Recuperando objetos excluídos do Active Directory

Amigos,

Voltando de férias, encontrei alguns itens pendentes de serem postados. Ese é de novembro de 2011, quando ministrei o curso oficial 6425 – “Configuring and Troubleshooting Windows Server® 2008 Active Directory® Domain Services” (informações aqui). Neste curso revi com a turma vários conceitos que vieram das versões anteriores (Windows 2000, 2003), além de novas funcionalidades.

Um procedimento que efetuamos, bem documentado no Technet (www.microsoft.com/technet) é o restore de objetos excluídos do Active Directory. Usando a ferramenta LDP podemos recuperar apenas um objeto ou uma árvore inteira (uma OU e seus usuários, por exemplo).

Vou publicar hoje o procedimento de recuperação com a ferramenta LDP. No exemplo, vamos recuperar um usuário excluído.

Quando um objeto é excluído, na realidade ele é movido para um container especial na partição de domínio, chamado Deleted Objects. O distinguished name deste container é semelhante a:

CN=Deleted Objects,DC=dominio,DC=com

Após a exclusão, o objeto permanece por aproximadamente 180 dias (tombstone period), até que o processo de desfragmentação online do Active Directory remove fisicamente da base.

O procedimento é este:

  • Em um controlador de domínio, usando credenciais administrativas, abrir a ferramenta LDP.EXE
  • No menu Connection, selecione Connect
  • Informe o nome de um controlador de domínio (onde a exclusão do usuário já foi propagada, via replicação) e clique OK
  • Em Connection, selecione Bind; utilize as credenciais do usuário logged on
  • No menu Options, selecione Controls; na lista Load Predefined, escolha Return Deleted Objects e clique em OK
  • No menu View, escolha a opção Tree e clique OK; no diálogo seguinte, digite CN=Deleted Objects,DC=domain,DC=com
  • No painel do lado esquerdo da janela, expanda a raiz, localize e selecione o usuário que deve ser restaurado (clique para selecionar)
  • Clique com o botão direito sobre o usuário e selecione Modify
  • Neste momento, duas ações são necessárias: alterar o atributo isDeleted e informar o local para onde o objeto será restaurado.
    • Na caixa Attribute, digite isDeleted.
    • Na seção Operation, click Delete.
    • Clique (importante!) no botão Enter
    • Na caixa Attribute, digite distinguishedName
    • Na caixa Values, digite o distinguished name do objeto no container “pai” (como ficará o Distinguished Name do objeto após ser restaurado; por exemplo, o DN do objeto antes de ser excluído)
    • Na seção Operation, clique Replace.
    • Clique no botão Enter.
  • Selecione a caixa Extended
  • Clique no botão Run

Na janela principal do programa LDP aparecerá a mensagem informando que o objeto foi restaurado.

Será necessário:

  • Reabilitar a conta (Enable)
  • Redefinir a senha
  • Completar os atributos faltantes (grupos de que faz parte, por exemplo)

Os atributos faltantes podem ser obtidos de um backup ou snapshot do Active Directory.

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s