Como restaurar um usuário excluído do Active Directory?

Se você excluiu acidentalmente um usuário do Active Directory (AD), pode restaurá-lo facilmente. O fato é que, quando você exclui qualquer objeto do Active Directory, ele não é excluído imediatamente. Primeiro, o valor do atributo isDeleted = true é definido para o objeto e, em seguida, é movido para o contêiner especial — Deleted Objects.

Os objetos no contêiner Deleted Objects não aparecem no console ADUC (Usuários e Computadores do Active Directory) e não estão disponíveis para a maioria das ferramentas de serviço. Objetos excluídos são excluídos permanentemente do AD após 180 dias (determinado pelo valor do atributo tombstoneLifetime – TSL) pelo processo automático de coleta de lixo do AD.

Neste artigo, daremos uma olhada em vários cenários para restaurar um objeto de usuário excluído no Active Directory. Vamos executar o snap-in Usuários e computadores do Active Directory e excluir o usuário Jon Brion.

Você pode restaurar o usuário a partir do snap-in gráfico da Central Administrativa do Active Directory (dsac.exe). Escolha seu domínio> recipiente de objetos excluídos (Deleted Objects). Este contêiner contém todos os objetos AD excluídos.

Para restaurar o usuário no Active Directory, clique na conta e selecione o item de menu Restore.

Se você se sentir confortável, você pode restaurar o usuário a partir do CLI do PowerShell. Para localizar as propriedades da conta de usuário removida, você pode usar o seguinte comando do PowerShell:

Get-ADObject -Filter 'SAMAccountName -eq "jbrion"' –IncludeDeletedObjects


Deleted           : True
DistinguishedName : CN=Jon Brion.ADEL:3c206e08-a114-429b-b122-cad9d10b37e7,CN=Deleted Objects,DC=theitbros,DC=com
Name              : Jon Brion.
                    DEL:3c206e08-a114-429b-b122-cad9d10b37e7
ObjectClass       : user
ObjectGUID        : 3c206e08-a114-429b-b122-cad9d10b37e7



Se você não souber exatamente o nome de usuário para restauração, pode listar todas as contas de usuário excluídas no domínio com o comando:

Get-ADObject –filter {Deleted -eq $true -and ObjectClass -eq "user"} –includeDeletedObjects|format-table

Usando os parâmetros retornados pelo comando anterior, você pode restaurar o objeto de usuário. Preferimos usar ObjectGUID. Para restaurar um objeto, use o comando:

Restore-ADObject -Identity '3c206e08-a114-429b-b122-cad9d10b37e7'

ou você pode restaurar o objeto de usuário com um comando de linha única do PowerShell:

Get-ADObject -Filter 'SAMAccountName -eq "jbrion"' –IncludeDeletedObjects | Restore-ADObject -identity

Nesse caso, a conta do usuário é restaurada para a mesma Unidade Organizacional (OU) do AD.

As formas anteriores devem restaurar com êxito o usuário excluído se o recurso da lixeira (Recycle Bin) do AD estiver habilitado na floresta do Active Directory. Para verificar se o recurso está ativado, execute o seguinte comando:

Get-ADOptionalFeature "Recycle Bin Feature" | select-object name, EnabledScopes

Se o valor EnabledScopes estiver vazio, a Lixeira do AD está desabilitada em sua floresta. Quando a Lixeira do AD é desabilitada, o cmdlet Restore-ADObject retorna um erro:

Restore-ADObject : Illegal modify operation. Some aspect of the modification is not permitted

Para habilitar o recurso Lixeira do AD (requer o nível funcional de floresta do AD Windows 2008 R2 ou superior), execute o seguinte comando com as permissões de Enterprise Admins (Administração de empresa):

Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target theitbros.com

Se a Lixeira do AD estiver desabilitada, você pode usar a ferramenta gratuita AdRestore da Sysinternals para restaurar objetos no Active Directory. Baixe o arquivo AdRestore e extraia-o em sua unidade local.

Para listar todos os objetos excluídos do AD, simplesmente execute o AdRestore sem nenhum argumento:

adrestore

Para restaurar uma conta de usuário excluída, basta especificar seu GUID como um argumento:

adrestore -r 45ac5afa-ddb5-4382-85d4-5c1ce6716f11

Confirme a restauração do objeto. Uma mensagem “Restore succeeded” deve aparecer.

Referências

  1. Cyril Kardashevsky, 2020. How to Restore Deleted Active Directory User?. TheITBros.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google

Você está comentando utilizando sua conta Google. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.