Ну что же, вот мы и столкнулись с ситуацией, когда случайно была удалена учетная запись сотрудника в Active Directory. Сотрудник возмущается, не может работать, грозит всякими карами, но поддаваться вместе с ним панике мы не станем, а просто восстановим эту учётку.
На самом деле, при удалении из AD объекты не удаляются, а помечаются на удаление — у них появляется параметр isDeleted со значением True и к параметру distinguishedName после имени объекта добавляется флаг ADEL, поэтому наша задача удалить первый параметр и исправить второй.
Для этого нам нужна утилита LDP.exe. Позволяет работать с LDAP, может быть установлена через установку компонент в Windows 2008 в составе Active Directory Application Mode (ADAM) или вместе с Support Tools для Windows 2003 .
Запускаем и видим два окна — дерево консоли и область данных. В меню жмём «Подключение» -> «Подключить» и выбираем сервер, к которому будем подключаться.
Теперь нужно привязаться с использованием учетных данных администратора предприятия. Жмём «Подключение» -> «Привязка»
и вводим данные админа предприятия для подключения
Чтобы увидеть удаленные объекты, открываем пункт «Элементы» в меню «Параметры» (или жмём Ctrl+L)
и из предопределённых загрузок выбираем пункт «Return deleted objects»
Теперь, после подключения к AD и настройки нужных параметров, подключаемся к дереву Active Directory: жмём «Вид» -> «Дерево» (или Ctrl+T)
и вводим его имя: DC=domain, DC=local
После подключения разворачиваем в дереве раздел «Deleted Objects»
и находим ранее удаленного пользователя с параметром ADEL (в данном случае, это девушка с именем Лаура. Фамилию в целях конфиденциальности потёр).
Жмём на этого пользователя правой кнопкой и выбираем пункт «Изменить«. Перед нами открывается окно изменения параметров, в котором в блоке «Изменить запись» в поле «Атрибут» вводим вручную «isDeleted«, в блоке «Операция» выбираем «Удалить» и жмём мышью на кнопку «Ввод«. В поле «Список записей» должна появиться строка «[Delete]isDeleted:«, как на картинке:
После этого, не закрывая окно, в поле в поле «Атрибут» вводим вручную «distinguishedName«, а в поле «Значение» вводим CN=Имя объекта (в данном случае это Лаура и её фамилия), ставим запятую и после нее вводим значение параметра distinguishedName из предыдущего окна (это полный путь к ранее удалённой учётке). В блоке «Операция» выбираем «Заменить» и жмём мышью на кнопку «Ввод«. В поле «Список записей» должна появиться еще одна строка «[Replace]distinguishedName:CN=…«.
Проверяем, чтобы стояли «галочки» Синхронно и Расширенный и жмём кнопку Выполнить
А вот и предыдущее окно, на котором мы ищем значение параметра distinguishedName.
О том, что всё прошло успешно, мы можем прочитать в основном окне:
Остался один маленький подводный камень — при попытке включить объект в AD появляется ошибка о несоответствии пароля политике безопасности.
Просто меняем свежевосстановленному пользователю пароль, снова включаем его учётку и радуемся вместе с человеком.
Ну вот, теперь мы знаем, что делать, если была удалена учётная запись пользователя в Active Directory. Самое главное правило в любой внештатной ситуации — не нужно паниковать! 😉