Restaurar usuário deletado no AD (pt-BR)

Artigo
17/01/2024

É possível recuperar não só usuários, como também objetos do AD. Sempre que precisei, utilizei a ferramenta citada acima – Ldp.exe, mas também é possível realizar este procedimento utilizando o ADExplorer, da Sysinternals.

Bom, antes de começar é importante entender como funciona a “exclusão” de objetos no AD. Quando um objeto é deletado, ele ainda continua no banco de dados – ou seja, não é deletado fisicamente. Ele vai para um Tombstone (conteiner CN=Deleted Objects).

Este Tombstone mantém os usuários por 180 dias, no Windows 2003 SP1 e 2008 e 60 dias no Windows 2003.

Agora que sabemos como funciona o processo, mãos a obra:

1º) Execute a ferramenta Ldp.exe (presente na maioria das versões do Windows)

2º) No menu Connection, clique em connect

http://grvalle.files.wordpress.com/2011/05/ad1.png?w=604&h=348

Informe o Domain Controller

3º) Novamente no menu Connection, blique em Bind para autenticar-se

http://grvalle.files.wordpress.com/2011/05/ad2.png?w=604&h=347

Se necessário (caso não esteja realizando este procedimento com credenciais elevadas) informe o usuário e senha do Administrador

*Apos autenticar, aparecerá o “log” da validação
*

*———–
0 = ldap_set_option(ld, LDAP_OPT_ENCRYPT, 1)
res = ldap_bind_s(ld, NULL, &NtAuthIdentity, NEGOTIATE (1158)); // v.3
{NtAuthIdentity: User=’NULL’; Pwd=<unavailable>; domain = ‘NULL’}
Authenticated as: ‘TESTE\Administrator’.
———–
*

4º) No menu Options, clique em Controls para selecionar a opção de retornar Objetos deletados.

http://grvalle.files.wordpress.com/2011/05/ad3.png?w=604&h=348

Clique em OK

5º) No menu View, clique em Tree (para exibição em modo “árvore”)

6º) Em Base DN, selecione o Dominio e clique em OK

http://grvalle.files.wordpress.com/2011/05/ad4.png?w=435&h=113

7º) Na árvore do dominio, navegar até o objeto desejado (em Deleted Objects)

http://grvalle.files.wordpress.com/2011/05/ad5.png?w=604&h=349

Clicar com o botão direito e selecionar a opção Modify

8º) No campo Edit Entry Attribute, digite isDeleted e marque a opção Delete, em operation. Clique em Enter.

http://grvalle.files.wordpress.com/2011/05/ad61.png?w=345&h=375

9º) Novamente no campo Edit Entry Attribute, digite distinguishedName e marque a opção Replace. No campo Values, informarcar o DN do objeto (onde será restaurado). Marque a opção Extend e clique em Enter novamente.

http://grvalle.files.wordpress.com/2011/05/ad7.png?w=347&h=376

Execute os parametros clicando em RUN

Se tiver tudo correto, será exibido no “log”:

———–
***Call Modify…
ldap_modify_ext_s(ld, ‘CN=deleted userADEL:5e0c78a7-e677-4d26-953c-c550332cc647,CN=Deleted Objects,DC=teste,DC=interno’,[2] attrs, SvrCtrls, ClntCtrls);
Modified “CN=deleted userADEL:5e0c78a7-e677-4d26-953c-c550332cc647,CN=Deleted Objects,DC=teste,DC=interno”.
———–

Pronto! Objeto recuperado.

http://grvalle.files.wordpress.com/2011/05/ad8.png?w=604&h=420

IMPORTANTE: Deverá ser preenchido todas as informações do usuário.

Este procedimento tem a finalidade de recuperar o mais importante, o SID do objeto!

Gustavo Valle

MCDST - MCSA - MCTS - STSBE

Email: gustavo@grvalle.com

My profiles: http://images.wisestamp.com/facebook.png http://images.wisestamp.com/twitter.png http://images.wisestamp.com/linkedin.png http://images.wisestamp.com/wordpress.png
Contact me: http://images.wisestamp.com/skype.png gorvalle http://images.wisestamp.com/msn.png gustavo@grvalle.com

Compartilhar via

Restaurar usuário deletado no AD (pt-BR)

Recursos adicionais