Obnovení odstraněných uživatelských účtů v Office 365, Azure a Intune

Původní číslo KB:   2619308

Příznaky

Uživatelský účet, který byl omylem odstraněn z Microsoft Office 365, Microsoft Azure nebo Microsoft Intune musí být obnoven.

Řešení

Než začnete

Když se uživatelé odstraní z Azure Active Directory (Azure AD), přesunou se do stavu "odstraněný" a už se nezobrazí v seznamu uživatelů. Nejsou však úplně odebrány a do 30 dnů je můžete obnovit.

Pomocí Office 365 a modulu Azure Active Directory pro PowerShell následujícím způsobem určete, jestli má uživatel nárok na obnovení ze stavu "odstraněno":

  1. Na Office 365 portálu vyhledejte uživatelské účty, které byly odstraněny prostřednictvím portálu. Postupujte takto:
    1. Přihlaste se k portálu Office 365 ( https://portal.office.com ) pomocí přihlašovacích údajů pro správu.
    2. Vyberte Uživatelé a pak vyberte Odstranění uživatelé.
    3. Vyhledejte uživatele, kterého chcete obnovit.
  2. V Azure Active Directory Module for Windows PowerShell postupujte takto:
    1. Vyberte Spustit > všechny programy > Windows Azure Active Directory > Windows Azure Active Directory modulu pro Windows PowerShell.
    2. Zadejte následující příkazy v pořadí, ve kterém jsou uvedené, a za každým příkazem stiskněte Enter:
      • $cred = get-credential

        Poznámka

        Až se zobrazí výzva, zadejte své přihlašovací Office 365 přihlašovací údaje.

      • Connect-MSOLService -credential:$cred

      • Get-MsolUser -ReturnDeletedUsers

Řešení 1: Obnovení ručně odstraněných účtů pomocí Office 365 nebo modulu Azure Active Directory.

Pokud chcete obnovit uživatelský účet, který byl odstraněn ručně, použijte jednu z následujících metod:

  • K obnovení uživatelského Office 365 použijte webový portál. Další informace o tom, jak to udělat, najdete v tématu Obnovení uživatele.

  • Pomocí modulu Azure Active Directory pro Windows PowerShell obnovte uživatelský účet. Pokud to chcete udělat, zadejte následující příkaz a stiskněte Enter:

    Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Pokud tento příkaz nefunguje, zkuste následující příkaz:

    Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Poznámka

    V těchto příkazech se používají následující konvence:

    • Parametry UserPrincipalName ObjectID a jednoznačně identifikují objekt uživatele, který se má obnovit.
    • Parametr je nepovinný a používá se v situacích, kdy se po odstranění této adresy udělí proxy adrese objektu cílového uživatele jiný AutoReconcileProxyConflicts objekt uživatele.
    • Parametr se volitelně používá ve scénářích, ve kterých je udělen jiný objekt uživatele pomocí hlavního uživatelského jména (UPN) cílového objektu uživatele po odstranění tohoto hlavního NewUserPrincipalName názvu uživatele.

Řešení 2: Obnovení odstraněných účtů, protože změny rozsahu nezahrnují místní objekt uživatele služby Active Directory.

Pokud chcete obnovit odstraněné uživatelské účty, ujistěte se, že je filtrování synchronizace adresářů (rozsah) nastavené tak, aby obor zahrnuje objekty, které chcete obnovit.

Další informace najdete v tématu Synchronizace Připojení Azure AD: Konfigurace filtrování.

Řešení 3: Obnovení účtů odstraněných z důvodu odstranění místního objektu uživatele z místního schématu služby Active Directory

Pokud chcete obnovit položku odstraněnou z místního schématu služby Active Directory, vyzkoušejte následující metody:

  • Zkuste odstraněnou položku obnovit z koše služby Active Directory. Postup najdete v podrobném průvodci košem služby Active Directory.

    Poznámka

    • Koš služby Active Directory je k dispozici jenom tím, že má úroveň funkčnosti Windows 2008 R2 nebo novějších verzích.
    • Aby byl koš služby Active Directory užitečný při obnovování položky, musí být před odstraněním položky povolený.
  • Pokud koš služby Active Directory není dostupný nebo pokud předmětný objekt už není v koši, zkuste odstraněnou položku obnovit pomocí nástroje AdRestore. Postupujte takto:

    1. Nainstalujte nástroj AdRestore.

    2. Pomocí nástroje AdRestore společně s vyhledávacím filtrem vyhledejte odstraněný místní objekt uživatele. Následující příklady používají řetězec UserA k vyhledání uživatelských jmen, která odpovídají.

      1. Pomocí nástroje AdRestore můžete vytvořit výčet všech uživatelských objektů, které mají v názvu řetězec UserA:

        C:\>adrestore.exe UserA
        AdRestore v1.1 by Mark Russinovich
        Sysinternals - www.sysinternals.com
        
        Enumerating domain deleted objects:
        cn: MailboxA
        DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
        distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
        lastKnownParent: OU=OnPremises,DC=Domain,DC=com
        
        Found 1 item matching search criteria.
        
      2. Pomocí funkce AdRestore společně s přepínačem -r obnovte objekt uživatele.

        C:\>adrestore.exe Usera -r
        AdRestore v1.1 by Mark Russinovich
        Sysinternals - www.sysinternals.com
        
        Enumerating domain deleted objects:
        cn: UserA
        DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
        distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
        lastKnownParent: OU=OnPremises,DC=Domain,DC=com
        
        Do you want to restore this object (y/n)? y
        Restore succeeded.
        
        Found 1 item matching search criteria.
        
  • Povolte objekt uživatele ve službě Active Directory. Když objekt obnovíte, nejdřív se deaktivuje. Proto ho musíte povolit. Doporučujeme nejprve resetovat uživatelské heslo. Pokud chcete uživatele povolit, postupujte takto:

    1. V části Uživatelé a počítače služby Active Directory klikněte pravým tlačítkem myši na uživatele a vyberte Obnovit heslo.

    2. Do polí Nové heslo a Potvrdit heslo zadejte nové heslo a pak vyberte OK.

    3. Klikněte pravým tlačítkem myši na uživatele, vyberte Povolit účet a pak vyberte OK.

      Snímek obrazovky s tím, jak povolit účet ve službě Active Directory

      Zobrazí se následující chybová zpráva (očekáváno):

      Windows objekt <MailboxName> povolit, protože: Heslo se nedaří aktualizovat. Hodnota zadaná pro nové heslo nesplňuje požadavky na délku, složitost ani historii domény.

      Po obdržení této chybové zprávy resetujte heslo uživatele v části Uživatelé a počítače služby Active Directory.

  • Konfigurace přihlašovacího jména uživatele

    Přihlašovací jméno uživatele (označované taky jako hlavní uživatelské jméno nebo hlavní název uživatele) není nastavené z obnoveného objektu uživatele. Přihlašovací jméno uživatele musíte aktualizovat, hlavně pokud je uživatel federovaný účet.

    Pokud chcete nakonfigurovat přihlašovací jméno uživatele, postupujte takto:

    1. V části Uživatelé a počítače služby Active Directory klikněte pravým tlačítkem myši na uživatele a pak vyberte Vlastnosti.
    2. Vyberte Účet, do pole Přihlašovací jméno uživatele zadejte jméno a pak vyberte OK.

    A konečně, pokud odstraněný uživatelský účet nemůžete obnovit prostřednictvím koše služby Active Directory nebo pomocí nástroje AdRestore, spusťte autoritativní obnovení odstraněných uživatelských objektů ve službě Active Directory.

Upozornění a upozornění

  • Ujistěte se, že jako autoritativní jsou označené jenom objekty uživatelů, které chcete obnovit. Objekty služby Active Directory, které jsou v procesu obnovení označené jako autoritativní, mohou způsobit mnoho problémů se službou Active Directory.

    Další informace o spuštění autoritativního obnovení objektů služby Active Directory najdete v tématu Provedení autoritativního obnovení objektů služby Active Directory.

  • Po obnovení objektu pomocí libovolné metody řešení 3 nemusí mít objekt automaticky obnovené všechny atributy služby (například Exchange Online a Skype pro firmy Online).

    Například pro uživatele, který v aplikaci Exchange Online dřív povolil poštu, můžete k opětovnému Windows PowerShell atributů Exchange Online použít rutiny.

    V následujícím příkladu je objekt Uživatel1 znovu zaplněn Exchange Online atributy pro contoso.onmicrosoft.com klienta:

    Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com

  • Pokud platí následující podmínky, řešení 3 nebude fungovat:

    • Obnovení objektu pomocí koše služby Active Directory není dostupná možnost.
    • Obnovení objektu pomocí nástroje AdRestore není dostupná možnost.
    • Autoritativní obnovení služby Active Directory není dostupná možnost.

V takovém případě požádejte o Office 365 podporu.

Další informace

Po odstranění uživatele a před obnovením uživatele může dojít k následujícím událostem a může dojít ke konfliktům, které mohou změnit uživatelské prostředí:

  • Nový uživatel má jedinečnou hodnotu ID uživatele, která byla dříve přiřazená odstraněným uživatelům.
  • Nový uživatel má jedinečnou hodnotu e-mailové adresy, která byla dříve přiřazená odstraněným uživatelům.

Pokud k těmto konfliktům dojde, je nutné konfliktní atributy aktualizovat, aby se konflikt odstranil, aby bylo možné obnovení uživatele dokončit. Pokud dojde během obnovení uživatele ke konfliktu, Windows PowerShell vrátí jednu z následujících chybových zpráv:

Chyba 1

Restore-MsolUser: Zadaný uživatelský účet nelze obnovit z důvodu následující chyby: Typ chyby UserPrincipalName

Chyba 2

Restore-MsolUser: Zadaný uživatelský účet nelze obnovit z důvodu následující chyby: Typ chyby proxyAddress

Pokud chcete obnovit uživatele, kteří jsou v tomto stavu, můžete konflikt opravit pomocí následujících parametrů při spuštění rutiny Restore-MSOLUser:

  • AutoReconcileProxyConflicts
  • NewUserPrincipalName

Poznámka

Když použijete parametr, odstraní se z odstraněných uživatelů všechny konfliktní e-mailové adresy, abyste mohli AutoReconcileProxyConflicts pokračovat v procesu obnovení.

Na Office 365 se zobrazují ekvivalentní chybové zprávy ve formě Windows PowerShell chybových stavů, které byly zmíněny dříve. Zobrazí se například následující zpráva:

Konflikt uživatelského jména: Uživatel, kterého chcete obnovit, má stejné uživatelské jméno.

Snímek obrazovky s konfliktem uživatelského jména

Pokud chcete obnovit uživatele, kteří jsou v tomto stavu, vyplňte požadované informace ve formuláři.

Stále potřebujete pomoc? Přejděte na stránku Komunita Microsoft nebo Azure Active Directory Forums.