在 AD 中还原用户帐户和组

本文提供有关如何在 Active Directory 中还原已删除的用户帐户和组成员身份的信息。

适用于：Windows Server 2019、Windows Server 2016、Windows Server 2012 R2 原始 KB 编号： 840001

可以使用多种方法还原已删除的用户帐户、计算机帐户和安全组。 这些对象统称为安全主体。

最常见的方法是启用基于 Windows Server 2008 R2 及更高版本的域控制器支持的 AD 回收站功能。 有关此功能的详细信息，包括如何启用它和还原对象，请参阅 Active Directory 回收站分步指南。

如果此方法不可用，则可以使用以下三种方法。 在所有三种方法中，你都会权威地还原已删除的对象，然后还原已删除的安全主体的组成员身份信息。 还原已删除的对象时，必须还原受影响安全主体中以前值 member 和 memberOf 属性。

注意

通过启用基于 Windows Server 2008 R2 和更高版本的域控制器支持的 AD 回收站功能，可以简化恢复 Active Directory 中已删除的对象。 有关此功能的详细信息，包括如何启用它和还原对象，请参阅 Active Directory 回收站分步指南。

方法 1 和 2 为域用户和管理员提供了更好的体验。 这些方法保留在上次系统状态备份时间和删除时间之间对安全组的添加。 在方法 3 中，不会对安全主体进行单独调整。 而是在上次备份时将安全组成员身份回滚到其状态。

大多数大规模删除都是偶然的。 Microsoft 建议执行多个步骤，防止其他人批量删除对象。

注意

为防止对象 (特别是组织单位) 的意外删除或移动，可以将两个拒绝访问控制条目 (ACE) 添加到每个对象的安全描述符 (DENY DELETE DELETE&TREE) 和一个拒绝访问控制条目 (ACE) 可以添加到每个对象的 PARENT 的安全描述符 (DENY DELETE CHILD) 。 若要执行此操作，请使用 Active Directory 用户和计算机、ADSIEdit、LDP 或 DSACLS 命令行工具。 还可以更改组织单位的 AD 架构中的默认权限，以便默认包含这些 AES。

例如，为了保护所调用的组织单位。 从名为 MyCompany 的父组织单元中意外移动或删除调用的 AD 域CONTOSO.COM中的用户进行以下配置：

对于 MyCompany 组织单元，添加 DENY ACE，让所有人删除仅限此对象的作用域的 CHILD：

对于用户组织单位，添加 DENY ACE，供所有人使用此对象仅限此作用域进行 DELETE 和 DELETE TREE：

Windows Server 2008 中的Active Directory 用户和计算机管理单元包含“对象”选项卡上的“保护对象免受意外删除”复选框。

注意

必须启用 “高级功能 ”复选框才能查看该选项卡。

在 Windows Server 2008 中使用Active Directory 用户和计算机创建组织单元时，将显示“保护容器免受意外删除”复选框。 默认情况下，选中复选框并可取消选择。

虽然可以使用这些 AES 在 Active Directory 中配置每个对象，但它最适合于组织单位。 删除或移动所有叶对象可能会产生重大影响。 此配置可防止此类删除或移动。 若要使用此类配置真正删除或移动对象，必须先删除 Deny AES。

本文讨论在从 Active Directory 中删除用户帐户、计算机帐户及其组成员身份后如何还原这些帐户和组成员身份。 在此方案的变体中，用户帐户、计算机帐户或安全组可能已单独删除或在某种组合中删除。 在所有这些情况下，都适用相同的初始步骤。 可以权威地还原或身份验证还原那些无意中删除的对象。 某些已删除的对象需要还原更多工作。 这些对象包括包含其他对象属性的后方链接的属性的用户帐户等对象。 其中两个属性是 managedBy 和 memberOf。

将安全主体（例如用户帐户、安全组或计算机帐户）添加到安全组时，在 Active Directory 中进行以下更改：

同样，从 Active Directory 中删除用户、计算机或组时，会执行以下操作：

恢复已删除的安全主体并还原其组成员身份时，在还原其组成员身份之前，每个安全主体都必须存在于 Active Directory 中。 成员可以是用户、计算机或其他安全组。 若要更广泛地重述此规则，包含其值为后退链接的属性的对象必须存在于 Active Directory 中，然后才能还原或修改包含该转发链接的对象。

本文重点介绍如何恢复已删除的用户帐户及其在安全组中的成员身份。 其概念同样适用于其他对象删除。 本文的概念同样适用于已删除的对象，这些对象的属性值使用 Active Directory 中其他对象的转发链接和后退链接。

可以使用这三种方法之一来恢复安全主体。 使用方法 1 时，请保留已添加到林中任何安全组的所有安全主体。 你只会将从各自域中删除的安全主体添加回其安全组。 例如，创建系统状态备份，将用户添加到安全组，然后还原系统状态备份。 使用方法 1 或 2 时，保留已添加到安全组中的任何用户，这些组包含在创建系统状态备份的日期和还原备份的日期之间删除的用户。 使用方法 3 时，将包含已删除用户的所有安全组的安全组成员身份回滚到系统状态备份时的状态。

使用Ntdsutil.exe命令行工具可以还原已删除对象的后行。 为每个权威还原操作生成两个文件。 一个文件包含权威还原对象的列表。 另一个文件是与Ldifde.exe实用工具一起使用的 .ldf 文件。 此文件用于还原权威还原的对象的后行。 用户对象的权威还生成具有组成员身份的 LDIF) 文件 (LDAP 数据交换格式。 此方法可避免双重还原。

使用此方法时，请执行以下高级步骤：

若要使用方法 1，请遵循以下过程：

检查已删除用户的主域中是否有未复制删除任何部分的全局目录域控制器。

注意

重点关注复制计划最少的全局目录。

如果存在其中一个或多个全局目录，请使用Repadmin.exe命令行工具通过执行以下步骤立即禁用入站复制：

选择“开始”，然后选择“运行”。

在“打开”框中键入 cmd，然后选择“确定”。

在命令提示符处键入以下命令，然后按 Enter：

注意

如果无法立即发出 Repadmin 命令，请从潜在的全局目录中删除所有网络连接，直到可以使用 Repadmin 它禁用入站复制，然后立即返回网络连接。

此域控制器将称为恢复域控制器。 如果没有此类全局目录，请转到步骤 2。

如果以下所有语句均为 true，则最好停止对林中的安全组进行更改：

如果要对托管安全组或用户帐户的 OU) 容器 (安全组或组织单位进行身份验证，请暂时停止所有这些更改。

通知相应域中的管理员和技术支持部门管理员，以及在发生删除的域中停止这些更改的域用户。

在发生删除的域中创建新的系统状态备份。 如果必须回滚更改，可以使用此备份。

注意

如果系统状态备份当前到删除点，请跳过此步骤并转到步骤 4。

如果在步骤 1 中标识了恢复域控制器，请立即备份其系统状态。

如果在删除中复制了删除所在的域中的所有全局目录，请备份发生删除的域中的全局目录的系统状态。

创建备份时，可以将恢复域控制器返回到其当前状态。 如果第一次尝试未成功，请再次执行恢复计划。

如果在发生用户删除的域中找不到潜在的全局目录域控制器，请在该域中查找全局目录域控制器的最新系统状态备份。 此系统状态备份应包含已删除的对象。 使用此域控制器作为恢复域控制器。

只有还原用户域中的全局目录域控制器才包含驻留在外部域中的安全组的全局和通用组成员身份信息。 如果已删除用户的域中没有全局目录域控制器的系统状态备份，则不能在还原的用户帐户上使用 memberOf 该属性来确定全局或通用组成员身份或恢复外部域中的成员身份。 此外，最好查找非全局目录域控制器的最新系统状态备份。

如果知道脱机管理员帐户的密码，请在“失修”模式下启动恢复域控制器。 如果不知道脱机管理员帐户的密码，请在恢复域控制器仍处于正常 Active Directory 模式时使用ntdsutil.exe重置密码。

可以使用 setpwd 命令行工具在域控制器处于联机 Active Directory 模式时重置密码。

注意

Microsoft 不再支持 Windows 2000。

Windows Server 2003 及更高版本域控制器的管理员可以使用 set dsrm password Ntdsutil 命令行工具中的命令重置脱机管理员帐户的密码。

有关如何重置目录服务还原模式管理员帐户的详细信息，请参阅 如何在 Windows Server 中重置目录服务还原模式管理员帐户密码。

在启动过程中按 F8 以在失修模式下启动恢复域控制器。 使用脱机管理员帐户登录到恢复域控制器的控制台。 如果在步骤 5 中重置密码，请使用新密码。

如果恢复域控制器是潜在的全局目录域控制器，请勿还原系统状态。 转到步骤 7。

如果要使用系统状态备份创建恢复域控制器，请还原现在在恢复域控制器上进行的当前系统状态备份。

身份验证还原已删除的用户帐户、已删除的计算机帐户或已删除的安全组。

注意

身份 验证还原 和 权威还原 是指使用 Ntdsutil 命令行工具中的权威还原命令递增特定对象或特定容器及其所有从属对象的版本号的过程。 一旦发生端到端复制，恢复域控制器的 Active Directory 本地副本中的目标对象就会在共享该分区的所有域控制器上变得具有权威性。 权威还原不同于系统状态还原。 系统状态还原使用创建系统状态备份时对象的版本填充还原的域控制器的 Active Directory 本地副本。

使用 Ntdsutil 命令行工具执行权威还原，并引用已删除用户或托管已删除用户的容器的域名 (dn) 路径。

身份验证还原时，请使用域名 (dn) 在域树中与必须一样低的路径。 目的是避免还原与删除无关的对象。 这些对象可能包括在进行系统状态备份后修改的对象。

身份验证按以下顺序还原已删除的用户：

身份验证还原每个已删除的用户帐户、计算机帐户或安全组的域名 (dn) 路径。

对特定对象的权威还原需要更长的时间，但比整个子树的权威还原的破坏力要小。 身份验证还原保存已删除对象的最低常用父容器。

Ntdsutil 使用以下语法：

例如，若要在域的 Mayberry OU 中权威地还原已删除的 Contoso.com 用户 John Doe，请使用以下命令：

若要在域的 Mayberry OU Contoso.com 中权威地还原已删除的安全组 ContosoPrintAccess，请使用以下命令：

重要

需要使用引号。

对于还原的每个用户，至少生成两个文件。 这些文件采用以下格式：

ar_YYYMMDD-HHMMSS_objects.txt 此文件包含权威还原对象的列表。 在用户是域本地组成员的林中的任何其他域中，将此文件与 ntdsutil 权威还原 create ldif file from 命令配合使用。

ar_YYYMMDD-HHMMSS_links_usn.loc.ldf 如果对全局目录执行身份验证还原，将为林中的每个域生成其中一个文件。 此文件包含可用于Ldifde.exe实用工具的脚本。 该脚本还原还原了还原对象的后行。 在用户的主域中，脚本还原已还原用户的所有组成员身份。 在用户具有组成员身份的林中的所有其他域中，该脚本仅还原通用和全局组成员身份。 该脚本不会还原任何域本地组成员身份。 全局目录不会跟踪这些成员身份。

仅对托管已删除用户帐户或组的 OU 或 Common-Name (CN) 容器进行身份验证。

当 ntdsutil 权威还原命令所针对的 OU 包含你尝试权威还原的大多数对象时，整个子树的权威还原是有效的。 理想情况下，目标 OU 包含你尝试权威还原的所有对象。

OU 子树上的权威还原可还原容器中的所有属性和对象。 在备份时，任何在还原系统状态备份时所做的更改都回滚到其值。 对于用户帐户、计算机帐户和安全组，此回滚可能意味着丢失了对以下项的最新更改：

Ntdsutil 使用以下语法：

例如，若要权威地还原域的 Contoso.comMayberry OU，请使用以下命令：

注意

针对托管已删除用户或组的每个对等 OU 重复此步骤。

重要

还原 OU 的从属对象时，必须显式还原已删除的从属对象的所有已删除父容器。

对于还原的每个组织单位，至少生成两个文件。 这些文件采用以下格式：

ar_YYYMMDD-HHMMSS_objects.txt 此文件包含权威还原对象的列表。 在还原的用户是域本地组成员的林中的任何其他域中，将此文件与 ntdsutil 权威还原 create ldif file from 命令配合使用。

ar_YYYMMDD-HHMMSS_links_usn.loc.ldf 此文件包含可用于Ldifde.exe实用工具的脚本。 该脚本还原还原了还原对象的后行。 在用户的主域中，脚本还原已还原用户的所有组成员身份。

如果由于系统状态还原而在恢复域控制器上恢复已删除的对象，请删除提供与林中所有其他域控制器的网络连接的所有网络电缆。

在正常 Active Directory 模式下重启恢复域控制器。

键入以下命令以禁用到恢复域控制器的入站复制：

启用与恢复域控制器（其系统状态已还原）的网络连接。

将身份验证还原的对象从恢复域控制器到域和林中的域控制器的出站复制。

在保持禁用恢复域控制器的入站复制时，键入以下命令，将身份验证还原的对象推送到域中的所有跨站点副本域控制器以及林中的所有全局目录：

如果以下所有语句均为 true，则通过还原和复制已删除的用户帐户来重新生成组成员身份链接。 转到步骤 14。

注意

如果以下一个或多个语句不是 true，请转到步骤 12。

在恢复域控制器的控制台上，使用Ldifde.exe实用工具和 ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf 文件还原用户的组成员身份。 要执行此操作，请执行以下步骤：

选择“开始”，选择“运行”，在“打开”框中键入 cmd，然后选择“确定”。

在命令提示符下，键入以下命令，然后按 Enter：

使用以下命令启用到恢复域控制器的入站复制：

如果已删除的用户已添加到外部域中的本地组，请执行以下操作之一：

验证恢复域控制器域中以及其他域中的全局目录中的组成员身份。

在恢复域控制器的域中对域控制器进行新的系统状态备份。

通知所有林管理员、委派的管理员、林中的技术支持管理员以及域中的用户用户用户还原已完成。

技术支持管理员可能必须重置经过身份验证还原的用户帐户和计算机帐户的密码，这些帐户的域密码在还原后已更改。

在进行系统状态备份后更改了密码的用户会发现，他们最近的密码不再有效。 让此类用户尝试使用之前的密码登录（如果他们知道这些密码）。 否则，技术支持管理员必须重置密码，并选择 用户必须在下一个登录复选框中更改密码 。 最好是在用户所在的同一 Active Directory 站点中的域控制器上执行此操作。

使用此方法时，请执行以下高级步骤：

若要使用方法 2，请遵循以下过程：

检查已删除用户的主域中是否有未复制删除任何部分的全局目录域控制器。

注意

重点关注复制计划最少的全局目录。

如果存在其中一个或多个全局目录，请使用Repadmin.exe命令行工具立即禁用入站复制。 要执行此操作，请执行以下步骤：

注意

如果无法立即发出 Repadmin 命令，请从潜在的全局目录中删除所有网络连接，直到可以使用 Repadmin 禁用入站复制，然后立即返回网络连接。

此域控制器将称为恢复域控制器。 如果没有此类全局目录，请转到步骤 2。

确定是否必须暂时停止对用户帐户、计算机帐户和安全组的添加、删除和更改，直到完成所有恢复步骤。

若要维护最灵活的恢复路径，请暂时停止对以下项进行更改。 除了删除用户组中的组成员身份更改外，更改还包括域用户、技术支持人员和域中发生删除的管理员的密码重置。 请考虑停止对以下项的添加、删除和修改：

如果以下所有语句均为 true，则最好停止对林中的安全组进行更改：

如果要对托管安全组或用户帐户的 OU) 容器 (安全组或组织单位进行身份验证，请暂时停止所有这些更改。

通知相应域中的管理员和技术支持部门管理员，以及在发生删除的域中停止这些更改的域用户。

在发生删除的域中创建新的系统状态备份。 如果必须回滚更改，可以使用此备份。

注意

如果系统状态备份当前到删除点，请跳过此步骤并转到步骤 4。

如果在步骤 1 中标识了恢复域控制器，请立即备份其系统状态。

如果在删除中复制了删除所在的域中的所有全局目录，请备份发生删除的域中的全局目录的系统状态。

创建备份时，可以将恢复域控制器返回到其当前状态。 如果第一次尝试未成功，请再次执行恢复计划。

如果在发生用户删除的域中找不到潜在的全局目录域控制器，请在该域中查找全局目录域控制器的最新系统状态备份。 此系统状态备份应包含已删除的对象。 使用此域控制器作为恢复域控制器。

只有还原用户域中的全局目录域控制器才包含驻留在外部域中的安全组的全局和通用组成员身份信息。 如果在删除用户的域中没有全局目录域控制器的系统状态备份，则不能在还原的用户帐户上使用 memberOf 该属性来确定全局或通用组成员身份或恢复外部域中的成员身份。 此外，最好查找非全局目录域控制器的最新系统状态备份。

如果知道脱机管理员帐户的密码，请在“失修”模式下启动恢复域控制器。 如果不知道脱机管理员帐户的密码，请在恢复域控制器仍处于正常 Active Directory 模式时重置密码。

可以使用 setpwd 命令行工具在运行 Windows 2000 Service Pack 2 的域控制器上重置密码， (SP2) 及更高版本，同时它们处于联机 Active Directory 模式。

注意

Microsoft 不再支持 Windows 2000。

Windows Server 2003 及更高版本域控制器的管理员可以使用 set dsrm password Ntdsutil 命令行工具中的命令重置脱机管理员帐户的密码。

有关如何重置目录服务还原模式管理员帐户的详细信息，请参阅 如何在 Windows Server 中重置目录服务还原模式管理员帐户密码。

在启动过程中按 F8 以在失修模式下启动恢复域控制器。 使用脱机管理员帐户登录到恢复域控制器的控制台。 如果在步骤 5 中重置密码，请使用新密码。

如果恢复域控制器是潜在的全局目录域控制器，请勿还原系统状态。 转到步骤 7。

如果要使用系统状态备份创建恢复域控制器，请还原现在在恢复域控制器上进行的当前系统状态备份。

身份验证还原已删除的用户帐户、已删除的计算机帐户或已删除的安全组。

注意

身份 验证还原 和 权威还原 是指使用 Ntdsutil 命令行工具中的权威还原命令递增特定对象或特定容器及其所有从属对象的版本号的过程。 一旦发生端到端复制，恢复域控制器的 Active Directory 本地副本中的目标对象就会在共享该分区的所有域控制器上变得具有权威性。 权威还原不同于系统状态还原。 系统状态还原使用创建系统状态备份时对象的版本填充还原的域控制器的 Active Directory 本地副本。

使用 Ntdsutil 命令行工具执行权威还原，并引用已删除用户或托管已删除用户的容器的域名 (dn) 路径。

身份验证还原时，请使用域名 (dn) 在域树中与必须一样低的路径。 目的是避免还原与删除无关的对象。 这些对象可能包括在进行系统状态备份后修改的对象。

身份验证按以下顺序还原已删除的用户：

身份验证还原每个已删除的用户帐户、计算机帐户或安全组的域名 (dn) 路径。

对特定对象的权威还原需要更长的时间，但比整个子树的权威还原的破坏力要小。 身份验证还原保存已删除对象的最低常用父容器。

Ntdsutil 使用以下语法：

例如，若要在域的 Mayberry OU 中权威地还原已删除的 Contoso.com 用户 John Doe，请使用以下命令：

若要在域的 Mayberry OU Contoso.com 中权威地还原已删除的安全组 ContosoPrintAccess，请使用以下命令：

重要

需要使用引号。

注意

此语法仅在 Windows Server 2003 及更高版本中可用。 Windows 2000 中唯一的语法是使用以下语法：

注意

如果可分辨的名称路径 (DN) 包含扩展字符或空格，则 Ntdsutil 权威还原操作不会成功。 为了使脚本还原成功， restore object 必须将该命令作为一个完整的字符串传递。

若要解决此问题，请使用反斜杠-双引号转义序列包装包含扩展字符和空格的 DN。 下面是一个示例：

注意

如果要还原的对象的 DN 包含逗号，则必须进一步修改该命令。 请参阅以下示例：

注意

如果从磁带还原对象，标记为权威且还原未按预期工作，然后使用相同的磁带再次还原 NTDS 数据库，则要权威还原的对象的 USN 版本必须高于默认值 100000，否则第二次还原后不会复制对象。 下面的语法需要编写高于 100000 的版本号 (默认) ：

注意

如果脚本提示对要还原的每个对象进行确认，则可以关闭提示。 关闭提示的语法是：

仅对托管已删除用户帐户或组的 OU 或 Common-Name (CN) 容器进行身份验证。

当 ntdsutil 权威还原命令所针对的 OU 包含你尝试权威还原的大多数对象时，整个子树的权威还原是有效的。 理想情况下，目标 OU 包含你尝试权威还原的所有对象。

OU 子树上的权威还原可还原容器中的所有属性和对象。 在备份时，任何在还原系统状态备份时所做的更改都回滚到其值。 使用用户帐户、计算机帐户和安全组时，此回滚可能意味着丢失对密码、主目录、配置文件路径、位置和联系信息、组成员身份以及对这些对象和属性定义的任何安全描述符的最新更改。

Ntdsutil 使用以下语法：

例如，若要权威地还原域的 Contoso.comMayberry OU，请使用以下命令：

注意

针对托管已删除用户或组的每个对等 OU 重复此步骤。

重要

还原 OU 的从属对象时，必须显式还原已删除的从属对象的所有已删除父容器。

如果由于系统状态还原而在恢复域控制器上恢复已删除的对象，请删除提供与林中所有其他域控制器的网络连接的所有网络电缆。

在正常 Active Directory 模式下重启恢复域控制器。

键入以下命令以禁用到恢复域控制器的入站复制：

启用与恢复域控制器（其系统状态已还原）的网络连接。

将身份验证还原的对象从恢复域控制器到域和林中的域控制器的出站复制。

在保持禁用恢复域控制器的入站复制时，键入以下命令，将身份验证还原的对象推送到域中的所有跨站点副本域控制器以及林中的所有全局目录：

如果以下所有语句均为 true，则通过还原和复制已删除的用户帐户来重新生成组成员身份链接。 转到步骤 14。

注意

如果以下一个或多个语句不是 true，请转到步骤 12。

确定已删除的用户是其成员的安全组，然后将其添加到这些组。

注意

在将用户添加到组之前，在步骤 7 中还原的用户以及在步骤 11 中进行出站复制的用户必须已复制到所引用域控制器域中的域控制器以及林中的所有全局目录域控制器。

如果已部署组预配实用工具来重新填充安全组的成员身份，请使用该实用工具将已删除的用户还原到被删除之前作为其成员的安全组。 在林域和全局目录服务器中的所有直接和可传递域控制器都已入站复制身份验证还原的用户和任何还原的容器之后，执行此操作。

如果没有实用工具， Ldifde.exe 并且 Groupadd.exe 命令行工具可以在恢复域控制器上运行时自动执行此任务。 这些工具可从 Microsoft 产品支持服务获取。 在此方案中，Ldifde.exe创建 LDAP 数据交换格式 (LDIF) 信息文件，其中包含用户帐户的名称及其安全组。 它从管理员指定的 OU 容器开始。 然后，Groupadd.exe读取 memberOf .ldf 文件中列出的每个用户帐户的属性。 然后，它会为林中的每个域生成单独和唯一的 LDIF 信息。 此 LDIF 信息包含与已删除用户关联的安全组的名称。 使用 LDIF 信息将信息添加回用户，以便可以还原其组成员身份。 对于恢复的这一阶段，请执行以下步骤：

使用作为域管理员安全组成员的用户帐户登录到恢复域控制器的控制台。

使用 Ldifde 命令转储以前已删除的用户帐户的名称及其 memberOf 属性，从发生删除的最顶端 OU 容器开始。 Ldifde 命令使用以下语法：

如果已删除的计算机帐户已添加到安全组，请使用以下语法：

运行该 Groupadd 命令以生成更多 .ldf 文件，这些文件包含域的名称以及已删除用户所属的全局和通用安全组的名称。 该 Groupadd 命令使用以下语法：

如果已删除的计算机帐户已添加到安全组，请重复此命令。

将在步骤 12c 中创建的每个 Groupadd_fully.qualified.domain.name.ldf 文件导入到与每个域的 .ldf 文件对应的单个全局目录域控制器。 使用以下 Ldifde 语法：

运行除恢复域控制器以外的任何域控制器上删除用户的域的 .ldf 文件。

在用于导入特定域的Groupadd_ 文件的每个域控制器的控制台上，将组成员身份添加到域中的其他域控制器以及林中的全局目录域控制器。 若要执行此操作，请使用以下命令：

若要禁用出站复制，请键入以下文本，然后按 Enter：

注意

若要重新启用出站复制，请键入以下文本，然后按 ENTER：

如果已删除的用户已添加到外部域中的本地组，请执行以下操作之一：

验证恢复域控制器域中以及其他域中的全局目录中的组成员身份。

在恢复域控制器的域中对域控制器进行新的系统状态备份。

通知所有林管理员、委派的管理员、林中的技术支持管理员以及域中的用户用户用户还原已完成。

技术支持管理员可能必须重置经过身份验证还原的用户帐户和计算机帐户的密码，这些帐户的域密码在还原后已更改。

在进行系统状态备份后更改了密码的用户会发现，他们最近的密码不再有效。 让此类用户尝试使用之前的密码登录（如果他们知道这些密码）。 否则，技术支持管理员必须重置密码，并选择 用户必须在下一个登录复选框中更改密码 。 最好是在用户所在的同一 Active Directory 站点中的域控制器上执行此操作。

使用此方法时，请执行以下高级步骤：

若要使用方法 3，请遵循以下过程：

检查已删除的用户主域中是否存在全局目录域控制器，并且尚未在删除的任何部分复制。

注意

重点关注域中复制计划最少的全局目录。 如果存在这些域控制器，请使用Repadmin.exe命令行工具立即禁用入站复制。 要执行此操作，请执行以下步骤：

注意

如果无法立即发出 Repadmin 命令，请从域控制器中删除所有网络连接，直到可以使用 Repadmin 禁用入站复制，然后立即返回网络连接。

此域控制器将称为恢复域控制器。

在完成所有恢复步骤之前，请避免对以下项进行添加、删除和更改。 除了删除用户组中的组成员身份更改外，更改还包括域用户、技术支持人员和域中发生删除的管理员的密码重置。

用户帐户上的用户帐户和属性

计算机帐户上的计算机帐户和属性

服务帐户

安全组

注意

特别避免更改发生删除的林中的用户、计算机、组和服务帐户的组成员身份。

通知临时停机林中的所有林管理员、委派的管理员和帮助台管理员。 方法 2 中需要此下拉列表，因为你正在权威地还原所有已删除用户的安全组。 因此，系统状态备份日期之后对组所做的任何更改都将丢失。

在发生删除的域中创建新的系统状态备份。 如果必须回滚更改，可以使用此备份。

注意

如果系统状态备份是当前的删除时间，请跳过此步骤并转到步骤 4。

如果在步骤 1 中标识了恢复域控制器，请立即备份其系统状态。

如果位于发生删除的域中的所有全局目录都复制了删除，请备份发生删除的域中的全局目录的系统状态。

创建备份时，可以将恢复域控制器返回到其当前状态。 如果第一次尝试未成功，请再次执行恢复计划。

如果在发生用户删除的域中找不到潜在的全局目录域控制器，请在该域中查找全局目录域控制器的最新系统状态备份。 此系统状态备份应包含已删除的对象。 使用此域控制器作为恢复域控制器。

只有用户域中的全局目录域控制器的数据库包含林中外部域的组成员身份信息。 如果已删除用户的域中没有全局目录域控制器的系统状态备份，则不能在还原的用户帐户上使用 memberOf 该属性来确定全局或通用组成员身份，或恢复外部域中的成员身份。 请转到下一步。 如果外部域中有组成员身份的外部记录，请在还原用户帐户后将还原的用户添加到这些域中的安全组。

如果知道脱机管理员帐户的密码，请在“失修”模式下启动恢复域控制器。 如果不知道脱机管理员帐户的密码，请在恢复域控制器仍处于正常 Active Directory 模式时重置密码。

可以使用 setpwd 命令行工具在运行 Windows 2000 SP2 及更高版本且处于联机 Active Directory 模式的域控制器上重置密码。

注意

Microsoft 不再支持 Windows 2000。

Windows Server 2003 及更高版本域控制器的管理员可以使用 set dsrm password Ntdsutil 命令行工具中的命令重置脱机管理员帐户的密码。

有关如何重置目录服务还原模式管理员帐户的详细信息，请参阅 如何在 Windows Server 中重置目录服务还原模式管理员帐户密码。

在启动过程中按 F8 以在失修模式下启动恢复域控制器。 使用脱机管理员帐户登录到恢复域控制器的控制台。 如果在步骤 5 中重置密码，请使用新密码。

如果恢复域控制器是潜在的全局目录域控制器，请勿还原系统状态。 直接转到步骤 7。

如果要使用系统状态备份创建恢复域控制器，请还原在包含已删除对象的恢复域控制器上进行的当前系统状态备份。

身份验证还原已删除的用户帐户、已删除的计算机帐户或已删除的安全组。

注意

身份 验证还原 和 权威还原 是指使用 Ntdsutil 命令行工具中的权威还原命令递增特定对象或特定容器及其所有从属对象的版本号的过程。 一旦发生端到端复制，恢复域控制器的 Active Directory 本地副本中的目标对象就会在共享该分区的所有域控制器上变得具有权威性。 权威还原不同于系统状态还原。 系统状态还原使用创建系统状态备份时对象的版本填充还原的域控制器的 Active Directory 本地副本。

通过引用已删除用户或托管已删除用户的容器的域名 (dn) 路径，使用 Ntdsutil 命令行工具执行权威还原。

身份验证还原时，请使用域树中必须低的域名路径。 目的是避免还原与删除无关的对象。 这些对象可能包括在进行系统状态备份后修改的对象。

身份验证按以下顺序还原已删除的用户：

身份验证还原每个已删除的用户帐户、计算机帐户或已删除的安全组的域名 (dn) 路径。

对特定对象的权威还原需要更长的时间，但比整个子树的权威还原的破坏力要小。 身份验证还原保存已删除对象的最低常用父容器。

Ntdsutil 使用以下语法：

例如，若要在域的 Mayberry OU 中权威地还原已删除的 Contoso.com 用户 John Doe，请使用以下命令：

若要在域的 Mayberry OU Contoso.com 中权威地还原已删除的安全组 ContosoPrintAccess，请使用以下命令：

重要

需要使用引号。

通过使用此 Ntdsutil 格式，还可以自动对批处理文件或脚本中的许多对象进行权威还原。

注意

此语法仅在 Windows Server 2003 及更高版本中可用。 Windows 2000 中唯一的语法是使用： ntdsutil "authoritative restore" "restore subtree object DN path".

仅对托管已删除用户帐户或组的 OU 或 Common-Name (CN) 容器进行身份验证。

当 Ntdsutil Authority 还原命令所针对的 OU 包含你尝试权威还原的大部分对象时，整个子树的权威还原是有效的。 理想情况下，目标 OU 包含你尝试权威还原的所有对象。

OU 子树上的权威还原可还原容器中的所有属性和对象。 在备份时，任何在还原系统状态备份时所做的更改都回滚到其值。 使用用户帐户、计算机帐户和安全组时，此回滚可能意味着丢失对密码、主目录、配置文件路径、位置和联系信息、组成员身份以及对这些对象和属性定义的任何安全描述符的最新更改。

Ntdsutil 使用以下语法：

例如，若要权威地还原域的 Contoso.comMayberry OU，请使用以下命令：

注意

针对托管已删除用户或组的每个对等 OU 重复此步骤。

重要

还原 OU 的从属对象时，必须显式还原已删除的从属对象的所有父容器。

在正常 Active Directory 模式下重启恢复域控制器。

将权威还原的对象从恢复域控制器到域和林中的域控制器进行出站复制。

在恢复域控制器的入站复制仍处于禁用状态时，键入以下命令，将权威还原的对象推送到域中的所有跨站点副本域控制器以及林中的全局目录：

在林的域和全局目录服务器中的所有直接和可传递域控制器在权威还原的用户和任何还原的容器中复制后，请转到步骤 11。

如果以下所有语句均为 true，则通过还原已删除的用户帐户重新生成组成员身份链接。 转到步骤 13。

请考虑使用该 Repadmin 命令加速用户从还原的域控制器的出站复制。

如果还删除了组，或者无法保证在转换到 Windows Server 2003 和更高版本的临时或林功能级别之后所有已删除的用户都添加到所有安全组，请转到步骤 12。

在不还原系统状态的情况下重复步骤 7、8 和 9，然后转到步骤 11。

如果已删除的用户已添加到外部域中的本地组，请执行以下操作之一：

验证恢复域控制器域中以及其他域中的全局目录中的组成员身份。

使用以下命令启用到恢复域控制器的入站复制：

对恢复域控制器的域和林中其他域中的全局目录中的域控制器进行新的系统状态备份。

通知所有林管理员、委派的管理员、林中的帮助台管理员以及域中的用户用户还原已完成。

技术支持管理员可能必须重置身份验证还原的用户帐户和计算机帐户的密码，这些帐户的域密码在还原系统完成后已更改。

在进行系统状态备份后更改了密码的用户会发现，他们最近的密码不再有效。 让此类用户尝试使用之前的密码登录（如果他们知道这些密码）。 否则，技术支持管理员必须重置密码， 用户必须在选中下一个登录复选框时更改密码 。 最好是在用户所在的同一 Active Directory 站点中的域控制器上执行此操作。

如果在删除了用户帐户或安全组的域中缺少当前系统状态备份，并且在包含 Windows Server 2003 及更高域控制器的域中进行了删除，请按照以下步骤手动从已删除的对象容器中重新激活已删除的对象：

可以使用以下方法自动执行部分或全部恢复步骤：

若要获取 AdRestore，请参阅 AdRestore v1.1。

Microsoft 提供了第三方联系信息，以便你寻求技术支持。 该联系信息如有更改，恕不另行通知。 Microsoft 不保证此第三方联系人信息的准确性。

若要手动取消删除对象容器中的对象，请执行以下步骤：

选择 “开始”，选择 “运行”，然后键 入ldp.exe。

ldp.exe可用：

使用 Ldp 中的 “连接 ”菜单执行连接操作，并将绑定操作绑定到 Windows Server 2003 及更高版本的域控制器。

在绑定操作期间指定域管理员凭据。

在 “选项” 菜单上，选择 “控件”。

在 “负载预定义 ”列表中，选择 “返回已删除的对象”。

注意

1.2.840.113556.1.4.417 控件移动到 “活动控件 ”窗口。

在 “控制类型”下，选择 “服务器”，然后选择 “确定”。

在 “视图 ”菜单上，选择 “树”，在发生删除的域中键入已删除对象容器的可分辨名称路径，然后选择 “确定”。

注意

可分辨的名称路径也称为 DN 路径。 例如，如果在域中 contoso.com 发生删除，则 DN 路径将是以下路径： cn=deleted Objects，dc=contoso，dc=com

在窗口的左窗格中，双击 “已删除的对象容器”。

注意

作为 Idap 查询的搜索结果，默认情况下仅返回 1000 个对象。 Fot 示例，如果“已删除的对象”容器中存在超过 1000 个对象，则并非所有对象都显示在此容器中。 如果目标对象未显示，请使用 ntdsutil，然后使用 maxpagesize 设置最大数目以获取搜索结果。

双击要取消删除或重新动画的对象。

右键单击要重新动画的对象，然后选择 “修改”。

更改单个轻型目录访问协议中的属性和 DN 路径的值 isDeleted (LDAP) 修改操作。 若要配置 “修改” 对话框，请执行以下步骤：

在 “编辑条目属性 ”框中，键入 isDeleted。 将 “值 ”框留空。

选择 “删除 ”选项按钮，然后选择 Enter 以在 “条目列表 ”对话框中创建两个条目中的第一个。

重要

请勿选择 “运行”。

在“ 属性 ”框中，键 入 distinguishedName。

在 “值 ”框中，键入重新匹配对象的新 DN 路径。

例如，若要将 JohnDoe 用户帐户重新激活到 Mayberry OU，请使用以下 DN 路径：cn= JohnDoe，ou= Mayberry，dc= contoso，dc= com

注意

如果要将已删除的对象重新动画化到其原始容器，请将已删除对象的 lastKnownParent 属性的值追加到其 CN 值，然后将完整的 DN 路径粘贴到 “值 ”框中。

在 “操作 ”框中，选择 “替换”。

选择 Enter。

选中 “同步” 复选框。

选中 “扩展 ”复选框。

选择 “运行”。

重新激活对象后，选择“选项”菜单上的“控件”，选择“签出”按钮，从“活动控件”框列表中删除 (1.2.840.113556.1.4.417) 。

重置已删除用户的用户帐户密码、配置文件、主目录和组成员身份。

删除对象时，除属性值外SIDObjectGUIDLastKnownParentSAMAccountName的所有属性值均被剥离。

在Active Directory 用户和计算机中启用重新实现的帐户。

注意

重新匹配的对象具有与删除前相同的主 SID，但必须将该对象再次添加到同一安全组，才能具有对资源的相同级别的访问权限。 Windows Server 2003 及更高版本的第一个版本不会保留 sIDHistory 重新激活的用户帐户、计算机帐户和安全组上的属性。 使用 Service Pack 1 的 Windows Server 2003 及更高版本确实 sIDHistory 会保留已删除对象的属性。

删除 Microsoft Exchange 属性并将用户重新连接到 Exchange 邮箱。

注意

当删除发生在 Windows Server 2003 及更高版本的域控制器上时，支持重新激活已删除的对象。 在随后升级到 Windows Server 2003 及更高版本的 Windows 2000 域控制器上进行删除时，不支持重新激活已删除的对象。

注意

如果删除发生在域中的 Windows 2000 域控制器上， lastParentOf 则不会在 Windows Server 2003 及更高版本的域控制器上填充该属性。

由于批量删除而删除用户时，可能需要了解删除的来源。 为此，请执行以下步骤：

若要查找已删除的安全主体，请按照 “如何在已删除对象的容器部分中手动取消删除对象 ”部分中的步骤 1 到 7 进行操作。 如果删除了树，请按照以下步骤查找已删除对象的父容器。

将属性的 objectGUID 值复制到 Windows 剪贴板。 在步骤 4 中输入 Repadmin 命令时，可以粘贴此值。

在命令行中，运行以下命令：

例如，如果 objectGUID 已删除的对象或容器为 791273b2-eba7-4285-a117-aa804ea76e95，并且 FQDN) dc.contoso.com (完全限定域名，请运行以下命令：

此命令的语法必须包括已删除对象或容器的 GUID 以及要从中源的服务器的 FQDN。

在 Repadmin 命令输出中，查找属性的源日期、时间和域控制器 isDeleted 。 例如，该属性的信息 isDeleted 显示在以下示例输出的第五行中：

如果源域控制器的名称显示为 32 个字符的 alpha-numeric GUID，请使用 Ping 命令将 GUID 解析为 IP 地址和发起删除的域控制器的名称。 Ping 命令使用以下语法：

注意

-a 选项区分大小写。 使用林根域的完全限定域名，而不考虑源域控制器所在的域。

例如，如果源域控制器驻留在林中的任何域中 Contoso.com ，并且 GUID 为 644eb7e7-1566-4f29-a778-4b487637564b，请运行以下命令：

此命令返回的输出类似于以下输出：