Restauración de usuarios / objetos de Active Directory eliminados

por | Jun 23, 2021 | Tips

Después de eliminar cualquier objeto en Active Directory (un usuario, un grupo, una computadora o una unidad organizativa), puede restaurarlo. En este artículo, mostraremos cómo restaurar un objeto eliminado en AD utilizando PowerShell y herramientas gráficas.

En primer lugar, veamos qué sucede cuando elimina un objeto del AD. El comportamiento de AD al eliminar objetos depende de si el Papelera de reciclaje de Active Directory está habilitado o no (está deshabilitado por defecto). En ambos casos, el objeto no se elimina físicamente, solo se marca como eliminado (el esta borrado el valor del atributo se cambia a verdadero) y se mueve a un especial Objetos eliminados contenedor (no se muestra en los complementos AD mmc). Sin embargo, si la Papelera de reciclaje de AD está habilitada, se conservan todos los atributos y miembros.

De forma predeterminada, puede restaurar un objeto eliminado en 180 días (se define en el msDS-deletedObjectLifetime atributo de dominio). Si el período ha terminado, el objeto aún permanece en el contenedor Objetos eliminados, pero la mayoría de sus atributos y enlaces se borran (Objeto reciclado). Después de la lápida sepulcral período (también es de 180 días de forma predeterminada, pero puede aumentarlo), el objeto se elimina por completo de AD durante una limpieza automática y no se puede restaurar (solo puede restaurar dicho objeto desde una copia de seguridad del controlador de dominio de AD).

Papelera de reciclaje de Active Directory

Papelera de reciclaje AD está disponible en Active Directory a partir del nivel funcional de Windows Server 2008 R2. En versiones anteriores de Windows Server, también puede restaurar objetos AD, pero requiere un conjunto complejo de acciones utilizando herramientas especiales: ntdsutil (hasta la restauración autorizada desde una copia de seguridad de AD en el modo de restauración del servicio de directorio) o ldp.exe Además, con la Papelera de reciclaje de AD, no perderá los atributos de los objetos ni la pertenencia a grupos.

Verifique el nivel funcional del bosque de AD (en mi ejemplo, es Ventanas2016Bosque):

Get-ADForest |Select-Object forestmode

Asegúrese de que la Papelera de reciclaje de AD esté habilitada para su dominio (está deshabilitada de manera predeterminada):

Get-ADOptionalFeature “Recycle Bin Feature” | select-object name,EnabledScope

Si el EnabledScope El valor no está vacío, significa que la Papelera de reciclaje de Active Directory está habilitada para su dominio.

Si desea habilitar la Papelera de reciclaje de Active Directory, use el Enable-ADOptionalFeature cmdlet:

Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=ConfigurationDC=woshub,DC=com’ –Scope ForestOrConfigurationSet –Target ‘woshub.com’

Nota. La Papelera de reciclaje de AD debe estar habilitada antes de eliminar un objeto del dominio. Después de habilitar la función Papelera de reciclaje de Active Directory, no puede deshabilitarla.

¿Cómo restaurar una cuenta de usuario eliminada en Active Directory?

Intentemos eliminar un usuario de AD y luego restaurarlo de la Papelera de reciclaje de AD.

Con el cmdlet Get-ADUser, muestre el valor del atributo IsDeleted de un usuario (está vacío):

get-aduser jsanti -Properties *| Select-Object IsDeleted,whenDeleted

Luego elimine la cuenta de usuario:

Remove-ADUser jsanti

get-aduser es propiedades eliminadas

Para encontrar una cuenta de usuario eliminada en la Papelera de reciclaje de AD, use el Get-ADObject cmdlet con el IncludeDeletedObjects parámetro:

Get-ADObject -Filter 'Name -like "*santi*"' –IncludeDeletedObjects

Get-ADObject encuentra el usuario eliminado IncludeDeletedObjects

Como puede ver, el usuario fue encontrado en el Objetos eliminados envase.

Verifique el valor del Esta borrado atributo, el contenedor en el que se encontraba el usuario antes de ser eliminado (LastKnownParent) y la lista de grupos de los que el usuario era miembro:

Get-ADObject -Filter 'Name -like "*santi*"' –IncludeDeletedObjects -Properties *| select-object Name, sAMAccountName, LastKnownParent, memberOf, IsDeleted|fl

Get-ADObject IncludeDeletedObjects - buscar propiedades

Si no recuerda el nombre del usuario que eliminó, puede mostrar una lista completa de los objetos disponibles en la Papelera de reciclaje de Active Directory:

Get-ADObject –filter {Deleted -eq $True -and ObjectClass -eq "user"} –includeDeletedObjects

Para restaurar una cuenta de usuario, copie el ObjectGUID valor y ejecute el siguiente comando:

Restore-ADObject -Identity ‘aa704b7f-b003-4a21-8f62-53c75caa67b2

O puede restaurar un usuario usando su SAMAccountName:

Get-ADObject -Filter 'SAMAccountName -eq "jsanti"' –IncludeDeletedObjects | Restore-ADObject

Abra la consola ADUC (dsa.msc) y asegúrese de que la cuenta de usuario se haya restaurado en la misma unidad organizativa en la que se encontraba antes de la eliminación.

usuario de AD restaurado con todos los atributos y pertenencia al grupo

También puede restaurar un objeto de cuenta de usuario eliminado desde la consola gráfica del Centro administrativo de Active Directory.

  1. Ejecutar el dsac.exe;
  2. Encuentra el Contenedor de objetos eliminados. Contiene todos los objetos AD eliminados;
  3. Haga clic en el objeto que desea restaurar y seleccione Restaurar (restaurar al contenedor original) o Restaurar a (para restaurar a otra unidad organizativa de AD).

restaurar al usuario del contenedor de objetos eliminados en el directorio activo

De la misma manera, puede restaurar un grupo eliminado, una computadora o un contenedor en Active Directory.

Para restaurar un grupo de seguridad eliminado:

Get-ADObject -Filter { Deleted -eq $True -and ObjectClass -eq 'group' -and Name -like '*Allow*' } –IncludeDeletedObjects| Restore-ADObject –verbose

Para restaurar una computadora:

Get-ADObject -Filter { Deleted -eq $True -and ObjectClass -eq 'computer' -and Name -like '*PCCA-sdd9302*' } –IncludeDeletedObjects| Restore-ADObject –verbose

¿Cómo restaurar una unidad organizativa eliminada y sus objetos anidados con PowerShell?

Por ejemplo, tenías el Proteger el objeto de una eliminación accidental opción desactivada para una OU, y ocasionalmente ha eliminado la OU con todos sus usuarios, equipos y grupos.

Recuperación de unidades organizativas anidadas en Active Directory cuando "Proteger el objeto de una eliminación accidental" la opción está deshabilitada

En primer lugar, debe restaurar la unidad organizativa raíz:

Get-ADObject -Filter {Deleted -eq $True -and ObjectClass -eq 'organizationalunit' -and Name -like '*California*'} –IncludeDeletedObjects| Restore-ADObject

Luego restaure todas las unidades organizativas anidadas:

Get-ADObject -Filter {Deleted -eq $True -and ObjectClass -eq 'organizationalunit' -and LastKnownParent -eq 'OU=California,DC=woshub,DC=com'} –IncludeDeletedObjects| Restore-ADObject

Después de eso, puede restaurar todos los objetos eliminados en las unidades organizativas utilizando el parámetro LastKnownParent (usuarios, computadoras, grupos y contactos):

Get-ADObject -Filter {Deleted -eq $True} –IncludeDeletedObjects -Properties *| Where-Object LastKnownParent -like '*OU=California,DC=woshub,DC=com'| Restore-ADObject

Recomendado para ti

Artículos relacionados: