none
Restaurar Usuários excluídos no AD (Urgente!) RRS feed

  • Pergunta

  • Pessoal beleza?

    Preciso de um auxílio urgente! Vários usuários foram excluídos no AD daqui da empresa que eu trabalho, e eu preciso recuperá-los. Eu vi aqui a ferramenta lpd.exe, nativa no DC que é um "quebra-galho", porque de fato ele recupera o usuário, só que o mesmo não vem recuperado com detalhes como o script de logon nem os grupos que ele fazia parte por exemplo. Existe algum modo de recuperar esses usuários deletados no estado que eles estavam e, principalmente, recuperá-los em massa?

    Obrigado pela ajuda.

    Abs

    terça-feira, 29 de abril de 2014 15:37

Respostas

Todas as Respostas

  • Olá,

    Tem backup do ambiente? Pode fazer um restore autoritativo.


    Diogo Molina MCP, MCSA, MCSE, MCTS, MCITP, MCT. Ajude manter o forum organizado, se util classifique! Http://diogomolinadesa.org

    • Marcado como Resposta Men at Work quarta-feira, 30 de abril de 2014 13:35
    terça-feira, 29 de abril de 2014 15:58
  • Olá,

    Realmente, a restauração pelo lpd é uma das indicadas na biblioteca Microsoft, para recuperação dos dados:

    http://technet.microsoft.com/pt-br/library/dd379509(v=ws.10).aspx#BKMK_4

    O outro procedimento seria utilizando o cmdlets (que também está na biblioteca acima). Veja este artigo que explica como usar cmdlets:

    http://www.mcsesolution.com/Windows-Server-2008-R2/recuperando-objetos-excluidos-do-active-directory-com-powershell.html

    Pode tentar também o ADRestore:

    http://wefreitas.blogspot.com.br/2012/08/recuperar-objetos-do-active-directory.html

    Entretanto, não sei te confirmar se como ocorreu com o lpd, ele não importa outras informações, mas acredito que isto seja o de menos, visto que depois você pode fazer uma query ou usar um script para corrigir o que desejar nos usuários recuperados.

    Atenciosamente,


    Edinaldo Oliveira

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

    ** Por favor, lembre-se de “Marcar como Resposta” as respostas que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde. **

    • Marcado como Resposta Men at Work quarta-feira, 30 de abril de 2014 13:35
    terça-feira, 29 de abril de 2014 16:18
  • Opa Edinaldo beleza?

    Então, dos links que me enviou, o último me ajudou no sentido que elimina o uso da ferramenta ldp.exe, que ele faz a mesma coisa só que via comando adrestore. Só que, igual ao lpd.exe, ele não retorna com as demais configurações de script de logon, etc. O link do meio, via PowerShell, tem que elevar o domínio, coisa que eu não tenho aqui.

    Tem mais algum comando que eu consiga usar? Uma outra dúvida se me permite: tem algum comando que eu consigo ver a data que o objeto (no caso a conta do usuário) foi excluída no AD?

    Valeu ae.


    • Editado Men at Work terça-feira, 29 de abril de 2014 17:18
    terça-feira, 29 de abril de 2014 17:15
  • Olá,

    Pois é..com o backup seria o ideal, conforme aqui:

    http://juliobattisti.com.br/fabiano/artigos/backuprestoread.asp

    Em relação ao link do meio e ao artigo abaixo, quando fala " basta abrir um prompt de comando elevado" que drizer iniciar o CMD com permissão de administrador.

    http://blogs.technet.com/b/latam/archive/2012/01/09/erro-the-requested-domain-could-not-be-deleted-because-there-exist-domain-controllers-that-still-host-this-domain-ao-tentar-remover-um-dom-237-nio-filho.aspx

    Mas neste outro artigo (http://www.radians.com.ar/blog/?p=1389) realmente no final informa que o procedimento não resgata atributos.

    Ou seja, sem backup, provavelmente você vai fazer o restore sem atributos, e como falei antes, talvez por meio de scripts se consiga "arrumar a bagunça".

    Atenciosamente,


    Edinaldo Oliveira

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

    ** Por favor, lembre-se de “Marcar como Resposta” as respostas que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde. **

    • Sugerido como Resposta Edinaldo Junior terça-feira, 29 de abril de 2014 17:31
    • Marcado como Resposta Men at Work quarta-feira, 30 de abril de 2014 13:35
    terça-feira, 29 de abril de 2014 17:31
  • Edinaldo

    Então, no link, ele fala em elevar o nível funcional do Domínio (logo no início do procedimento, inclusive como fazer via PowerShell).

    Me diz uma coisa: é possível rodar algum comando pra saber a data em que os usuários foram excluídos? Assim pelo menos, usando a ferramenta adrestore, eu consigo voltar todos mais rapidamente.

    Abs

    terça-feira, 29 de abril de 2014 18:09
  • Olá,

    Use o ADRestore que de fato vai conseguir recuperar este objeto, no caso de quando foi deletado terá que verificar no container "IsDeleted" pra consultar a data que foi feita a deleção:

    Veja: http://blogs.msdn.com/b/adpowershell/archive/2009/06/01/inspecting-deleted-objects-before-restore.aspx


    Carlos Eduardo Gnochi de Oliveira

    • Sugerido como Resposta Edinaldo Junior terça-feira, 29 de abril de 2014 19:23
    • Marcado como Resposta Men at Work quarta-feira, 30 de abril de 2014 13:34
    terça-feira, 29 de abril de 2014 19:20
  • Carlos Eduardo,

    Então, nesse link que você me enviou, é rodado o comando sobre um arquivo ps1. No link não fala qual é o comando no PowerShell para saber quais usuários foram excluídos e a data da exclusão. Sabe qual é o comando que rodo pra saber?

    Obrigado.

    terça-feira, 29 de abril de 2014 20:36
  • Pessoal beleza?

    Então, alguém sabe me dizer se tem algum comando, ou até alguma ferramenta, que me informe pelo menos a data e hora em que os objetos (no caso os usuários) foram deletados no AD?

    Valeu ae

    quarta-feira, 30 de abril de 2014 11:48
  • Ola´,

    Veja a resposta do Carlos neste outro tópico, deve ajudar:

    http://social.technet.microsoft.com/Forums/windowsserver/pt-BR/d0402338-32ab-457a-a7f7-bb5294301419/saber-quem-deletou-grupos-no-ad?forum=winsrv2008pt

    Se tiver com a auditoria, é só dar uma verificada nas possíveis datas que você acha que foi deletado.

    Ele ainda cita outra ferramenta: AD Manage Engine

    Veja este artigo de como configurar a auditoria (caso ainda não esteja habilitada):

    http://www.bilelo.com.br/2011/03/auditoria-para-controlar-atividades-do.html

    Atenciosamente,


    Edinaldo Oliveira

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

    ** Por favor, lembre-se de “Marcar como Resposta” as respostas que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde. **


    • Editado Edinaldo Junior quarta-feira, 30 de abril de 2014 11:53 Inserido artigo
    • Marcado como Resposta Men at Work quarta-feira, 30 de abril de 2014 13:34
    quarta-feira, 30 de abril de 2014 11:52
  • Edinaldo beleza?

    Então, não tenho auditoria habilitada...inclusive vou habilitar agora. Não teria algum comando em PowerShell que informaria isso? Segundo uma postagem de um link do Carlos, ele lê a data em que o objeto foi excluído, só que o comando é rodado en cima de um arquivo de script ps1.

    Valeu ae

    quarta-feira, 30 de abril de 2014 12:18
  • Olá,

    Olha, não sei dizer...

    Dei uma lida na documentação oficial sobre auditoria e não achei nada:

    http://technet.microsoft.com/en-us/library/a9c25483-89e2-4202-881c-ea8e02b4b2a5.aspx

    Vamos ver se alguém mais pode dar esta informação.

    De qualquer forma, acho que sua dúvida principal foi respondida (que não tem como recuperar os atributos, a não ser com backup).

    Não abuse da sorte, tenha sempre backup e auditorias habilitadas (as mais importantes).

    Atenciosamente,


    Edinaldo Oliveira

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

    ** Por favor, lembre-se de “Marcar como Resposta” as respostas que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde. **

    • Marcado como Resposta Men at Work quarta-feira, 30 de abril de 2014 13:34
    quarta-feira, 30 de abril de 2014 12:31
  • Beleza Edinaldo valeu pela ajuda.

    De qualquer forma, vou tentar encontrar aí algum comando pra saber a data que os objetos no AD foram excluídos.

    Abraços.

    quarta-feira, 30 de abril de 2014 13:34