Удаленный компьютер из домена, как его вернуть

Обновлено: 21.11.2024

  1. Запустите gpmc.msc → отредактируйте «Политику домена по умолчанию» → Конфигурация компьютера → Политики → Параметры Windows → Параметры безопасности:
    • Локальные политики → Политика аудита → Аудит управления учетной записью → Определить → Успех
    • Журнал событий → Определить → Максимальный размер журнала безопасности до 1 ГБ и метод хранения журнала безопасности для перезаписи событий по мере необходимости.
  2. Откройте редактор ADSI → Подключиться к контексту именования по умолчанию → щелкните правой кнопкой мыши «DC=имя домена» → «Свойства» → «Безопасность» (вкладка) → «Дополнительно» → «Аудит» (вкладка) → нажмите «Добавить» → выберите следующие параметры:
    • Директор: все; Тип: Успех; Применяется к: этому объекту и всем дочерним объектам; Разрешения: Удалить, Удалить поддерево, Записать все свойства → Нажмите «ОК».
  3. Чтобы определить, какая учетная запись компьютера была удалена, отфильтруйте журнал событий безопасности для события с идентификатором 4743.
  1. Запустите Netwrix Auditor → Перейдите к «Поиск» → Нажмите «Расширенный режим», если он не выбран → Настройте следующие фильтры:
    • Фильтр = "Источник данных"
      Оператор = "Равно"
      Значение = "Active Directory"
    • Фильтр = "Тип объекта"
      Оператор = "Равно"
      Значение = "Компьютер"
    • Фильтр = "Действие"
      Оператор = "Равно"
      Значение = "Удалено"
  2. Нажмите кнопку "Поиск" и проверьте, кто удалил учетные записи компьютеров.

Определите, кто удалил учетные записи компьютеров, чтобы избежать ошибок аутентификации

Неправильное удаление учетной записи пользователя может вызвать серьезные проблемы для организации. Пользователи, чьи учетные записи компьютеров были удалены, не смогут войти в ИТ-системы, используя аутентификацию своего домена. Если они уже вошли в систему, у них возникнут проблемы с доступом к электронной почте, общим папкам, SharePoint и другим ресурсам. Помимо потери производительности, ИТ-специалистам приходится тратить время на изучение причин возникновения ошибки аутентификации. Чтобы избежать этих проблем, крайне важно своевременно обнаруживать удаление учетных записей компьютеров.

Netwrix Auditor для Active Directory обеспечивает полную видимость активности в Active Directory и групповой политике, предоставляя полезные данные аудита о событиях и изменениях доступа. Настраиваемые оповещения по электронной почте уведомляют ИТ-администраторов, когда кто-либо удаляет учетные записи компьютеров, чтобы они могли быстро отреагировать на нежелательное удаление и предотвратить проблемы, возникающие, когда система не может аутентифицировать пользователя. Отчеты об аудите содержат важные сведения, например, кто удалил учетную запись компьютера, а также когда и где произошло изменение, поэтому администраторы могут исследовать и предотвращать возникновение подобных проблем в будущем.

Дэнни Мерфи

Если объект был удален из вашей Active Directory и вы хотите его восстановить, вы можете сделать несколько вещей. В этой статье вы найдете некоторую справочную информацию о том, что происходит с удаленными объектами Active Directory и какие у вас есть варианты, когда дело доходит до их восстановления.

Цикл удаленных объектов

Посмотрите на следующие изображения цикла удаленного объекта в Active Directory до и после включения «Корзины Active Directory»:

Рисунок 1. Жизненный цикл удаленного объекта Active Directory до включения корзины Рисунок 2. Жизненный цикл удаленного объекта Active Directory после включения корзины

Включение корзины Active Directory дает больше возможностей для восстановления удаленного объекта. Лучше включить его!

Как включить корзину Active Directory

Корзину Active Directory можно активировать, только если все контроллеры домена работают под управлением Windows Server 2016, Windows Server 2012 R2, Windows Server 2012 или Windows Server 2008 R2. Примечание. Включение корзины Active Directory необратимо.

Выполните следующую команду, чтобы включить корзину Active Directory:

Если вы используете Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012, вы можете использовать центр администрирования Active Directory, чтобы включить корзину.

Что происходит с удаленным объектом Active Directory?

В следующей таблице сравнивается цикл удаления объекта до и после включения «Корзины Active Directory»:

Таблица 1. Сравнение этапов удаления объектов до и после включения корзины Active Directory

Время жизни захоронения составляет от 60 дней для Windows Server 2000/2003 до 180 дней для Windows Server 2003 SP1/2008 (в более поздних версиях это можно изменить с помощью инструмента ADSIEdit).

Подключитесь к разделу «Конфигурация», перейдите к разделу «CN=Configuration,DC=www,DC=domain,DC=com» и разверните его.

Щелкните правой кнопкой мыши «CN=Directory Service» и откройте его свойства.Вы можете отредактировать атрибут «tombstoneLifetime» в диалоговом окне «Свойства» и соответствующим образом изменить его значение.

Если вам это нравится, вам понравится это:

Собственные методы восстановления удаленных объектов Active Directory

Реанимация удаленных объектов в Active Directory может выполняться несколькими способами. Ниже приведены некоторые из наиболее часто используемых собственных методов восстановления удаленных объектов в Active Directory.

Тестовый пример. В этом сценарии пользователь («testuser3») был удален из Active Directory. Вы можете использовать следующие методы для восстановления удаленного объекта:

  • Способ 1. Использование команд PowerShell
  • Способ 2 – использование утилиты LDP
  • Способ 3. Использование Центра администрирования Active Directory

Способ 1. Использование команд PowerShell

Выполните следующие шаги:

    Шаг 1. Выполните следующую команду в модуле Active Directory для Windows PowerShell и нажмите «Ввод». Запустите эту команду, чтобы показать удаленный объект:

Объект восстанавливается в прежнее место в Active Directory после извлечения из «Контейнера удаленных объектов»

Способ 2. Использование утилиты LDP

Выполните следующие шаги:

  • Шаг 1. В меню «Пуск» или «Командной строке» введите «ldp.exe» и нажмите клавишу «Ввод», чтобы запустить утилиту ldp.exe.
  • Шаг 2. Выберите «Подключение» в «Меню подключения», чтобы открыть диалоговое окно «Подключение». Введите имя домена и номер порта по умолчанию 389.
  • Шаг 3. Нажмите «ОК», чтобы установить соединение.
    Рис. 4. Диалоговое окно "Подключение"
  • Шаг 4. Нажмите «Привязать» в меню «Подключение», чтобы открыть диалоговое окно «Привязать». Выберите «Привязать к текущему пользователю, вошедшему в систему» ​​и нажмите «ОК».
    Рис. 5. Диалоговое окно "Привязка"

Объект можно восстановить в корневом домене, но нельзя восстановить в родительском организационном подразделении. После восстановления объекта необходимо вручную переместить объект в его родительский контейнер.

Способ 3. Использование Центра администрирования Active Directory

Выполните следующие действия, чтобы восстановить удаленные объекты в Windows Server 2012 и Windows Server 2012 R2:

  • Шаг 1. Перейдите к запуску и введите dsac.exe. Откройте «Центр администрирования Active Directory».
  • Шаг 2. На левой панели щелкните имя домена и выберите контейнер «Удаленные объекты» в контекстном меню.
  • Шаг 3. Щелкните контейнер правой кнопкой мыши и выберите «Восстановить», чтобы восстановить удаленные объекты.
    Рис. 9. Удаленный объект отображается в контейнере «Удаленные объекты»

Ограничения восстановления объектов с помощью собственных методов

Возможности резервного копирования и восстановления Active Directory ограничены. Вот лишь некоторые из этих ограничений:

  • Встроенная функция создания отчетов не содержит подробных сведений.
  • Собственные методы не позволяют восстанавливать удаленные объекты, которые перешли в состояние "Переработано" или "Физически удалено".
  • Вам необходимо четкое понимание команд PowerShell и шагов для LDP.exe. Последнее сложнее первого.
  • Это не гарантирует доступность резервной копии в любое время и в любом месте. Местом резервного копирования данных являются только локальные диски и общие сетевые ресурсы.
  • Он предлагает только ежечасные/ежедневные резервные копии.
  • Вы не можете восстановить определенный объект или атрибут.
  • Локальные политики объектов не могут быть восстановлены.
  • Поиск определенных объектов в резервной копии занимает довольно много времени.
  • Выбрать правильный набор атрибутов для восстановления из огромного массива журналов — сложная задача.

Как Lepide помогает восстановить удаленные объекты Active Directory

Бывают случаи, когда нужные вам объекты случайно или намеренно удаляются из Active Directory. В таких случаях мастер восстановления объектов Lepide (часть Lepide Data Security Platform) позволяет одним щелчком мыши откатить эти изменения до исходного состояния.

Это можно сделать, автоматически создавая моментальные снимки резервных копий Active Directory и объектов групповой политики и сохраняя их состояние через регулярные промежутки времени. Администраторы могут использовать эти снимки для восстановления удаленных и измененных объектов.

С помощью этих снимков можно восстановить даже те объекты, которые находятся в физически удаленном или повторно используемом состоянии. После запуска мастера Lepide Data Security Platform позволяет выбрать моментальный снимок резервной копии, с которым вы хотите сравнить текущее состояние Active Directory. Пользователь попадает на следующую страницу после этого сравнения, и он показывает список удаленных и измененных объектов в Active Directory.

Рисунок 10: Мастер восстановления объектов Lepide

Это решение также позволяет восстанавливать объекты Active Directory из их состояния захоронения.

Рисунок 11. Выбор удаленных элементов для восстановления

Вы также можете щелкнуть правой кнопкой мыши любое нежелательное изменение или удаление объекта в Active Directory и нажать «Откатить изменение», чтобы восстановить изменение одним щелчком мыши. Нажмите здесь, чтобы узнать больше о мастере восстановления объектов Lepide

Если объект в вашей среде Active Directory (AD) был удален и вам необходимо его восстановить, Microsoft предлагает несколько различных способов сделать это. В этом руководстве объясняются шаги, необходимые для восстановления удаленных объектов AD со всеми их неповрежденными атрибутами.

Встроенные инструменты для восстановления удаленных объектов.

В AD для восстановления удаленных объектов можно использовать следующие инструменты:

  • PowerShell
  • Утилита LDP
  • Центр администрирования Active Directory (применимо для Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012)

Чтобы любой из вышеперечисленных методов работал, должна быть включена собственная корзина AD. Если Корзина не включена, большинство атрибутов объектов будут удалены при удалении объектов. Объекты все еще можно восстановить, но отсутствующие атрибуты придется добавить обратно вручную.

С другой стороны, если корзина включена, объекты и все их атрибуты сохраняются в течение срока жизни захоронения, который можно задать, изменив атрибут msDS-deletedObjectLifetime.

Как включить корзину AD?

Прежде чем включать корзину AD, убедитесь, что функциональные уровни домена и леса находятся как минимум на уровне Windows Server 2008 R2.

Примечание. После включения корзины AD ее нельзя отключить.

Чтобы включить корзину AD, выполните следующую команду в PowerShell:

Если вы используете Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012, вы можете использовать центр администрирования Active Directory, чтобы включить корзину.

  • В консоли управления выберите Инструменты ➝ Центр администрирования Active Directory.
  • На левой панели выберите домен, для которого вы хотите включить корзину.
  • В разделе "Задачи" в правой части экрана выберите "Включить корзину".
  • Появится диалоговое окно с сообщением, объясняющим, что это действие необратимо. Нажмите "ОК".
  • Включение корзины внесет изменения в раздел конфигурации. Дождитесь завершения репликации AD. Этот процесс может занять некоторое время, если ваша организация имеет большую инфраструктуру AD.

Восстановление удаленных объектов с помощью Powershell.

Чтобы восстановить удаленный объект, откройте PowerShell и введите следующую команду:

Restore-ADObject -Identity $dn

Здесь $dn — отличительное имя восстанавливаемого объекта. Чтобы найти отличительное имя объекта, используйте следующий сценарий в PowerShell:

(Get-ADObject -SearchBase (get-addomain).deletedobjectscontainer -IncludeDeletedObjects -filter "samaccountname -eq '%OLD_NAME%' ")

Чтобы найти различающееся имя объекта и выполнить восстановление, используйте следующий сценарий в PowerShell:

(Get-ADObject -SearchBase (get-addomain).deletedobjectscontainer -IncludeDeletedObjects -filter "samaccountname -eq '%OLD_NAME%' ") | Восстановить-ADObject

Здесь %OLD_NAME% — это имя объекта перед удалением.

Хотите восстановить удаленные объекты в AD без скриптов?

Попробуйте RecoveryManager Plus

Восстановление удаленных объектов с помощью утилиты LDP.

  • Откройте командную строку. Введите ldp.exe и нажмите клавишу Enter, чтобы запустить утилиту ldp.exe.
  • Откройте диалоговое окно "Подключение", выбрав "Подключение" ➝ "Подключить".
  • Введите имя домена и номер порта по умолчанию (389).
  • Нажмите "ОК".
  • Перейдите к Connect ➝ Bind или нажмите Ctrl + B, чтобы открыть диалоговое окно Bind.
  • Выберите «Привязать пользователя, выполнившего вход в систему в данный момент», и нажмите «ОК».
  • Выберите «Параметры» ➝ «Управление» или нажмите сочетание клавиш Ctrl + L.
  • Перейдите к пункту «Загрузить предопределенные» ➝ «Вернуть удаленные объекты» и нажмите «ОК».
  • Выберите Вид ➝ Дерево. Укажите различающееся имя контейнера удаленных объектов в предоставленном пространстве. В данном случае CN=Deleted Objects,DC=zylker,dc=com.
  • Нажмите "ОК", чтобы просмотреть удаленные объекты.
  • Разверните контейнер на левой панели.
  • Найдите удаленный объект на левой панели.
  • Щелкните объект правой кнопкой мыши и выберите "Изменить".
  • В появившемся диалоговом окне введите IsDeleted в поле "Редактировать атрибут записи".
  • Выберите вариант «Удалить» и нажмите «Ввод».
  • Введите отличительное имя в поле "Редактировать атрибут записи" и укажите отличительное имя объекта в поле "Значения".
  • Убедитесь, что установлен флажок "Расширенные".
  • Нажмите «Выполнить», чтобы восстановить объект.

Примечание. При восстановлении объектов внутри организационной единицы (OU) убедитесь, что предоставленное вами различающееся имя содержит имя родительской OU. Если родительское подразделение не указано, объект будет восстановлен в корневом домене, и вам придется вручную переместить его в нужное подразделение.

Восстановление удаленных объектов с помощью Центра администрирования AD.

  • Откройте Центр администрирования Active Directory из меню "Пуск".
  • На левой панели щелкните имя домена и выберите под ним контейнер "Удаленные объекты".
  • Выберите удаленный объект и нажмите кнопку "Восстановить" на правой панели.

Ограничения собственных инструментов восстановления.

  • Поиск определенных удаленных объектов с помощью PowerShell и утилиты LDP занимает много времени.
  • По умолчанию захороненные объекты пользователей и компьютеров не содержат пароль (Unicode-pwd), поэтому восстановленные пароли учетных записей пользователей и компьютеров не восстанавливаются. Пароли восстановленных учетных записей пользователей должны быть сброшены, а объекты компьютеров должны быть добавлены обратно в домен вручную системным администратором. Для восстановления паролей пользователей и компьютеров значение атрибута searchFlag в объекте схемы Unicode-pwd должно быть изменено с 0 на 8.
  • Для выполнения полного восстановления необходимо включить собственную корзину, что может увеличить размер информационного дерева каталогов (DIT).
  • Объекты, у которых истек срок жизненного цикла захоронения, не могут быть восстановлены.

RecoveryManager Plus: упрощение восстановления AD.

RecoveryManager Plus от ManageEngine позволяет преодолеть все недостатки встроенных инструментов, добавляя при этом дополнительные преимущества за счет добавления других возможностей.

С помощью RecoveryManager Plus вы можете восстанавливать объекты со всеми их неповрежденными атрибутами, даже если собственная корзина не включена; это возможно, потому что RecoveryManager Plus поставляется с собственной функцией корзины. Там можно найти все удаленные объекты AD и даже просмотреть атрибуты, которые будут восстановлены вместе с объектом. Вы также можете использовать доступные фильтры, чтобы ограничить результаты поиска требуемым типом объекта (пользователь, подразделение, группа и т. д.) или искать удаленный объект по имени.

RecoveryManager Plus — лучшая альтернатива встроенным инструментам: нет бесконечного написания сценариев PowerShell; не нужно просеивать бесчисленные записи, чтобы найти удаленный объект, как в утилите LDP.

Другие ключевые функции RecoveryManager Plus.

Помимо восстановления удаленных объектов, RecoveryManager Plus — это многогранный инструмент с несколькими возможностями, которые делают его обязательным для системных администраторов, которым нужен полный контроль над содержимым их AD.

Функции PowerShell Утилита LDP Центр администрирования Active Directory RecoveryManager Plus
Восстановление действующих объектов AD до любой из их прошлых версий
Откат AD
Выборочное восстановление объекта групповой политики

Узнайте больше о различных функциях RecoveryManager Plus.

Попробуйте RecoveryManager Plus, чтобы испытать такие функции, как резервное копирование и восстановление объектов AD, а также воспользоваться включенной поддержкой, если вам понадобится помощь.

Спасибо!

Идет загрузка, и она будет завершена всего через несколько секунд!
Если у вас возникнут проблемы, загрузите вручную здесь

Другие ссылки по теме

Единое окно для Active Directory, Microsoft Office 365,
Google Workspace и Exchange Backup

Другие полезные ссылки

Автоматическое резервное копирование

Резервное копирование RecoveryManager Plus обеспечивает все характеристики хорошей системы резервного копирования за счет сохранения последних резервных копий и обеспечения согласованности резервных копий данных.

Выборочное восстановление

Благодаря своей способности восстанавливать данные онлайн и детально, RecoveryManager Plus превосходит встроенные возможности восстановления Active Directory и восстанавливает вашу AD на момент времени, когда нежелательных изменений еще не было.

Изменить откат

Функция отката дает вам возможность восстанавливать объект Active Directory, устранять любые аварии и восстанавливать Active Directory до точки по вашему выбору, и делать все это без выключения или перезапуска контроллера домена.

Являясь основной службой проверки подлинности в большинстве организаций по всему миру, работоспособность и операционная целостность Active Directory напрямую влияют на общую безопасность вашей организации. Возможность отката и восстановления после изменений в вашей инфраструктуре Active Directory, будь то случайных или злонамеренных, является важным и часто упускаемым из виду аспектом вашей способности поддерживать безопасность и производительность вашей сети

Когда объекты Active Directory удаляются, они помещаются в контейнер "Удаленные объекты", также известный как корзина AD. По умолчанию этот контейнер не отображается администратору, и его необходимо включить вручную либо с помощью скрипта, либо с помощью утилиты LDP.exe. После включения корзины активного каталога существует несколько собственных методов восстановления удаленных учетных записей на сервере Windows, таких как утилита LDP.exe, запросы PowerShell и центр администрирования. Самый простой способ восстановить удаленных пользователей — использовать функцию Центра администрирования. Пожалуйста, ознакомьтесь с приведенными ниже инструкциями по поиску удаленных пользователей в Active Directory и восстановлению удаленных пользователей.

Восстановление объекта пользователя с помощью Центра администрирования AD

Шаг 1. Запустите Центр администрирования Active Directory (или запустите dsac.exe)

Шаг 2. На левой панели выберите домен, в котором находился удаленный объект.

Шаг 3. В центральной панели выберите удаленные объекты

Шаг 4. Найдите пользователя и нажмите «Восстановить».

Шаг 5. При желании вы можете выбрать восстановление в определенный контейнер

Как использовать StealthRECOVER для отката и восстановления

StealthRECOVER обеспечивает откат и восстановление объектов Active Directory, атрибутов, встроенной DNS и т. д. на определенный момент времени, позволяя организациям восстанавливать объекты целиком или только необходимую детальную информацию об атрибутах. Ознакомьтесь с нашим пошаговым руководством ниже, чтобы восстановить пользователей в AD с помощью StealthRECOVER.

Шаг 1. Перейдите и найдите пользовательский объект, который вы хотите восстановить, или воспользуйтесь нашей панелью быстрого поиска объектов, расположенной в левой части консоли.

Шаг 2. Выберите атрибуты, которые вы хотите откатить

Шаг 3. Дополнительно StealthRECOVER позволяет администратору ввести комментарий/примечание о выполненном откате и параметрах пароля, чтобы принудительно сменить пароль, назначить новый пароль и/или активировать учетную запись пользователя.

Читайте также: