Восстановление удалённой записи Active Directory, а другими словами — восстановление удалённой доменной записи, например учётной записи пользователя.
Недавно я случайно удалил доменную учётную запись пользователя на контроллере домена Windows 2003. Надо было срочно восстанавливать «учётку», а штатных средств для этого нет.
Создать новую учётную запись с теми же логином, паролем и именем? Это самый плохой способ, потому что у каждой учётной записи есть свой уникальный номер — SID. Это означает, что у новой учётной записи Active Directory будет и новый SID. То есть, все права в домене, на серверах и на рабочих станциях надо будет раздавать заново. Профиль на рабочих станциях тоже создастся новый и пользователь не увидит своего рабочего стола. Этот способ восстановления удалённой доменной учётной записи пользователя я сразу отбросил…
Записи в Active Directory сразу не удаляются, они только помечаются для удаления и в течение некоторого времени «учётки» ещё живы. Надо только снять признак удаления.
Есть способ восстановления при помощи программы LDP.exe, но мне он показался слишком сложным.
Я выбрал способ проще и нагляднее. Для этого способа восстановления удалённой записи Active Directory нужны две программы: «AdRestore» и «AdExplorer» — это официальные утилиты от Микрософт, выложены на сайте technet.microsoft.com. Проще всего просто забить их названия в любом поисковике, но вот ссылку для скачивания надо выбрать только ту, где есть упомянутый сайт (это для безопасности и надёжности, поэтому ссылок не даю).
«AdRestore» — утилита для непосредственного восстановления, она работает из командной строки.
«AdExplorer» — показывает содержимое Active Directory, в том числе контейнер с записями, помеченными для удаления, но которые ещё не удалены. Нам она нужна для получения точного названия восстанавливаемой записи (для этого есть и другие способы, но мне же надо что попроще…)
Все работы делаем на контроллере домена.
Итак, сначала скачиваем «AdExplorer». Запускаем его и видим окно, где нужно заполнить три поля: названием домена, в котором мы удалили запись, логин администратора домена и его пароль.
Далее открывается дерево объектов, раскрываем его и находим ветку «CN=Deleted Objects», заходим в неё и в длинном списке находим нашу удалённую запись, начинающуюся на CN. Из этой записи нам нужно значение CN, это полное имя пользователя, скорее всего фамилия, имя и отчество с пробелами, оно нужно в точности таким какое есть, — латиницей или кириллицей, с учётом больших и маленьких букв и пробелов.
Всё, больше нам здесь ничего не надо, но программу не закрываем — будем списывать имя отсюда. Пусть это будет CN=Иван Петрович Соколов.
Далее скачиваем «AdRestore», например в папку C:\adrestore. Запускаем командную строку и вводим:
C:\adrestore\AdRestore -r «Иван Петрович Соколов»
На появившийся вопрос о восстановлении y/n отвечаем естественно: y
После этого выдастся сообщение:
«Не удалось включить объект Иван Петрович Соколов по следующей причине.
Не удаётся обновить пароль. Введенный пароль не обеспечивает требований домена к длине пароля, его сложности или истории обновлений.»
Не обращаем внимания — жмём «Ок».
Всё, запись восстановлена. Ошибка, которую Вы только что видели говорит просто о том, что по умолчанию восстановленная запись отключена и у неё нет пароля. Описывать как её включить и выставить пароль наверное излишне, это обычная операция — правой кнопкой по «свойствам» и «сменить пароль».
Вот и всё. Удалённая доменная учётная запись была успешно восстановлена и доменный пользователь удачно зашёл в систему как будто ничего и не было.
