de muitos objetos em um arquivo em lotes ou em um script.
  
  Observação
  
  Essa sintaxe está disponível apenas no Windows Server 2003 e posterior. A única sintaxe no Windows 2000 é usar: ntdsutil "authoritative restore" "restore subtree object DN path".
2. A autenticação restaura apenas os contêineres UO ou CN (Nome Comum) que hospedam as contas de usuário ou grupos excluídos.
  
  As restaurações autoritativas de uma subárvore inteira são válidas quando a UO direcionada pelo comando Ntdsutil Authoritative restore contém a maioria dos objetos que você está tentando restaurar autoritativamente. Idealmente, a UO de destino contém todos os objetos que você está tentando restaurar com autoridade.
  
  Uma restauração autoritativa em uma subárvore de UO restaura todos os atributos e objetos que residem no contêiner. Todas as alterações feitas até o momento em que um backup de estado do sistema é restaurado são revertidas para seus valores no momento do backup. Com contas de usuário, contas de computador e grupos de segurança, essa reversão pode significar a perda das alterações mais recentes nas senhas, no diretório inicial, no caminho do perfil, no local e nas informações de contato, na associação ao grupo e em quaisquer descritores de segurança definidos nesses objetos e atributos.
  
  O Ntdsutil usa a seguinte sintaxe:
```
ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
```
  Por exemplo, para restaurar autoritativamente a UO Mayberry do Contoso.com domínio, use o seguinte comando:
```
ntdsutil "authoritative restore" "restore subtree ou=Mayberry,dc=contoso,dc=com" q q
```
  Observação
  
  Repita essa etapa para cada UO par que hospeda usuários ou grupos excluídos.
  
  Importante
  
  Quando você restaura um objeto subordinado de uma UO, todos os contêineres pai dos objetos subordinados excluídos devem ser restaurados explicitamente por autenticação.
Reinicie o controlador de domínio de recuperação no modo normal do Active Directory.
Replicar de saída os objetos restaurados de forma autoritativa do controlador de domínio de recuperação para os controladores de domínio no domínio e na floresta.

Enquanto a replicação de entrada para o controlador de domínio de recuperação permanecer desabilitada, digite o seguinte comando para enviar os objetos restaurados autoritativamente para todos os controladores de domínio de réplica intersite no domínio e para catálogos globais na floresta:
```
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
```
Depois que todos os controladores de domínio diretos e transitivos no domínio da floresta e nos servidores de catálogo global tiverem sido replicados nos usuários restaurados autoritativamente e em todos os contêineres restaurados, vá para a etapa 11.

Se todas as instruções a seguir forem verdadeiras, os links de associação de grupo serão recriados com a restauração das contas de usuário excluídas. Vá para a etapa 13.
- Sua floresta está sendo executada no nível funcional de floresta do Windows Server 2003 e posterior, ou no nível funcional de floresta provisória do Windows Server 2003 e posterior.
- Somente os grupos de segurança não foram excluídos.
- Todos os usuários excluídos foram adicionados a todos os grupos de segurança em todos os domínios da floresta.
Considere usar o Repadmin comando para acelerar a replicação de saída de usuários do controlador de domínio restaurado.

Se os grupos também foram excluídos ou se você não puder garantir que todos os usuários excluídos foram adicionados a todos os grupos de segurança após a transição para o Windows Server 2003 e posterior interim ou forest
Repita as etapas 7, 8 e 9 sem restaurar o estado do sistema e vá para a etapa 11.
Se os usuários excluídos foram adicionados a grupos locais em domínios externos, execute uma das seguintes ações:
- Adicione manualmente os usuários excluídos de volta a esses grupos.
- Restaure o estado do sistema e restaure cada um dos grupos de segurança locais que contêm os usuários excluídos.
Verifique a associação de grupo no domínio do controlador de domínio de recuperação e em catálogos globais em outros domínios.
Use o seguinte comando para habilitar a replicação de entrada para o controlador de domínio de recuperação:
```
repadmin /options recovery dc name -DISABLE_INBOUND_REPL
```
Faça um novo backup de estado do sistema de controladores de domínio no domínio do controlador de domínio de recuperação e catálogos globais em outros domínios da floresta.
Notifique todos os administradores de floresta, os administradores delegados, os administradores de suporte técnico na floresta e os usuários no domínio de que a restauração do usuário foi concluída.

Os administradores de suporte técnico podem ter que redefinir as senhas de contas de usuário restauradas de autenticação e contas de computador cuja senha de domínio foi alterada após o sistema restaurado ter sido feito.

Os usuários que alteraram suas senhas após o backup do estado do sistema descobrirão que sua senha mais recente não funciona mais. Faça com que esses usuários tentem fazer logon usando suas senhas anteriores, se as conhecerem. Caso contrário, os administradores de suporte técnico devem redefinir a senha com a caixa de seleção o usuário deve alterar a senha no próximo logon marcada. Faça isso preferencialmente em um controlador de domínio no mesmo site do Active Directory em que o usuário está localizado.

Como recuperar usuários excluídos em um controlador de domínio quando você não tem um backup de estado do sistema válido

Se você não tiver backups de estado do sistema atuais em um domínio em que contas de usuário ou grupos de segurança foram excluídos e a exclusão ocorreu em domínios que contêm controladores de domínio do Windows Server 2003 e posteriores, siga estas etapas para reanimar manualmente os objetos excluídos do contêiner de objetos excluídos:

Siga as etapas na seção a seguir para reanimar usuários, computadores, grupos ou todos eles excluídos:
Como recuperar manualmente objetos em um contêiner de objetos excluídos
Use Usuários e Computadores do Active Directory para alterar a conta de desabilitada para habilitada. (A conta aparece na UO original.)
Use os recursos de redefinição em massa no Windows Server 2003 e na versão posterior do Active Directory Usuários e computadores para executar redefinições em massa na configuração de política de logon deve ser alterada na próxima configuração de política de logon, no diretório base, no caminho do perfil e na associação de grupo para a conta excluída, conforme necessário. Você também pode usar um equivalente programático desses recursos.
Se o Microsoft Exchange 2000 ou posterior foi usado, repare a caixa de correio do Exchange para o usuário excluído.
Se o Exchange 2000 ou posterior tiver sido usado, associe novamente o usuário excluído à caixa de correio do Exchange.
Verifique se o usuário recuperado pode fazer logon e acessar diretórios locais, diretórios compartilhados e arquivos.

Você pode automatizar algumas ou todas essas etapas de recuperação usando os seguintes métodos:

Escreva um script que automatize as etapas de recuperação manual listadas na etapa 1. Ao escrever esse script, considere definir o escopo do objeto excluído por data, hora e último contêiner pai conhecido e, em seguida, automatizar a reanimação do objeto excluído. Para automatizar a reanimação, altere o isDeleted atributo de TRUE para FALSE e altere o nome distinto relativo para o valor definido no lastKnownParent atributo ou em um novo contêiner de UO ou nome comum (CN) especificado pelo administrador. (O nome distinto relativo também é conhecido como RDN.)
Obtenha um programa que não seja da Microsoft que ofereça suporte à reanimação de objetos excluídos no Windows Server 2003 e em controladores de domínio posteriores. Um desses utilitários é o AdRestore. O AdRestore usa os primitivos de recuperação do Windows Server 2003 e posteriores para recuperar objetos individualmente. A Aelita Software Corporation e a Commvault Systems também oferecem produtos que oferecem suporte à funcionalidade de recuperação no Windows Server 2003 e controladores de domínio baseados em versões posteriores.

Para obter o AdRestore, consulte AdRestore v1.1.

A Microsoft fornece informações de contato de terceiros para ajudá-lo a encontrar suporte técnico. Essas informações de contato podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão dessas informações de contato de terceiros.

Como recuperar manualmente objetos no contêiner de um objeto excluído

Para recuperar manualmente objetos no contêiner de um objeto excluído, siga estas etapas:

Selecione Iniciar, selecione Executar e digite ldp.exe.

ldp.exe está disponível:
- Em computadores em que a função Controlador de Domínio foi instalada.
- Em computadores onde as Ferramentas de Administração de Servidor Remoto (RSAT) foram instaladas.
Use o menu Conexão no Ldp para executar as operações de conexão e as operações de associação a um controlador de domínio do Windows Server 2003 e posterior.

Especifique as credenciais de administrador de domínio durante a operação de associação.
No menu Opções, selecione Controles.
Na lista Carregar Predefinidos, selecione Retornar Objetos Excluídos.

Observação

O controle 1.2.840.113556.1.4.417 é movido para a janela Active Controls .
Em Tipo de Controle, selecione Servidor e selecione OK.
No menu Exibir, selecione Árvore, digite o caminho do nome distinto do contêiner de objetos excluídos no domínio em que ocorreu a exclusão e selecione OK.

Observação

O caminho do nome distinto também é conhecido como caminho DN. Por exemplo, se a exclusão ocorreu no contoso.com domínio, o caminho DN seria o seguinte caminho:
cn=Objetos excluídos,dc=contoso,dc=com
No painel esquerdo da janela, clique duas vezes no Contêiner de Objetos Excluídos.

Observação

Como resultado da pesquisa da consulta Idap, apenas 1000 objetos são retornados por padrão. Por exemplo, se existirem mais de 1000 objetos no contêiner Objetos Excluídos, nem todos os objetos aparecerão nesse contêiner. Se o objeto de destino não aparecer, use ntdsutil e defina o número máximo usando maxpagesize para obter os resultados da pesquisa.
Clique duas vezes no objeto que você deseja recuperar ou reanimar.
Clique com o botão direito do mouse no objeto que você deseja reanimar e selecione Modificar.

Altere o valor do isDeleted atributo e o caminho DN em uma única operação de modificação do LDAP (Lightweight Directory Access Protocol). Para configurar a caixa de diálogo Modificar , siga estas etapas:
1. Na caixa Editar Atributo de Entrada, digite isDeleted. Deixe a caixa Valor em branco.
2. Selecione o botão de opção Excluir e, em seguida, selecione Enter para fazer a primeira das duas entradas na caixa de diálogo Lista de Entradas.
  
  Importante
  
  Não selecione Executar.
3. Na caixa Atributo, digite distinguishedName.
4. Na caixa Valores, digite o novo caminho DN do objeto reanimado.
  
  Por exemplo, para reanimar a conta de usuário JohnDoe para a UO Mayberry, use o seguinte caminho DN: cn= JohnDoe,ou= Mayberry,dc= contoso,dc= com
  
  Observação
  
  Se você quiser reanimar um objeto excluído para seu contêiner original, acrescente o valor do atributo lastKnownParent do objeto excluído ao seu valor CN e cole o caminho DN completo na caixa Valores .
5. Na caixa Operação, selecione SUBSTITUIR.
6. Selecione ENTER.
7. Marque a caixa de seleção Síncrono.
8. Marque a caixa de seleção Estendido .
9. Selecione Executar.
Depois de reanimar os objetos, selecione Controles no menu Opções , selecione o botão Check-out a ser removido (1.2.840.113556.1.4.417) da lista de caixas Controles Ativos.
Redefina senhas de contas de usuário, perfis, diretórios pessoais e associações de grupo para os usuários excluídos.

Quando o objeto foi excluído, todos os valores de atributo, exceto SID, ObjectGUID, LastKnownParent, e SAMAccountName foram removidos.
Habilite a conta reanimada em Usuários e Computadores do Active Directory.

Observação

O objeto reanimado tem o mesmo SID primário que tinha antes da exclusão, mas o objeto deve ser adicionado novamente aos mesmos grupos de segurança para ter o mesmo nível de acesso aos recursos. A primeira versão do Windows Server 2003 e posterior não preserva o sIDHistory atributo em contas de usuário, contas de computador e grupos de segurança reanimados. O Windows Server 2003 e posterior com o Service Pack 1 preserva o sIDHistory atributo em objetos excluídos.
Remova os atributos do Microsoft Exchange e reconecte o usuário à caixa de correio do Exchange.

Observação

A reanimação de objetos excluídos tem suporte quando a exclusão ocorre em um controlador de domínio do Windows Server 2003 e posterior. Não há suporte para a reanimação de objetos excluídos quando a exclusão ocorre em um controlador de domínio do Windows 2000 que é atualizado posteriormente para o Windows Server 2003 e posterior.

Observação

Se a exclusão ocorrer em um controlador de domínio do Windows 2000 no domínio, o atributo não será preenchido lastParentOf no Windows Server 2003 e em controladores de domínio posteriores.

Como determinar quando e onde ocorreu uma exclusão

Quando os usuários são excluídos devido a uma exclusão em massa, convém saber de onde a exclusão se originou. Para fazer isso, siga estas etapas:

Para localizar entidades de segurança excluídas, siga as etapas 1 a 7 na seção Como recuperar manualmente objetos no contêiner de um objeto excluído. Se uma árvore foi excluída, siga estas etapas para localizar um contêiner pai do objeto excluído.
Copie o objectGUID valor do atributo para a área de transferência do Windows. Você pode colar esse valor ao inserir o Repadmin comando na etapa 4.
Na linha de comando, execute o seguinte comando:
```
repadmin /showmeta GUID=<objectGUID> <FQDN>
```
Por exemplo, se o objectGUID objeto ou contêiner excluído for 791273b2-eba7-4285-a117-aa804ea76e95 e o FQDN (nome de domínio totalmente qualificado) for dc.contoso.com, execute o seguinte comando:
```
repadmin /showmeta GUID=791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com
```
A sintaxe desse comando deve incluir o GUID do objeto ou contêiner excluído e o FQDN do servidor do qual você deseja originar.

Na saída do Repadmin comando, localize a data, a hora e o controlador de domínio de origem do isDeleted atributo. Por exemplo, as informações do isDeleted atributo aparecem na quinta linha da seguinte saída de exemplo:

Loc.USN	DC de origem	Org.USN	Org.Hora/Data	Ver	Atributo
134759	Nome-do-Primeiro Site Padrão\NA-DC1	134759	Data e Hora	1	objectClass
134760	Nome-do-Primeiro Site Padrão\NA-DC1	134760	Data e Hora	2	ou
134759	Nome-do-Primeiro Site Padrão\NA-DC1	134759	Data e Hora	1	instanceType
134759	Nome-do-Primeiro Site Padrão\NA-DC1	134759	Data e Hora	1	whenCreated
134760	Nome-do-Primeiro Site Padrão\NA-DC1	134760	Data e Hora	1	é excluído
134759	Nome-do-Primeiro Site Padrão\NA-DC1	134759	Data e Hora	1	descritor nTSecurity
134760	Nome-do-Primeiro Site Padrão\NA-DC1	134760	Data e Hora	2	nome
134760	Nome-do-Primeiro Site Padrão\NA-DC1	134760	Data e Hora	1	últimoConhecidoPai
134760	Nome-do-Primeiro Site Padrão\NA-DC1	134760	Data e Hora	2	objectCategory

Se o nome do controlador de domínio de origem aparecer como um GUID alfanumérico de 32 caracteres, use o comando Ping para resolver o GUID para o endereço IP e o nome do controlador de domínio que originou a exclusão. O comando Ping usa a seguinte sintaxe:
```
ping -a <originating DC GUID>._msdomain controllers.<fully qualified path for forest root domain>
```
Observação

A opção -a diferencia maiúsculas de minúsculas. Use o nome de domínio totalmente qualificado do domínio raiz da floresta, independentemente do domínio em que o controlador de domínio de origem reside.

Por exemplo, se o controlador de domínio de origem residir em qualquer domínio na Contoso.com floresta e tiver um GUID de 644eb7e7-1566-4f29-a778-4b487637564b, execute o seguinte comando:
```
ping -a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com
```
A saída retornada por este comando é semelhante à seguinte:
```
Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:

Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
```

Como minimizar o impacto de exclusões em massa no futuro

As chaves para minimizar o impacto da exclusão em massa de usuários, computadores e grupos de segurança são:

Certifique-se de ter backups de estado do sistema atualizados.
Controle rigidamente o acesso a contas de usuário privilegiadas.
Controle rigidamente o que essas contas podem fazer.
Pratique a recuperação de exclusões em massa.

As alterações de estado do sistema ocorrem todos os dias. Essas alterações podem incluir:

Redefinições de senha em contas de usuário e contas de computador
Alterações de membros do grupo
Outras alterações de atributo em contas de usuário, contas de computador e grupos de segurança.

Se o hardware ou software falhar ou se o site sofrer outro desastre, você desejará restaurar os backups feitos após cada conjunto significativo de alterações em cada domínio e site do Active Directory na floresta. Se você não mantiver os backups atuais, poderá perder dados ou ter que reverter objetos restaurados.

A Microsoft recomenda que você execute as seguintes etapas para evitar exclusões em massa:

Não compartilhe a senha das contas de administrador internas nem permita que contas de usuário administrativo comuns sejam compartilhadas. Se a senha da conta de administrador interna for conhecida, altere a senha e defina um processo interno que desencoraje seu uso. Os eventos de auditoria para contas de usuário compartilhadas impossibilitam a determinação da identidade do usuário que está fazendo alterações no Active Directory. Portanto, o uso de contas de usuário compartilhadas deve ser desencorajado.
É raro que contas de usuário, contas de computador e grupos de segurança sejam excluídos intencionalmente. É especialmente verdadeiro para exclusões de árvores. Desassocie a capacidade dos administradores delegados e de serviço de excluir esses objetos da capacidade de criar e gerenciar contas de usuário, contas de computador, grupos de segurança, contêineres de UO e seus atributos. Conceda apenas às contas de usuário ou grupos de segurança mais privilegiados o direito de executar exclusões de árvore. Essas contas de usuário privilegiadas podem incluir administradores corporativos.
Conceda aos administradores delegados acesso somente à classe de objeto que esses administradores têm permissão para gerenciar. Por exemplo, o trabalho principal de um administrador de suporte técnico é modificar propriedades em contas de usuário. Ele não tem permissões para criar e excluir contas de computador, grupos de segurança ou contêineres de UO. Essa restrição também se aplica a permissões de exclusão para os administradores de outras classes de objeto específicas.
Experimente as configurações de auditoria para rastrear operações de exclusão em um domínio de laboratório. Depois de se sentir confortável com os resultados, aplique sua melhor solução ao domínio de produção.
O controle de acesso por atacado e as alterações de auditoria em contêineres que hospedam dezenas de milhares de objetos podem fazer com que o banco de dados do Active Directory cresça significativamente, especialmente em domínios do Windows 2000. Use um domínio de teste que espelhe o domínio de produção para avaliar possíveis alterações no espaço livre em disco. Verifique os volumes da unidade de disco rígido que hospedam os arquivos Ntds.dit e os arquivos de log dos controladores de domínio no domínio de produção para obter espaço livre em disco. Evite definir alterações de controle de acesso e auditoria no cabeçalho do controlador de rede de domínio. Fazer essas alterações se aplicaria desnecessariamente a todos os objetos de todas as classes em todos os contêineres da partição. Por exemplo, evite fazer alterações no registro de registro DNS (Sistema de Nomes de Domínio) e DLT (rastreamento de link distribuído) na pasta CN=SYSTEM da partição de domínio.
Use a estrutura de UO de práticas recomendadas para separar contas de usuário, contas de computador, grupos de segurança e contas de serviço em sua própria unidade organizacional. Ao usar essa estrutura, você pode aplicar DACLs (listas de controle de acesso discricionário) a objetos de uma única classe para administração delegada. E você possibilita que os objetos sejam restaurados de acordo com a classe do objeto se eles tiverem que ser restaurados. A estrutura de UO de práticas recomendadas é discutida na seção Criando um Design de Unidade Organizacional do seguinte artigo:
Práticas recomendadas de design do Active Directory para gerenciar redes Windows
Teste as exclusões em massa em um ambiente de laboratório que espelhe seu domínio de produção. Escolha o método de recuperação que faz sentido para você e personalize-o para sua organização. Você pode identificar:
- Os nomes dos controladores de domínio em cada domínio cujo backup é feito regularmente
- Onde as imagens de backup são armazenadas
  O ideal é que essas imagens sejam armazenadas em um disco rígido extra local para um catálogo global em cada domínio da floresta.
- Quais membros da organização do help desk devem ser contatados
- A melhor maneira de fazer esse contato
A maioria das exclusões em massa de contas de usuário, de contas de computador e de grupos de segurança que a Microsoft vê são acidentais. Discuta esse cenário com sua equipe de TI e desenvolva um plano de ação interno. Concentre-se na detecção precoce. E retorne a funcionalidade para os usuários e negócios do seu domínio o mais rápido possível. Você também pode tomar medidas para evitar que exclusões em massa acidentais ocorram editando as listas de controle de acesso (ACLs) das unidades organizacionais.

Para obter mais informações sobre como usar as ferramentas de interface do Windows para evitar exclusões em massa acidentais, consulte Protegendo-se contra exclusões em massa acidentais no Active Directory.

Ferramentas e scripts que podem ajudá-lo a se recuperar de exclusões em massa

O utilitário de linha de comando Groupadd.exe lê o memberOf atributo em uma coleção de usuários em uma UO e cria um arquivo .ldf que adiciona cada conta de usuário restaurada aos grupos de segurança em cada domínio na floresta.

Groupadd.exe descobre automaticamente os domínios e grupos de segurança dos quais os usuários excluídos eram membros e os adiciona novamente a esses grupos. Esse processo é explicado com mais detalhes na etapa 11 do método 1.

Groupadd.exe é executado no Windows Server 2003 e em controladores de domínio posteriores.

Groupadd.exe usa a seguinte sintaxe:

groupadd / after_restore ldf_file [/ before_restore ldf_file ]

Aqui, ldf_file representa o nome do arquivo .ldf a ser usado com o argumento anterior, after_restore representa a fonte de dados do arquivo do usuário e before_restore representa os dados do usuário do ambiente de produção. (A fonte de dados do arquivo do usuário são os dados bons do usuário.)

Para obter Groupadd.exe, entre em contato com o Atendimento Microsoft.

Os produtos de terceiros mencionados neste artigo são produzidos por empresas independentes da Microsoft. A Microsoft não oferece nenhuma garantia, implícita ou não, do desempenho ou da confiabilidade desses produtos.

Referências

Para obter mais informações sobre como usar o recurso Lixeira do AD incluído no Windows Server 2008 R2, consulte Guia passo a passo da Lixeira do Active Directory.

Compartilhar via

Como restaurar contas de usuário excluídas e suas associações de grupo no Active Directory

Introdução

Mais informações

Método 1 - Restaure as contas de usuário excluídas e, em seguida, adicione os usuários restaurados de volta aos seus grupos usando a ferramenta de linha de comando Ntdsutil.exe

Método 2 - Restaure as contas de usuário excluídas e, em seguida, adicione os usuários restaurados de volta aos seus grupos

Método 3 - Restaurar autoritativamente os usuários excluídos e os grupos de segurança dos usuários excluídos duas vezes

Como recuperar usuários excluídos em um controlador de domínio quando você não tem um backup de estado do sistema válido

Como recuperar manualmente objetos no contêiner de um objeto excluído

Como determinar quando e onde ocorreu uma exclusão

Como minimizar o impacto de exclusões em massa no futuro

Ferramentas e scripts que podem ajudá-lo a se recuperar de exclusões em massa

Referências

Comentários

Recursos adicionais