Obnovení odstraněných uživatelských účtů v Office 365, Azure a Intune

Původní číslo KB:   2619308

Příznaky

Byl obnoven uživatelský účet, který byl omylem odstraněn z Microsoft Office 365, Microsoft Azure nebo Microsoft Intune.

Řešení

Než začnete

Když se uživatelé odstraní ze služby Azure Active Directory (Azure AD), přesunou se do stavu odstraněno a už se v seznamu uživatelů nezobrazí. Nejsou však úplně odebrány a mohou být obnoveny do 30 dnů.

Použijte Office 365 a modul Azure Active Directory pro PowerShell následujícím způsobem a zjistěte, jestli je uživatel oprávněn obnovit ze stavu odstraněný.

  1. Na portálu Office 365 vyhledejte uživatelské účty, které byly odstraněné na portálu. Postupujte takto:
    1. Přihlaste se k portálu Office 365 ( https://portal.office.com ) pomocí přihlašovacích údajů pro správu.
    2. Vyberte Uživateléa pak vyberte Odstranění uživatelé.
    3. Vyhledejte uživatele, kterého chcete obnovit.
  2. V modulu Azure Active Directory pro Windows PowerShell postupujte takto:
    1. Vyberte Spustit > všechny programy: Windows Azure > Active Directory > modul Windows Azure Active Directory pro Windows PowerShell.
    2. Do pořadí, ve kterém jsou prezentována, zadejte následující příkazy a za každým příkazem stiskněte ENTER:
      • $cred = get-credential

        Poznámka

        Po zobrazení výzvy zadejte přihlašovací údaje k Office 365.

      • Connect-MSOLService -credential:$cred

      • Get-MsolUser -ReturnDeletedUsers

Řešení 1: obnovení ručně odstraněných účtů pomocí portálu Office 365 nebo modulu Azure Active Directory

Pokud chcete obnovit uživatelský účet, který byl odstraněn ručně, použijte jednu z těchto metod:

  • Pomocí portálu Office 365 můžete obnovit uživatelský účet. Další informace o tom, jak to udělat, najdete v tématu obnovení uživatele.

  • K obnovení uživatelského účtu použijte modul Azure Active Directory pro Windows PowerShell. Zadejte následující příkaz a stiskněte klávesu ENTER:

    Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Pokud tento příkaz nefunguje, zkuste tento příkaz:

    Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>

    Poznámka

    V těchto příkazech jsou použity následující konvence:

    • Parametry userPrincipalName a objectID jednoznačně identifikují objekt uživatele, který chcete obnovit.
    • Parametr AutoReconcileProxyConflicts je nepovinný a používá se ve scénářích, ve kterých je adresa proxy objektu cílového uživatele přidělená jiným objektem uživatele po odstranění této adresy.
    • Parametr NewUserPrincipalName se nepovinně používá ve scénářích, ve kterých je objektům s cílovým uživatelem, který byl odstraněn, přiřazen pomocí hlavního uživatelského jména (UPN) objektu cílového uživatele.

Řešení 2: odstranění účtů, protože změny oborů vylučují místní objekt služby Active Directory

Chcete-li obnovit odstraněné uživatelské účty, ujistěte se, že filtrování synchronizace adresářů je nastaveno tak, aby obor obsahoval objekty, které chcete obnovit.

Další informace najdete v článku synchronizace Azure AD Connect: Konfigurace filtrování.

Řešení 3: odstranění účtů z důvodu odstranění účtu místního uživatele z místního schématu služby Active Directory

Chcete-li obnovit položku, která byla odstraněna z místního schématu služby Active Directory, vyzkoušejte následující metody:

  • Zkuste obnovit odstraněnou položku z koše služby Active Directory. Postup najdete v článku podrobný průvodce koš adresáře Active Directory.

    Poznámka

    • Odpadkový koš služby Active Directory je dostupný jenom pomocí funkční úrovně Windows 2008 R2 nebo novější verze.
    • Aby mohl být Koš služby Active Directory užitečný při obnovení položky, musí být povolen před odstraněním položky.
  • Pokud není Koš služby Active Directory k dispozici nebo pokud už příslušný objekt v odpadkovém koši není, zkuste odstraněnou položku obnovit pomocí nástroje AdRestore. Postupujte takto:

    1. Nainstalujte nástroj AdRestore .

    2. Pomocí AdRestore spolu s vyhledávacím filtrem vyhledejte odstraněný objekt místního uživatele. Následující příklady používají řetězec "UserA" pro vyhledávání uživatelských jmen, která se shodují.

      1. Pomocí AdRestore Vyzvěte všechny objekty uživatelů, které mají v názvu řetězec "UserA":
      C:\>adrestore.exe UserA
      AdRestore v1.1 by Mark Russinovich
      Sysinternals - www.sysinternals.com
      
      Enumerating domain deleted objects:
      cn: MailboxA
      DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
      distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
      lastKnownParent: OU=OnPremises,DC=Domain,DC=com
      
      Found 1 item matching search criteria.
      
        1. Pomocí AdRestore spolu s přepínačem -r obnovíte objekt uživatele.
      C:\>adrestore.exe Usera -r
      AdRestore v1.1 by Mark Russinovich
      Sysinternals - www.sysinternals.com
      
      Enumerating domain deleted objects:
      cn: UserA
      DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f
      distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com
      lastKnownParent: OU=OnPremises,DC=Domain,DC=com
      
      Do you want to restore this object (y/n)? y
      Restore succeeded.
      
      Found 1 item matching search criteria.
      
  • Povolte objekt uživatele ve službě Active Directory. Když se objekt obnoví, zablokuje se nejdřív. Proto ji musíte povolit. Doporučujeme, abyste nejdříve obnovili uživatelské heslo. Chcete-li uživatele povolit, postupujte takto:

    1. V modulu Uživatelé a počítače služby Active Directory klikněte pravým tlačítkem na uživatele a pak vyberte resetovat heslo.

    2. Do polí nové heslo a potvrzení hesla zadejte nové heslo a pak vyberte OK.

    3. Klikněte pravým tlačítkem na uživatele, vyberte Povolit účeta pak vyberte OK.

      Snímek obrazovky povolení účtu ve službě Active Directory

      Zobrazí se následující chybová zpráva (očekávaná):

      Systém Windows nemůže povolit objekt <MailboxName> , protože nelze aktualizovat heslo. Hodnota zadaná pro nové heslo nesplňuje požadavky domény na délku, složitost nebo historii.

      Po zobrazení této chybové zprávy resetujte heslo uživatele v modulu Uživatelé a počítače služby Active Directory.

  • Nakonfigurujte přihlašovací uživatelské jméno.

    Přihlašovací uživatelské jméno (známé taky jako hlavní uživatelské jméno nebo hlavní název uživatele) není nastavené u obnoveného objektu uživatele. Musíte aktualizovat přihlašovací uživatelské jméno, zejména pokud je uživatel federovaný.

    Pokud chcete nakonfigurovat přihlašovací uživatelské jméno, postupujte takto:

    1. V modulu Uživatelé a počítače služby Active Directory klikněte pravým tlačítkem na uživatele a vyberte vlastnosti.
    2. Vyberte účet, zadejte název do pole přihlašovací uživatelské jméno a pak vyberte OK.

    Pokud nemůžete obnovit odstraněný uživatelský účet prostřednictvím koše služby Active Directory nebo pomocí nástroje AdRestore, spusťte autoritativní obnovení odstraněných objektů uživatele ve službě Active Directory.

Upozornění a upozornění

  • Zkontrolujte, že jenom objekty uživatelů, které chcete obnovit, jsou označené jako autoritativní. Objekty Active Directory, které jsou v procesu obnovení označené jako autoritativní, mohou způsobit mnoho problémů se službou Active Directory.

    Další informace o tom, jak spustit autoritativní obnovení objektů služby Active Directory, najdete v tématu provádění autoritativního obnovení objektů služby Active Directory.

  • Po obnovení objektu pomocí jakékoli metody řešení 3 nemusí mít objekt všechny atributy služby (třeba Exchange Online a Skype pro firmy online) automaticky obnovené.

    Pokud chcete pro uživatele, který byl dřív v Exchangi zapnutý, použít rutiny Windows PowerShellu a přeplnit jim atributy Exchange Online.

    V následujícím příkladu je znovu naplněn objekt User1 pomocí atributů Exchange Online pro tenanta contoso.onmicrosoft.com :

    Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com

  • Pokud platí následující podmínky, řešení 3 nebude fungovat:

    • Obnovení objektu pomocí koše služby Active Directory není dostupné.
    • Obnovení objektu pomocí nástroje AdRestore není dostupná možnost.
    • Autoritativní obnovení služby Active Directory není dostupné.

V tomto případě kontaktujte podporu Office 365 a požádejte o pomoc.

Další informace

Po odstranění uživatele a před obnovením uživatele může dojít k následujícím událostem a mohou se objevit konflikty, které mohou změnit uživatelské prostředí:

  • Nový uživatel má jedinečnou hodnotu ID uživatele, která byla dříve přiřazena odstraněné uživateli.
  • Nový uživatel má jedinečnou hodnotu e-mailovou adresu, která byla dříve přiřazena odstraněné uživateli.

Dojde-li k těmto konfliktům, před dokončením obnovení uživatele je třeba aktualizovat konfliktní atributy. Pokud při obnovení uživatele dojde ke konfliktu, Windows PowerShell vrátí jednu z následujících chybových zpráv:

Chyba 1

Obnovení – MsolUser: zadaný uživatelský účet nejde obnovit, protože došlo k následující chybě: typ chyby UserPrincipalName

Chyba 2

Obnovení – MsolUser: zadaný uživatelský účet nejde obnovit, protože došlo k následující chybě: typ chyby proxyAddress

Pokud chcete obnovit uživatele, kteří jsou v tomto stavu, můžete tento konflikt vyřešit pomocí následujících parametrů, když spustíte rutinu Restore-MSOLUser :

  • AutoReconcileProxyConflicts
  • NewUserPrincipalName

Poznámka

Při použití AutoReconcileProxyConflicts parametru budou odstraněny všechny konfliktní e-mailové adresy od odstraněného uživatele, aby bylo možné pokračovat v procesu obnovení.

Portál Office 365 zobrazuje chybové zprávy ve formě chybových zpráv, které byly zmíněny dříve. Zobrazí se například následující zpráva:

Snímek obrazovky se stránkou konfliktu uživatelských jmen

Pokud chcete obnovit uživatele, kteří jsou v tomto stavu, vyplňte informace požadované ve formuláři.

Stále potřebujete pomoc? Přejděte na stránku Komunita Microsoft nebo Azure Active Directory Forums.