Сен 20 2012

Ну что же, вот мы и столкнулись с ситуацией, когда случайно была удалена учетная запись сотрудника в Active Directory. Сотрудник возмущается, не может работать, грозит всякими карами, но поддаваться вместе с ним панике мы не станем, а просто восстановим эту учётку.

На самом деле, при удалении из AD объекты не удаляются, а помечаются на удаление — у них появляется параметр isDeleted со значением True и к параметру distinguishedName после имени объекта добавляется флаг ADEL, поэтому наша задача удалить первый параметр и исправить второй.

Для этого нам нужна утилита LDP.exe. Позволяет работать с LDAP, может быть установлена через установку компонент в Windows 2008 в составе Active Directory Application Mode (ADAM) или вместе с Support Tools для Windows 2003 .

Запускаем и видим два окна — дерево консоли и область данных. В меню жмём «Подключение» -> «Подключить» и выбираем сервер, к которому будем подключаться.

Теперь нужно привязаться с использованием учетных данных администратора предприятия. Жмём «Подключение» -> «Привязка»

и вводим данные админа предприятия для подключения

Чтобы увидеть удаленные объекты, открываем пункт «Элементы» в меню «Параметры» (или жмём Ctrl+L)

и из предопределённых загрузок выбираем пункт «Return deleted objects»

Теперь, после подключения к AD и настройки нужных параметров, подключаемся к дереву Active Directory: жмём «Вид» -> «Дерево» (или Ctrl+T)

и вводим его имя: DC=domain, DC=local

После подключения разворачиваем в дереве раздел «Deleted Objects»

и находим ранее удаленного пользователя с параметром ADEL (в данном случае, это девушка с именем Лаура. Фамилию в целях конфиденциальности потёр).

Жмём на этого пользователя правой кнопкой и выбираем пункт «Изменить«. Перед нами открывается окно изменения параметров, в котором в блоке «Изменить запись» в поле «Атрибут» вводим вручную «isDeleted«, в блоке «Операция» выбираем «Удалить» и жмём мышью на кнопку «Ввод«. В поле «Список записей» должна появиться строка «[Delete]isDeleted:«, как на картинке:

После этого, не закрывая окно, в поле в поле «Атрибут» вводим вручную «distinguishedName«, а в поле «Значение» вводим CN=Имя объекта (в данном случае это Лаура и её фамилия), ставим запятую и после нее вводим значение параметра distinguishedName из предыдущего окна (это полный путь к ранее удалённой учётке). В блоке «Операция» выбираем «Заменить» и жмём мышью на кнопку «Ввод«. В поле «Список записей» должна появиться еще одна строка «[Replace]distinguishedName:CN=…«.

Проверяем, чтобы стояли «галочки» Синхронно и Расширенный и жмём кнопку Выполнить

А вот и предыдущее окно, на котором мы ищем значение параметра distinguishedName.

О том, что всё прошло успешно, мы можем прочитать в основном окне:

Остался один маленький подводный камень — при попытке включить объект в AD появляется ошибка о несоответствии пароля политике безопасности.

Просто меняем свежевосстановленному пользователю пароль, снова включаем его учётку и радуемся вместе с человеком.

Ну вот, теперь мы знаем, что делать, если была удалена учётная запись пользователя в Active Directory. Самое главное правило в любой внештатной ситуации — не нужно паниковать! 😉

Автор: Johnny Тэги: , , , , , , , , , , , ,

Блог саратовского админа

При использовании материалов сайта на других ресурсах прошу оставлять прямую ссылку на оригинал статьи.