Cómo restaurar cuentas de usuario eliminadas y sus pertenencias a grupos en Active Directory

En este artículo se proporciona información sobre cómo restaurar cuentas de usuario eliminadas y pertenencias a grupos en Active Directory.

Versión original del producto:   Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Número KB original:   840001

Introducción

Puede usar varios métodos para restaurar cuentas de usuario, cuentas de equipo y grupos de seguridad eliminados. Estos objetos se conocen colectivamente como entidades de seguridad.

El método más común es habilitar la característica de papelera de reciclaje de AD compatible con controladores de dominio basados en Windows Server 2008 R2 y versiones posteriores. Para obtener más información sobre esta característica, incluido cómo habilitarla y restaurar objetos, vea la Guía paso a paso de la papelera de reciclaje de Active Directory.

Si este método no está disponible, se pueden usar los tres métodos siguientes. En los tres métodos, se restauran autoritativamente los objetos eliminados y, a continuación, se restaura la información de pertenencia a grupos para las entidades de seguridad eliminadas. Al restaurar un objeto eliminado, debe restaurar los valores anteriores de los atributos y de la entidad de seguridad member memberOf afectada.

Nota

La recuperación de objetos eliminados en Active Directory se puede simplificar habilitando la característica papelera de reciclaje de AD compatible con controladores de dominio basados en Windows Server 2008 R2 y versiones posteriores. Para obtener más información sobre esta característica, incluido cómo habilitarla y restaurar objetos, vea la Guía paso a paso de la papelera de reciclaje de Active Directory.

Más información

Los métodos 1 y 2 proporcionan una mejor experiencia para los usuarios y administradores del dominio. Estos métodos conservan las adiciones a los grupos de seguridad que se realizaron entre el momento de la última copia de seguridad del estado del sistema y el momento en que se produjo la eliminación. En el método 3, no se hacen ajustes individuales en las entidades de seguridad. En su lugar, se revierte la pertenencia a grupos de seguridad a su estado en el momento de la última copia de seguridad.

La mayoría de las eliminaciones a gran escala son accidentales. Microsoft recomienda realizar varios pasos para evitar que otros eliminen objetos de forma masiva.

Nota

Para evitar la eliminación o el movimiento accidentales de objetos (especialmente unidades organizativas), se pueden agregar dos entradas de control de acceso denegar (ACE) al descriptor de seguridad de cada objeto (DENEGAR ELIMINAR ELIMINAR ÁRBOL) y se puede agregar una entrada de control de acceso denegado (ACE) al descriptor de seguridad de PARENT de cada objeto & (DENY DELETE CHILD). Para ello, use Usuarios y equipos de Active Directory, ADSIEdit, LDP o la herramienta de línea de comandos DSACLS. También puedes cambiar los permisos predeterminados en el esquema de AD para las unidades organizativas para que estas ACE se incluyan de forma predeterminada.

Por ejemplo, para proteger la unidad organizativa a la que se llama. Los usuarios del dominio de AD al que se llama desde que se mueven o eliminan accidentalmente de su unidad organizativa principal denominada CONTOSO.COM MyCompany, realice la siguiente configuración:

Para la unidad organizativa MyCompany, agregue DENY ACE para todos los usuarios para ELIMINAR SECUNDARIO con este ámbito de solo objeto:

DSACLS "OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:DC"/

Para la unidad organizativa Usuarios, agregue DENEGAR ACE para todos los usuarios para eliminar y eliminar árbol con este ámbito de solo objeto:

DSACLS "OU=Users,OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:SDDT"

El complemento Usuarios y equipos de Active Directory en Windows Server 2008 incluye una casilla Proteger el objeto de eliminación accidental en la pestaña Objeto.

Nota

La casilla características avanzadas debe estar habilitada para ver esa pestaña.

Al crear una unidad organizativa mediante usuarios y equipos de Active Directory en Windows Server 2008, aparece la casilla Proteger el contenedor de eliminación accidental. De forma predeterminada, la casilla está activada y se puede deseleccionar.

Aunque puede configurar todos los objetos de Active Directory mediante estas ACE, es más adecuado para las unidades organizativas. La eliminación o los movimientos de todos los objetos hoja pueden tener un efecto importante. Esta configuración impide este tipo de eliminaciones o movimientos. Para eliminar o mover realmente un objeto mediante este tipo de configuración, primero se deben quitar las ACE de denegación.

En este artículo se describe cómo restaurar cuentas de usuario, cuentas de equipo y sus pertenencias a grupos después de que se hayan eliminado de Active Directory. En las variaciones de este escenario, es posible que las cuentas de usuario, las cuentas de equipo o los grupos de seguridad se hayan eliminado individualmente o en alguna combinación. En todos estos casos, se aplican los mismos pasos iniciales. Se restauran de forma autoritativa o se autentican los objetos que se eliminaron accidentalmente. Algunos objetos eliminados requieren más trabajo para restaurarse. Estos objetos incluyen objetos como cuentas de usuario que contienen atributos que son vínculos hacia atrás de los atributos de otros objetos. Dos de estos atributos son managedBy y memberOf .

Al agregar entidades de seguridad, como una cuenta de usuario, un grupo de seguridad o una cuenta de equipo a un grupo de seguridad, se hacen los siguientes cambios en Active Directory:

  1. El nombre de la entidad de seguridad se agrega al atributo miembro de cada grupo de seguridad.
  2. Para cada grupo de seguridad del que el usuario, el equipo o el grupo de seguridad sea miembro, se agrega un vínculo hacia atrás al atributo de la entidad de memberOf seguridad.

De forma similar, cuando se elimina un usuario, un equipo o un grupo de Active Directory, se producen las siguientes acciones:

  1. La entidad de seguridad eliminada se mueve al contenedor de objetos eliminados.
  2. Algunos valores de atributo, incluido el memberOf atributo, se quitan de la entidad de seguridad eliminada.
  3. Las entidades de seguridad eliminadas se quitan de los grupos de seguridad de los que eran miembros. En otras palabras, las entidades de seguridad eliminadas se quitan del atributo miembro de cada grupo de seguridad.

Al recuperar entidades de seguridad eliminadas y restaurar sus pertenencias a grupos, cada entidad de seguridad debe existir en Active Directory antes de restaurar su pertenencia a grupos. El miembro puede ser un usuario, un equipo u otro grupo de seguridad. Para volver a establecer esta regla de forma más amplia, un objeto que contiene atributos cuyos valores son vínculos hacia atrás debe existir en Active Directory antes de que el objeto que contiene ese vínculo hacia delante se pueda restaurar o modificar.

Este artículo se centra en cómo recuperar cuentas de usuario eliminadas y sus pertenencias a grupos de seguridad. Sus conceptos se aplican igualmente a otras eliminaciones de objetos. Los conceptos de este artículo se aplican igualmente a los objetos eliminados cuyos valores de atributo usan vínculos hacia delante y vínculos hacia atrás a otros objetos de Active Directory.

Puede usar cualquiera de los tres métodos para recuperar entidades de seguridad. Cuando se usa el método 1, se dejan en su lugar todas las entidades de seguridad que se agregaron a cualquier grupo de seguridad en todo el bosque. Y solo se agregan entidades de seguridad que se eliminaron de sus respectivos dominios a sus grupos de seguridad. Por ejemplo, se realiza una copia de seguridad del estado del sistema, se agrega un usuario a un grupo de seguridad y, a continuación, se restaura la copia de seguridad del estado del sistema. Cuando se usan métodos 1 o 2, se conservan los usuarios que se agregaron a los grupos de seguridad que contienen usuarios eliminados entre las fechas en las que se creó la copia de seguridad del estado del sistema y la fecha en que se restauró la copia de seguridad. Cuando se usa el método 3, se revierten las pertenencias a grupos de seguridad para todos los grupos de seguridad que contienen usuarios eliminados a su estado en el momento de la copia de seguridad del estado del sistema.

Método 1: restaurar las cuentas de usuario eliminadas y, a continuación, volver a agregar los usuarios restaurados a sus grupos mediante la herramienta Ntdsutil.exe línea de comandos

La Ntdsutil.exe de línea de comandos permite restaurar los vínculos de reserva de los objetos eliminados. Se generan dos archivos para cada operación de restauración autoritativa. Un archivo contiene una lista de objetos restaurados autoritativamente. El otro archivo es un archivo .ldf que se usa con la utilidad Ldifde.exe datos. Este archivo se usa para restaurar los backlinks de los objetos que se restauran autoritativamente. Una restauración autoritativa de un objeto de usuario también genera archivos de formato de intercambio de datos LDAP (LDIF) con la pertenencia al grupo. Este método evita una doble restauración.

Cuando se usa este método, se realizan los siguientes pasos de alto nivel:

  1. Compruebe si un catálogo global del dominio del usuario no se ha replicado en la eliminación. Y, a continuación, evitar que el catálogo global se re replica. Si no hay ningún catálogo global latente, busque la copia de seguridad del estado del sistema más actual de un controlador de dominio de catálogo global en el dominio principal del usuario eliminado.
  2. Auth restore all the deleted user accounts, and then permit end-to-end replication of those user accounts.
  3. Vuelva a agregar todos los usuarios restaurados a todos los grupos de todos los dominios de los que las cuentas de usuario eran miembros antes de que se eliminaron.

Para usar el método 1, siga este procedimiento:

  1. Compruebe si hay un controlador de dominio de catálogo global en el dominio principal del usuario eliminado que no haya replicado ninguna parte de la eliminación.

    Nota

    Céntrate en los catálogos globales que tienen las programaciones de replicación menos frecuentes.

    Si existe uno o varios de estos catálogos globales, use la herramienta de línea de comandos Repadmin.exe para deshabilitar inmediatamente la replicación entrante siguiendo estos pasos:

    1. Haga clic en Inicio y, a continuación, en Ejecutar.

    2. Escriba cmd en el cuadro Abrir y, a continuación, seleccione Aceptar.

    3. Escriba el siguiente comando en el símbolo del sistema y, a continuación, presione ENTRAR:

      repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
      

      Nota

      Si no puede emitir el comando inmediatamente, quite toda la conectividad de red del catálogo global latente hasta que pueda usarla para deshabilitar la replicación entrante y, a continuación, devolver inmediatamente la Repadmin Repadmin conectividad de red.

    Este controlador de dominio se denominará controlador de dominio de recuperación. Si no hay ningún catálogo global de este tipo, vaya al paso 2.

  2. Es mejor dejar de realizar cambios en los grupos de seguridad del bosque si se cumplen todas las instrucciones siguientes:

    • Está usando el método 1 para restaurar de forma autoritativa los usuarios o cuentas de equipo eliminados por su nombre distintivo (dn).
    • La eliminación se ha replicado en todos los controladores de dominio del bosque excepto en el controlador de dominio de recuperación latente.
    • No estás autenticando la restauración de grupos de seguridad ni sus contenedores primarios.

    Si está autenticando la restauración de grupos de seguridad o contenedores de unidad organizativa (OU) que hospedan grupos de seguridad o cuentas de usuario, detenga temporalmente todos estos cambios.

    Notifique a los administradores y administradores del servicio de ayuda en los dominios adecuados, además de a los usuarios del dominio en el que se produjo la eliminación, acerca de la detención de estos cambios.

  3. Cree una nueva copia de seguridad del estado del sistema en el dominio donde se produjo la eliminación. Puede usar esta copia de seguridad si tiene que revertir los cambios.

    Nota

    Si las copias de seguridad del estado del sistema están actualizadas hasta el punto de la eliminación, omita este paso y vaya al paso 4.

    Si identificó un controlador de dominio de recuperación en el paso 1, haga una copia de seguridad de su estado del sistema ahora.

    Si todos los catálogos globales ubicados en el dominio donde se produjo la eliminación se replicaron en la eliminación, haga una copia de seguridad del estado del sistema de un catálogo global en el dominio donde se produjo la eliminación.

    Al crear una copia de seguridad, puede devolver el controlador de dominio de recuperación a su estado actual. Y vuelva a realizar el plan de recuperación si el primer intento no se realiza correctamente.

  4. Si no encuentra un controlador de dominio de catálogo global latente en el dominio donde se ha eliminado el usuario, busque la copia de seguridad del estado del sistema más reciente de un controlador de dominio de catálogo global en ese dominio. Esta copia de seguridad del estado del sistema debe contener los objetos eliminados. Use este controlador de dominio como controlador de dominio de recuperación.

    Solo las restauraciones de los controladores de dominio del catálogo global en el dominio del usuario contienen información de pertenencia a grupos global y universal para los grupos de seguridad que residen en dominios externos. Si no hay ninguna copia de seguridad del estado del sistema de un controlador de dominio de catálogo global en el dominio donde se eliminaron los usuarios, no puede usar el atributo en las cuentas de usuario restauradas para determinar la pertenencia a grupos global o universal ni para recuperar la pertenencia a dominios memberOf externos. Además, es una buena idea encontrar la copia de seguridad del estado del sistema más reciente de un controlador de dominio de catálogo no global.

  5. Si conoce la contraseña de la cuenta de administrador sin conexión, inicie el controlador de dominio de recuperación en modo Desaconseje. Si no conoce la contraseña de la cuenta de administrador sin conexión, restablezca la contraseña con ntdsutil.exe mientras el controlador de dominio de recuperación aún esté en modo normal de Active Directory.

    Puede usar la herramienta de línea de comandos setpwd para restablecer la contraseña en los controladores de dominio mientras están en modo de Active Directory en línea.

    Nota

    Microsoft ya no admite Windows 2000.

    Los administradores de Windows Server 2003 y controladores de dominio posteriores pueden usar el comando de la herramienta de línea de comandos Ntdsutil para restablecer la contraseña de la cuenta de administrador sin set dsrm password conexión.

    Para obtener más información acerca de cómo restablecer la cuenta de administrador del Modo de restauración de servicios de directorio, consulta Cómo restablecer la contraseña de la cuenta de administrador del modo de restauración de servicios de directorio en Windows Server.

  6. Presione F8 durante el proceso de inicio para iniciar el controlador de dominio de recuperación en modo Desaconseje. Inicie sesión en la consola del controlador de dominio de recuperación con la cuenta de administrador sin conexión. Si restablece la contraseña en el paso 5, use la nueva contraseña.

    Si el controlador de dominio de recuperación es un controlador de dominio de catálogo global latente, no restaure el estado del sistema. Vaya al paso 7.

    Si está creando el controlador de dominio de recuperación mediante una copia de seguridad de estado del sistema, restaure la copia de seguridad de estado del sistema más reciente que se realizó en el controlador de dominio de recuperación ahora.

  7. La autenticación restaura las cuentas de usuario eliminadas, las cuentas de equipo eliminadas o los grupos de seguridad eliminados.

    Nota

    Los términos restauración de autenticación y restauración autoritativa se refieren al proceso de uso del comando de restauración autoritativa en la herramienta de línea de comandos Ntdsutil para incrementar los números de versión de objetos específicos o de contenedores específicos y todos sus objetos subordinados. En cuanto se produce la replicación de un extremo a otro, los objetos de destino en la copia local de Active Directory del controlador de dominio de recuperación se convierten en relevantes en todos los controladores de dominio que comparten esa partición. Una restauración autoritativa es diferente de una restauración de estado del sistema. Una restauración del estado del sistema rellena la copia local del controlador de dominio restaurado de Active Directory con las versiones de los objetos en el momento en que se realizó la copia de seguridad del estado del sistema.

    Las restauraciones autoritativa se realizan con la herramienta de línea de comandos Ntdsutil y hacen referencia a la ruta de acceso de nombre de dominio (dn) de los usuarios eliminados o de los contenedores que hospedan a los usuarios eliminados.

    Al autenticar la restauración, use rutas de acceso de nombre de dominio (dn) que sean tan bajas en el árbol de dominio como deba ser. El propósito es evitar la reversión de objetos que no están relacionados con la eliminación. Estos objetos pueden incluir objetos modificados después de realizar la copia de seguridad del estado del sistema.

    Autenticación para restaurar usuarios eliminados en el orden siguiente:

    1. Autentica la restauración de la ruta de acceso del nombre de dominio (dn) para cada cuenta de usuario, cuenta de equipo o grupo de seguridad eliminados.

      Las restauraciones autoritativa de objetos específicos tardan más tiempo, pero son menos destructivas que las restauraciones autoritativa de un subárbol completo. La autenticación restaura el contenedor primario común más bajo que contiene los objetos eliminados.

      Ntdsutil usa la siguiente sintaxis:

      ntdsutil "authoritative restore" "restore object <object DN path>" q q
      

      Por ejemplo, para restaurar autoritativamente el usuario eliminado John Doe en la unidad organizativa Mayberry Contoso.com del dominio, use el siguiente comando:

      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
      

      Para restaurar de forma autoritativa el grupo de seguridad eliminado ContosoPrintAccess en la unidad organizativa Mayberry Contoso.com del dominio, use el siguiente comando:

      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
      

      Importante

      Se requiere el uso de comillas.

      Para cada usuario que restaure, se generan al menos dos archivos. Estos archivos tienen el siguiente formato:

      ar_ YYYYMMDD-HHMMSS _objects.txt
      Este archivo contiene una lista de los objetos restaurados autoritativamente. Use este archivo con el comando de restauración autoritativa ntdsutil en cualquier otro dominio del bosque donde el usuario era miembro create ldif file from de grupos locales de dominio.

      ar_ YYYYMMDD-HHMMSS _links_usn.loc.ldf
      Si realiza la restauración de autenticación en un catálogo global, se genera uno de estos archivos para cada dominio del bosque. Este archivo contiene un script que puede usar con la utilidad Ldifde.exe datos. El script restaura los backlinks de los objetos restaurados. En el dominio principal del usuario, el script restaura todas las pertenencias a grupos para los usuarios restaurados. En todos los demás dominios del bosque donde el usuario tiene pertenencia a grupos, el script solo restaura las pertenencias a grupos universales y globales. El script no restaura ninguna pertenencia a grupos de dominio local. Estas pertenencias no son rastreadas por un catálogo global.

    2. La autenticación solo restaura los contenedores ou o Common-Name (CN) que hospedan las cuentas de usuario o grupos eliminados.

      Las restauraciones autoritativa de todo un subárbol son válidas cuando la unidad organizativa dirigida por el comando de restauración autoritativa ntdsutil contiene la mayoría de los objetos que está intentando restaurar autoritativamente. Lo ideal es que la unidad organizativa de destino contenga todos los objetos que está intentando restaurar autoritativamente.

      Una restauración autoritativa en un subárbol ou restaura todos los atributos y objetos que residen en el contenedor. Los cambios realizados hasta el momento en que se restaura una copia de seguridad de estado del sistema se revierte a sus valores en el momento de la copia de seguridad. Con las cuentas de usuario, las cuentas de equipo y los grupos de seguridad, esta reversión puede significar la pérdida de los cambios más recientes en:

      • passwords
      • el directorio principal
      • la ruta de acceso del perfil
      • location
      • información de contacto
      • pertenencia a grupos
      • cualquier descriptor de seguridad definido en esos objetos y atributos.

      Ntdsutil usa la siguiente sintaxis:

      ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
      

      Por ejemplo, para restaurar de forma autoritativa la unidad organizativa Mayberry del Contoso.com dominio, use el siguiente comando:

      ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
      

      Nota

      Repita este paso para cada unidad organizativa del mismo nivel que hospeda usuarios o grupos eliminados.

      Importante

      Al restaurar un objeto subordinado de una unidad organizativa, todos los contenedores primarios eliminados de los objetos subordinados eliminados deben restaurarse explícitamente.

      Para cada unidad organizativa que restaure, se generan al menos dos archivos. Estos archivos tienen el siguiente formato:

      ar_ YYYYMMDD-HHMMSS _objects.txt
      Este archivo contiene una lista de los objetos restaurados autoritativamente. Use este archivo con el comando de restauración autoritativa ntdsutil en cualquier otro dominio del bosque donde los usuarios restaurados eran miembros create ldif file from de grupos locales de dominio.

      ar_ YYYYMMDD-HHMMSS _links_usn.loc.ldf
      Este archivo contiene un script que puede usar con la utilidad Ldifde.exe datos. El script restaura los backlinks de los objetos restaurados. En el dominio principal del usuario, el script restaura todas las pertenencias a grupos para los usuarios restaurados.

  8. Si se recuperaron objetos eliminados en el controlador de dominio de recuperación debido a una restauración de estado del sistema, quite todos los cables de red que proporcionan conectividad de red a todos los demás controladores de dominio del bosque.

  9. Reinicie el controlador de dominio de recuperación en modo normal de Active Directory.

  10. Escriba el siguiente comando para deshabilitar la replicación entrante en el controlador de dominio de recuperación:

    repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
    

    Habilite la conectividad de red de nuevo al controlador de dominio de recuperación cuyo estado del sistema se restauró.

  11. Replicar de salida los objetos restaurados por autenticación desde el controlador de dominio de recuperación a los controladores de dominio en el dominio y en el bosque.

    Mientras la replicación entrante en el controlador de dominio de recuperación permanece deshabilitada, escriba el siguiente comando para insertar los objetos restaurados con autenticación en todos los controladores de dominio de réplica entre sitios del dominio y en todos los catálogos globales del bosque:

    repadmin /syncall /d /e /P <recovery dc> <Naming Context>
    

    Si todas las instrucciones siguientes son verdaderas, los vínculos de pertenencia a grupos se reconstruyen con la restauración y la replicación de las cuentas de usuario eliminadas. Vaya al paso 14.

    Nota

    Si una o varias de las instrucciones siguientes no son verdaderas, vaya al paso 12.

    • El bosque se ejecuta en el nivel funcional del bosque windows Server 2003 o posterior o posterior, o en el nivel funcional de bosque provisional de Windows Server 2003 y versiones posteriores o posteriores.
    • Solo se eliminaron cuentas de usuario o cuentas de equipo, y no grupos de seguridad.
    • Los usuarios eliminados se agregaron a los grupos de seguridad de todos los dominios del bosque después de la transición del bosque a Windows Server 2003 y versiones posteriores, o a un nivel funcional de bosque posterior.
  12. En la consola del controlador de dominio de recuperación, use la utilidad Ldifde.exe y el archivo ar_ YYYYMMDD-HHMMSS _links_usn.loc.ldf para restaurar las pertenencias a grupos del usuario. Para ello, siga estos pasos:

    • Seleccione Inicio, seleccione Ejecutar, escriba cmd en el cuadro Abrir y, a continuación, seleccione Aceptar.

    • En el símbolo del sistema, escriba el siguiente comando y presione ENTRAR:

      ldifde -i -f ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
      
  13. Habilite la replicación entrante en el controlador de dominio de recuperación mediante el siguiente comando:

    repadmin /options <recovery dc name> -DISABLE_INBOUND_REPL
    
  14. Si se agregaron usuarios eliminados a grupos locales en dominios externos, lleve a cabo una de las siguientes acciones:

    • Agregue manualmente los usuarios eliminados a esos grupos.
    • Restaure el estado del sistema y restaure la autenticación de cada uno de los grupos de seguridad locales que contengan los usuarios eliminados.
  15. Compruebe la pertenencia a grupos en el dominio del controlador de dominio de recuperación y en los catálogos globales de otros dominios.

  16. Realice una nueva copia de seguridad del estado del sistema de los controladores de dominio en el dominio del controlador de dominio de recuperación.

  17. Notificar a todos los administradores de bosques, administradores delegados, administradores del servicio de ayuda del bosque y usuarios del dominio que se ha completado la restauración del usuario.

    Los administradores del servicio de ayuda pueden tener que restablecer las contraseñas de las cuentas de usuario restauradas con autenticación y las cuentas de equipo cuya contraseña de dominio cambió después de que se hizo el sistema restaurado.

    Los usuarios que cambiaron sus contraseñas después de realizar la copia de seguridad del estado del sistema verán que su contraseña más reciente ya no funciona. Hacer que estos usuarios intenten iniciar sesión con sus contraseñas anteriores si las conocen. De lo contrario, los administradores del servicio de ayuda deben restablecer la contraseña y seleccionar que el usuario debe cambiar la contraseña en la siguiente casilla de inicio de sesión. Hacerlo preferiblemente en un controlador de dominio en el mismo sitio de Active Directory en el que se encuentra el usuario.

Método 2: restaurar las cuentas de usuario eliminadas y, a continuación, volver a agregar los usuarios restaurados a sus grupos

Cuando se usa este método, se realizan los siguientes pasos de alto nivel:

  1. Compruebe si un catálogo global del dominio del usuario no se ha replicado en la eliminación. Y, a continuación, evitar que el catálogo global se re replica. Si no hay ningún catálogo global latente, busque la copia de seguridad del estado del sistema más actual de un controlador de dominio de catálogo global en el dominio principal del usuario eliminado.
  2. Auth restore all the deleted user accounts, and then permit end-to-end replication of those user accounts.
  3. Vuelva a agregar todos los usuarios restaurados a todos los grupos de todos los dominios de los que las cuentas de usuario eran miembros antes de que se eliminaron.

Para usar el método 2, siga este procedimiento:

  1. Compruebe si hay un controlador de dominio de catálogo global en el dominio principal del usuario eliminado que no haya replicado ninguna parte de la eliminación.

    Nota

    Céntrate en los catálogos globales que tienen las programaciones de replicación menos frecuentes.

    Si existe uno o varios de estos catálogos globales, use la herramienta Repadmin.exe línea de comandos para deshabilitar inmediatamente la replicación entrante. Para ello, siga estos pasos:

    1. Haga clic en Inicio y, a continuación, en Ejecutar.
    2. Escriba cmd en el cuadro Abrir y, a continuación, seleccione Aceptar.
    3. Escriba el siguiente comando en el símbolo del sistema y, a continuación, presione ENTRAR:
    repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
    

    Nota

    Si no puede emitir el comando Repadmin inmediatamente, quite toda la conectividad de red del catálogo global latente hasta que pueda usar Repadmin para deshabilitar la replicación entrante y, a continuación, devolver inmediatamente la conectividad de red.

    Este controlador de dominio se denominará controlador de dominio de recuperación. Si no hay ningún catálogo global de este tipo, vaya al paso 2.

  2. Decida si las adiciones, eliminaciones y cambios en cuentas de usuario, cuentas de equipo y grupos de seguridad deben detenerse temporalmente hasta que se hayan completado todos los pasos de recuperación.

    Para mantener la ruta de recuperación más flexible, deje de realizar cambios temporalmente en los siguientes elementos. Los cambios incluyen el restablecimiento de contraseña por parte de los usuarios del dominio, los administradores del servicio de ayuda y los administradores del dominio donde se produjo la eliminación, además de los cambios de pertenencia a grupos en los grupos de usuarios eliminados. Considere la posibilidad de detener las adiciones, eliminaciones y modificaciones en los siguientes elementos:

    1. Cuentas de usuario y atributos en cuentas de usuario
    2. Cuentas de equipo y atributos en cuentas de equipo
    3. Cuentas de servicio
    4. Grupos de seguridad

    Es mejor dejar de realizar cambios en los grupos de seguridad del bosque si se cumplen todas las instrucciones siguientes:

    • Está usando el método 2 para restaurar autoritativamente los usuarios eliminados o las cuentas de equipo por su ruta de acceso de nombre de dominio (dn).
    • La eliminación se ha replicado en todos los controladores de dominio del bosque excepto en el controlador de dominio de recuperación latente.
    • No estás autenticando la restauración de grupos de seguridad ni sus contenedores primarios.

    Si está autenticando la restauración de grupos de seguridad o contenedores de unidad organizativa (OU) que hospedan grupos de seguridad o cuentas de usuario, detenga temporalmente todos estos cambios.

    Notifique a los administradores y administradores del servicio de ayuda en los dominios adecuados, además de a los usuarios del dominio en el que se produjo la eliminación, acerca de la detención de estos cambios.

  3. Cree una nueva copia de seguridad del estado del sistema en el dominio donde se produjo la eliminación. Puede usar esta copia de seguridad si tiene que revertir los cambios.

    Nota

    Si las copias de seguridad del estado del sistema están actualizadas hasta el punto de la eliminación, omita este paso y vaya al paso 4.

    Si identificó un controlador de dominio de recuperación en el paso 1, haga una copia de seguridad de su estado del sistema ahora.

    Si todos los catálogos globales ubicados en el dominio donde se produjo la eliminación se replicaron en la eliminación, haga una copia de seguridad del estado del sistema de un catálogo global en el dominio donde se produjo la eliminación.

    Al crear una copia de seguridad, puede devolver el controlador de dominio de recuperación a su estado actual. Y vuelva a realizar el plan de recuperación si el primer intento no se realiza correctamente.

  4. Si no encuentra un controlador de dominio de catálogo global latente en el dominio donde se ha eliminado el usuario, busque la copia de seguridad del estado del sistema más reciente de un controlador de dominio de catálogo global en ese dominio. Esta copia de seguridad del estado del sistema debe contener los objetos eliminados. Use este controlador de dominio como controlador de dominio de recuperación.

    Solo las restauraciones de los controladores de dominio del catálogo global en el dominio del usuario contienen información de pertenencia a grupos global y universal para los grupos de seguridad que residen en dominios externos. Si no hay ninguna copia de seguridad del estado del sistema de un controlador de dominio de catálogo global en el dominio donde se eliminaron los usuarios, no puede usar el atributo en las cuentas de usuario restauradas para determinar la pertenencia a grupos global o universal ni para recuperar la pertenencia a dominios memberOf externos. Además, es una buena idea encontrar la copia de seguridad del estado del sistema más reciente de un controlador de dominio de catálogo no global.

  5. Si conoce la contraseña de la cuenta de administrador sin conexión, inicie el controlador de dominio de recuperación en modo Desaconseje. Si no conoce la contraseña de la cuenta de administrador sin conexión, restablezca la contraseña mientras el controlador de dominio de recuperación aún esté en modo normal de Active Directory.

    Puede usar la herramienta de línea de comandos setpwd para restablecer la contraseña en controladores de dominio que ejecutan Windows 2000 Service Pack 2 (SP2) y versiones posteriores mientras están en modo de Active Directory en línea.

    Nota

    Microsoft ya no admite Windows 2000.

    Los administradores de Windows Server 2003 y controladores de dominio posteriores pueden usar el comando de la herramienta de línea de comandos Ntdsutil para restablecer la contraseña de la cuenta de administrador sin set dsrm password conexión.

    Para obtener más información acerca de cómo restablecer la cuenta de administrador del Modo de restauración de servicios de directorio, consulta Cómo restablecer la contraseña de la cuenta de administrador del modo de restauración de servicios de directorio en Windows Server.

  6. Presione F8 durante el proceso de inicio para iniciar el controlador de dominio de recuperación en modo Desaconseje. Inicie sesión en la consola del controlador de dominio de recuperación con la cuenta de administrador sin conexión. Si restablece la contraseña en el paso 5, use la nueva contraseña.

    Si el controlador de dominio de recuperación es un controlador de dominio de catálogo global latente, no restaure el estado del sistema. Vaya al paso 7.

    Si está creando el controlador de dominio de recuperación mediante una copia de seguridad de estado del sistema, restaure la copia de seguridad de estado del sistema más reciente que se realizó en el controlador de dominio de recuperación ahora.

  7. La autenticación restaura las cuentas de usuario eliminadas, las cuentas de equipo eliminadas o los grupos de seguridad eliminados.

    Nota

    Los términos restauración de autenticación y restauración autoritativa se refieren al proceso de uso del comando de restauración autoritativa en la herramienta de línea de comandos Ntdsutil para incrementar los números de versión de objetos específicos o de contenedores específicos y todos sus objetos subordinados. En cuanto se produce la replicación de un extremo a otro, los objetos de destino en la copia local de Active Directory del controlador de dominio de recuperación se convierten en relevantes en todos los controladores de dominio que comparten esa partición. Una restauración autoritativa es diferente de una restauración de estado del sistema. Una restauración del estado del sistema rellena la copia local del controlador de dominio restaurado de Active Directory con las versiones de los objetos en el momento en que se realizó la copia de seguridad del estado del sistema.

    Las restauraciones autoritativa se realizan con la herramienta de línea de comandos Ntdsutil y hacen referencia a la ruta de acceso de nombre de dominio (dn) de los usuarios eliminados o de los contenedores que hospedan a los usuarios eliminados.

    Al autenticar la restauración, use rutas de acceso de nombre de dominio (dn) que sean tan bajas en el árbol de dominio como deba ser. El propósito es evitar la reversión de objetos que no están relacionados con la eliminación. Estos objetos pueden incluir objetos modificados después de realizar la copia de seguridad del estado del sistema.

    Autenticación para restaurar usuarios eliminados en el orden siguiente:

    1. Autentica la restauración de la ruta de acceso del nombre de dominio (dn) para cada cuenta de usuario, cuenta de equipo o grupo de seguridad eliminados.

      Las restauraciones autoritativa de objetos específicos tardan más tiempo, pero son menos destructivas que las restauraciones autoritativa de un subárbol completo. La autenticación restaura el contenedor primario común más bajo que contiene los objetos eliminados.

      Ntdsutil usa la siguiente sintaxis:

      ntdsutil "authoritative restore" "restore object <object DN path>" q q
      

      Por ejemplo, para restaurar autoritativamente el usuario eliminado John Doe en la unidad organizativa Mayberry Contoso.com del dominio, use el siguiente comando:

      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
      

      Para restaurar de forma autoritativa el grupo de seguridad eliminado ContosoPrintAccess en la unidad organizativa Mayberry Contoso.com del dominio, use el siguiente comando:

      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
      

      Importante

      Se requiere el uso de comillas.

      Nota

      Esta sintaxis solo está disponible en Windows Server 2003 y versiones posteriores. La única sintaxis de Windows 2000 es usar lo siguiente:

      ntdsutil "authoritative restore" "restore subtree object DN path"
      

      Nota

      La operación de restauración autoritativa Ntdsutil no se realiza correctamente si la ruta de acceso de nombre distintivo (DN) contiene espacios o caracteres extendidos. Para que la restauración por script se realice correctamente, restore object <DN path> el comando debe pasarse como una cadena completa.

      Para solucionar este problema, ajuste el DN que contiene caracteres extendidos y espacios con secuencias de escape de comillas inversas. Aquí le mostramos un ejemplo:

      ntdsutil "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\"" q q
      

      Nota

      El comando debe modificarse aún más si el DN de los objetos que se están restaurando contiene comas. Vea el ejemplo siguiente:

      ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\"" q q
      

      Nota

      Si los objetos se restauraron a partir de cinta, marcados como autoritativo y la restauración no funciona como se esperaba y, a continuación, se usa la misma cinta para restaurar la base de datos NTDS una vez más, la versión USN de los objetos que se restaurarán autoritativamente debe aumentarse por encima del valor predeterminado de 100000 o los objetos no se replicarán después de la segunda restauración. La siguiente sintaxis es necesaria para crear scripts de un número de versión mayor que 100000 (predeterminado):

      ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
      

      Nota

      Si el script solicita confirmación en cada objeto que se está restaurando, puede desactivar los mensajes. La sintaxis para desactivar la solicitud es la siguiente:

      ntdsutil "popups off" "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
      
    2. La autenticación solo restaura los contenedores ou o Common-Name (CN) que hospedan las cuentas de usuario o grupos eliminados.

      Las restauraciones autoritativa de todo un subárbol son válidas cuando la unidad organizativa dirigida por el comando de restauración autoritativa ntdsutil contiene la mayoría de los objetos que está intentando restaurar autoritativamente. Lo ideal es que la unidad organizativa de destino contenga todos los objetos que está intentando restaurar autoritativamente.

      Una restauración autoritativa en un subárbol ou restaura todos los atributos y objetos que residen en el contenedor. Los cambios realizados hasta el momento en que se restaura una copia de seguridad de estado del sistema se revierte a sus valores en el momento de la copia de seguridad. Con cuentas de usuario, cuentas de equipo y grupos de seguridad, esta reversión puede significar la pérdida de los cambios más recientes en las contraseñas, en el directorio principal, en la ruta de acceso del perfil, en la ubicación y en la información de contacto, en la pertenencia a grupos y en los descriptores de seguridad definidos en esos objetos y atributos.

      Ntdsutil usa la siguiente sintaxis:

      ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
      

      Por ejemplo, para restaurar de forma autoritativa la unidad organizativa Mayberry del Contoso.com dominio, use el siguiente comando:

      ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
      

      Nota

      Repita este paso para cada unidad organizativa del mismo nivel que hospeda usuarios o grupos eliminados.

      Importante

      Al restaurar un objeto subordinado de una unidad organizativa, todos los contenedores primarios eliminados de los objetos subordinados eliminados deben restaurarse explícitamente.

  8. Si se recuperaron objetos eliminados en el controlador de dominio de recuperación debido a una restauración de estado del sistema, quite todos los cables de red que proporcionan conectividad de red a todos los demás controladores de dominio del bosque.

  9. Reinicie el controlador de dominio de recuperación en modo normal de Active Directory.

  10. Escriba el siguiente comando para deshabilitar la replicación entrante en el controlador de dominio de recuperación:

    repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
    

    Habilite la conectividad de red de nuevo al controlador de dominio de recuperación cuyo estado del sistema se restauró.

  11. Replicar de salida los objetos restaurados por autenticación desde el controlador de dominio de recuperación a los controladores de dominio en el dominio y en el bosque.

    Mientras la replicación entrante en el controlador de dominio de recuperación permanece deshabilitada, escriba el siguiente comando para insertar los objetos restaurados con autenticación en todos los controladores de dominio de réplica entre sitios del dominio y en todos los catálogos globales del bosque:

    repadmin /syncall /d /e /P <recovery dc> <Naming Context>
    

    Si todas las instrucciones siguientes son verdaderas, los vínculos de pertenencia a grupos se reconstruyen con la restauración y la replicación de las cuentas de usuario eliminadas. Vaya al paso 14.

    Nota

    Si una o varias de las instrucciones siguientes no son verdaderas, vaya al paso 12.

    • El bosque se ejecuta en el nivel funcional de bosque de Windows Server 2003 y versiones posteriores, o en el nivel funcional de bosque provisional de Windows Server 2003 y versiones posteriores.
    • Solo se eliminaron cuentas de usuario o cuentas de equipo, y no grupos de seguridad.
    • Los usuarios eliminados se agregaron a los grupos de seguridad de todos los dominios del bosque después de la transición del bosque al nivel funcional de bosque de Windows Server 2003 y versiones posteriores.
  12. Determine a qué grupos de seguridad eran miembros los usuarios eliminados y, a continuación, agrégrélos a esos grupos.

    Nota

    Para poder agregar usuarios a grupos, los usuarios que ha autenticado en el paso 7 y los que ha replicado de salida en el paso 11 deben haber replicado en los controladores de dominio del dominio del controlador de dominio al que se hace referencia y en todos los controladores de dominio del catálogo global del bosque.

    Si ha implementado una utilidad de aprovisionamiento de grupos para volver a llenar la pertenencia a grupos de seguridad, use esa utilidad para restaurar los usuarios eliminados a los grupos de seguridad de los que eran miembros antes de que se eliminaran. Hacerlo después de que todos los controladores de dominio directos y transitivos de los servidores de catálogo global y de dominio del bosque tengan replicados de entrada los usuarios restaurados de autenticación y los contenedores restaurados.

    Si no tiene la utilidad, las herramientas de línea de comandos y las herramientas de línea de comandos pueden automatizar esta tarea cuando se ejecuten en el controlador de Ldifde.exe Groupadd.exe dominio de recuperación. Estas herramientas están disponibles en los Servicios de soporte técnico de Microsoft. En este escenario, Ldifde.exe un archivo de información de formato de intercambio de datos LDAP (LDIF) que contiene los nombres de las cuentas de usuario y sus grupos de seguridad. Se inicia en un contenedor ou que especifica el administrador. Groupadd.exe, lee el atributo de cada cuenta de usuario que memberOf aparece en el archivo .ldf. A continuación, genera información LDIF independiente y única para cada dominio del bosque. Esta información de LDIF contiene los nombres de los grupos de seguridad asociados con los usuarios eliminados. Use la información de LDIF para volver a agregar la información a los usuarios para que se puedan restaurar sus pertenencias a grupos. Siga estos pasos para esta fase de la recuperación:

    1. Inicie sesión en la consola del controlador de dominio de recuperación con una cuenta de usuario que sea miembro del grupo de seguridad del administrador del dominio.

    2. Use el comando Ldifde para volcar los nombres de las cuentas de usuario eliminadas anteriormente y sus atributos, empezando en el contenedor de unidad organizativa superior donde se memberOf produjo la eliminación. El comando Ldifde usa la siguiente sintaxis:

      ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=user)" -l memberof -p subtree -f user_membership_after_restore.ldf
      

      Use la siguiente sintaxis si se agregaron cuentas de equipo eliminadas a los grupos de seguridad:

      ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=computer)" -l memberof -p subtree -f computer_membership_after_restore.ldf
      
    3. Ejecute el comando para crear más archivos .ldf que contengan los nombres de los dominios y los nombres de los grupos de seguridad globales y universales de los que los usuarios eliminados Groupadd eran miembros. El Groupadd comando usa la siguiente sintaxis:

      Groupadd / after_restore users_membership_after_restore.ldf
      

      Repita este comando si se agregaron cuentas de equipo eliminadas a los grupos de seguridad.

    4. Importe cada _ fully.qualified.domain.name archivo .ldf que creó en el paso 12c a un único controlador de dominio de catálogo global que se corresponda con el archivo .ldf de cada Groupadd dominio. Use la siguiente sintaxis Ldifde:

      Ldifde -i -k -f Groupadd_<fully.qualified.domain.name>.ldf
      

      Ejecute el archivo .ldf para el dominio del que se eliminaron los usuarios en cualquier controlador de dominio excepto el controlador de dominio de recuperación.

    5. En la consola de cada controlador de dominio que se usa para importar el archivo Groupadd_<fully.qualified.domain.name>.ldf para un dominio determinado, replique de salida las adiciones de pertenencia a grupos a los otros controladores de dominio del dominio y a los controladores de dominio del catálogo global del bosque. Para ello, use el siguiente comando:

      repadmin /syncall /d /e /P <recovery dc> <Naming Context>
      
  13. Para deshabilitar la replicación saliente, escriba el siguiente texto y, a continuación, presione ENTRAR:

    repadmin /options +DISABLE_OUTBOUND_REPL
    

    Nota

    Para volver a habilitar la replicación saliente, escriba el siguiente texto y, a continuación, presione ENTRAR:

    repadmin /options -DISABLE_OUTBOUND_REPL
    
  14. Si se agregaron usuarios eliminados a grupos locales en dominios externos, lleve a cabo una de las siguientes acciones:

    • Agregue manualmente los usuarios eliminados a esos grupos.
    • Restaure el estado del sistema y restaure la autenticación de cada uno de los grupos de seguridad locales que contengan los usuarios eliminados.
  15. Compruebe la pertenencia a grupos en el dominio del controlador de dominio de recuperación y en los catálogos globales de otros dominios.

  16. Realice una nueva copia de seguridad del estado del sistema de los controladores de dominio en el dominio del controlador de dominio de recuperación.

  17. Notificar a todos los administradores de bosques, administradores delegados, administradores del servicio de ayuda del bosque y usuarios del dominio que se ha completado la restauración del usuario.

    Los administradores del servicio de ayuda pueden tener que restablecer las contraseñas de las cuentas de usuario restauradas con autenticación y las cuentas de equipo cuya contraseña de dominio cambió después de que se hizo el sistema restaurado.

    Los usuarios que cambiaron sus contraseñas después de realizar la copia de seguridad del estado del sistema verán que su contraseña más reciente ya no funciona. Hacer que estos usuarios intenten iniciar sesión con sus contraseñas anteriores si las conocen. De lo contrario, los administradores del servicio de ayuda deben restablecer la contraseña y seleccionar que el usuario debe cambiar la contraseña en la siguiente casilla de inicio de sesión. Hacerlo preferiblemente en un controlador de dominio en el mismo sitio de Active Directory en el que se encuentra el usuario.

Método 3: restaurar autoritativamente los usuarios eliminados y los grupos de seguridad de los usuarios eliminados dos veces

Cuando se usa este método, se realizan los siguientes pasos de alto nivel:

  1. Compruebe si un catálogo global del dominio del usuario no se ha replicado en la eliminación. Y, a continuación, evite que el controlador de dominio re replica de entrada la eliminación. Si no hay ningún catálogo global latente, busque la copia de seguridad del estado del sistema más actual de un controlador de dominio de catálogo global en el dominio principal del usuario eliminado.
  2. Restaure de forma autoritativa todas las cuentas de usuario eliminadas y todos los grupos de seguridad del dominio del usuario eliminado.
  3. Espere la replicación de un extremo a otro de los usuarios restaurados y los grupos de seguridad en todos los controladores de dominio del dominio del usuario eliminado y en los controladores de dominio del catálogo global del bosque.
  4. Repita los pasos 2 y 3 para restaurar de forma autoritativa los usuarios eliminados y los grupos de seguridad. (Solo se restaura el estado del sistema una vez).
  5. Si los usuarios eliminados eran miembros de grupos de seguridad de otros dominios, restaure de forma autoritativa todos los grupos de seguridad de los que los usuarios eliminados eran miembros en esos dominios. O bien, si las copias de seguridad del estado del sistema están actualizadas, restaure de forma autoritativa todos los grupos de seguridad de esos dominios. Para satisfacer el requisito de que los miembros del grupo eliminados deben restaurarse antes de que los grupos de seguridad corrijan los vínculos de pertenencia a grupos, restaure los dos tipos de objeto dos veces en este método. La primera restauración coloca todas las cuentas de usuario y cuentas de grupo en su lugar. La segunda restauración restaura los grupos eliminados y repara la información de pertenencia a grupos, incluida la información de pertenencia a grupos anidados.

Para usar el método 3, siga este procedimiento:

  1. Compruebe si existe un controlador de dominio de catálogo global en el dominio principal de los usuarios eliminados y no se ha replicado en ninguna parte de la eliminación.

    Nota

    Céntrate en los catálogos globales del dominio que tenga las programaciones de replicación menos frecuentes. Si existen estos controladores de dominio, usa la herramienta Repadmin.exe línea de comandos para deshabilitar inmediatamente la replicación entrante. Para ello, siga estos pasos:

    1. Haga clic en Inicio y, a continuación, en Ejecutar.
    2. Escriba cmd en el cuadro Abrir y, a continuación, seleccione Aceptar.
    3. Escriba repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL en el símbolo del sistema y, a continuación, presione ENTRAR.

    Nota

    Si no puede emitir el comando Repadmin inmediatamente, quite toda la conectividad de red del controlador de dominio hasta que pueda usar Repadmin para deshabilitar la replicación entrante y, a continuación, devuelva inmediatamente la conectividad de red.

    Este controlador de dominio se denominará controlador de dominio de recuperación.

  2. Evite realizar adiciones, eliminaciones y cambios en los siguientes elementos hasta que se hayan completado todos los pasos de recuperación. Los cambios incluyen el restablecimiento de contraseña por parte de los usuarios del dominio, los administradores del servicio de ayuda y los administradores del dominio donde se produjo la eliminación, además de los cambios de pertenencia a grupos en los grupos de usuarios eliminados.

    1. Cuentas de usuario y atributos en cuentas de usuario

    2. Cuentas de equipo y atributos en cuentas de equipo

    3. Cuentas de servicio

    4. Grupos de seguridad

      Nota

      Evite especialmente los cambios en la pertenencia a grupos para usuarios, equipos, grupos y cuentas de servicio en el bosque donde se produjo la eliminación.

    5. Notifique a todos los administradores del bosque, a los administradores delegados y a los administradores del servicio de asistencia en el bosque de la suspensión temporal. Esta posición es necesaria en el método 2 porque está restaurando autoritativamente todos los grupos de seguridad de los usuarios eliminados. Por lo tanto, se pierden los cambios realizados en grupos después de la fecha de copia de seguridad del estado del sistema.

  3. Cree una nueva copia de seguridad del estado del sistema en el dominio donde se produjo la eliminación. Puede usar esta copia de seguridad si tiene que revertir los cambios.

    Nota

    Si las copias de seguridad del estado del sistema están actualizadas hasta el momento en que se produjo la eliminación, omita este paso y vaya al paso 4.

    Si identificó un controlador de dominio de recuperación en el paso 1, haga una copia de seguridad de su estado del sistema ahora.

    Si todos los catálogos globales ubicados en el dominio donde se produjo la eliminación replicaron la eliminación, haga una copia de seguridad del estado del sistema de un catálogo global en el dominio donde se produjo la eliminación.

    Al crear una copia de seguridad, puede devolver el controlador de dominio de recuperación a su estado actual. Y vuelva a realizar el plan de recuperación si el primer intento no se realiza correctamente.

  4. Si no encuentra un controlador de dominio de catálogo global latente en el dominio donde se ha eliminado el usuario, busque la copia de seguridad del estado del sistema más reciente de un controlador de dominio de catálogo global en ese dominio. Esta copia de seguridad del estado del sistema debe contener los objetos eliminados. Use este controlador de dominio como controlador de dominio de recuperación.

    Solo las bases de datos de los controladores de dominio del catálogo global del dominio del usuario contienen información de pertenencia a grupos para dominios externos en el bosque. Si no hay ninguna copia de seguridad del estado del sistema de un controlador de dominio de catálogo global en el dominio donde se eliminaron los usuarios, no puede usar el atributo en las cuentas de usuario restauradas para determinar la pertenencia a grupos global o universal, ni para recuperar la pertenencia a dominios memberOf externos. Vaya al paso siguiente. Si hay un registro externo de pertenencia a grupos en dominios externos, agregue los usuarios restaurados a los grupos de seguridad de esos dominios después de restaurar las cuentas de usuario.

  5. Si conoce la contraseña de la cuenta de administrador sin conexión, inicie el controlador de dominio de recuperación en modo Desaconseje. Si no conoce la contraseña de la cuenta de administrador sin conexión, restablezca la contraseña mientras el controlador de dominio de recuperación aún esté en modo normal de Active Directory.

    Puedes usar la herramienta de línea de comandos setpwd para restablecer la contraseña en controladores de dominio que ejecutan Windows 2000 SP2 y versiones posteriores mientras están en modo de Active Directory en línea.

    Nota

    Microsoft ya no admite Windows 2000.

    Los administradores de Windows Server 2003 y controladores de dominio posteriores pueden usar el comando de la herramienta de línea de comandos Ntdsutil para restablecer la contraseña de la cuenta de administrador sin set dsrm password conexión.

    Para obtener más información acerca de cómo restablecer la cuenta de administrador del Modo de restauración de servicios de directorio, consulta Cómo restablecer la contraseña de la cuenta de administrador del modo de restauración de servicios de directorio en Windows Server.

  6. Presione F8 durante el proceso de inicio para iniciar el controlador de dominio de recuperación en modo Desaconseje. Inicie sesión en la consola del controlador de dominio de recuperación con la cuenta de administrador sin conexión. Si restablece la contraseña en el paso 5, use la nueva contraseña.

    Si el controlador de dominio de recuperación es un controlador de dominio de catálogo global latente, no restaure el estado del sistema. Vaya directamente al paso 7.

    Si va a crear el controlador de dominio de recuperación mediante una copia de seguridad de estado del sistema, restaure la copia de seguridad de estado del sistema más reciente que se realizó en el controlador de dominio de recuperación que contiene ahora los objetos eliminados.

  7. La autenticación restaura las cuentas de usuario eliminadas, las cuentas de equipo eliminadas o los grupos de seguridad eliminados.

    Nota

    Los términos restauración de autenticación y restauración autoritativa se refieren al proceso de uso del comando de restauración autoritativa en la herramienta de línea de comandos Ntdsutil para incrementar los números de versión de objetos específicos o de contenedores específicos y todos sus objetos subordinados. En cuanto se produce la replicación de un extremo a otro, los objetos de destino en la copia local de Active Directory del controlador de dominio de recuperación se convierten en relevantes en todos los controladores de dominio que comparten esa partición. Una restauración autoritativa es diferente de una restauración de estado del sistema. Una restauración del estado del sistema rellena la copia local del controlador de dominio restaurado de Active Directory con las versiones de los objetos en el momento en que se realizó la copia de seguridad del estado del sistema.

    Las restauraciones autoritativa se realizan con la herramienta de línea de comandos Ntdsutil haciendo referencia a la ruta de acceso del nombre de dominio (dn) de los usuarios eliminados o de los contenedores que hospedan a los usuarios eliminados.

    Al autenticar la restauración, use rutas de acceso de nombre de dominio que sean tan bajas en el árbol de dominio como tengan que ser. El propósito es evitar la reversión de objetos que no están relacionados con la eliminación. Estos objetos pueden incluir objetos modificados después de realizar la copia de seguridad del estado del sistema.

    Autenticación para restaurar usuarios eliminados en el orden siguiente:

    1. Restaure la ruta de acceso del nombre de dominio (dn) para cada cuenta de usuario, cuenta de equipo o grupo de seguridad eliminado eliminado.

      Las restauraciones autoritativa de objetos específicos tardan más tiempo, pero son menos destructivas que las restauraciones autoritativa de un subárbol completo. La autenticación restaura el contenedor primario común más bajo que contiene los objetos eliminados.

      Ntdsutil usa la siguiente sintaxis:

      ntdsutil "authoritative restore" "restore object <object DN path>" q q
      

      Por ejemplo, para restaurar autoritativamente el usuario eliminado John Doe en la unidad organizativa Mayberry Contoso.com del dominio, use el siguiente comando:

      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
      

      Para restaurar de forma autoritativa el grupo de seguridad eliminado ContosoPrintAccess en la unidad organizativa Mayberry Contoso.com del dominio, use el siguiente comando:

      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
      

      Importante

      Se requiere el uso de comillas.

      Mediante este formato Ntdsutil, también puede automatizar la restauración autoritativa de muchos objetos en un archivo por lotes o un script.

      Nota

      Esta sintaxis solo está disponible en Windows Server 2003 y versiones posteriores. La única sintaxis de Windows 2000 es usar: ntdsutil "authoritative restore" "restore subtree object DN path" .

    2. La autenticación solo restaura los contenedores ou o Common-Name (CN) que hospedan las cuentas de usuario o grupos eliminados.

      Las restauraciones autoritativa de todo un subárbol son válidas cuando la unidad organizativa dirigida por el comando de restauración autoritativa Ntdsutil contiene la mayoría de los objetos que está intentando restaurar autoritativamente. Lo ideal es que la unidad organizativa de destino contenga todos los objetos que está intentando restaurar autoritativamente.

      Una restauración autoritativa en un subárbol ou restaura todos los atributos y objetos que residen en el contenedor. Los cambios realizados hasta el momento en que se restaura una copia de seguridad de estado del sistema se revierte a sus valores en el momento de la copia de seguridad. Con cuentas de usuario, cuentas de equipo y grupos de seguridad, esta reversión puede significar la pérdida de los cambios más recientes en las contraseñas, en el directorio principal, en la ruta de acceso del perfil, en la ubicación y en la información de contacto, en la pertenencia a grupos y en los descriptores de seguridad definidos en esos objetos y atributos.

      Ntdsutil usa la siguiente sintaxis:

      ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
      

      Por ejemplo, para restaurar de forma autoritativa la unidad organizativa Mayberry del Contoso.com dominio, use el siguiente comando:

      ntdsutil "authoritative restore" "restore subtree ou=Mayberry,dc=contoso,dc=com" q q
      

      Nota

      Repita este paso para cada unidad organizativa del mismo nivel que hospeda usuarios o grupos eliminados.

      Importante

      Cuando se restaura un objeto subordinado de una ou, todos los contenedores primarios de los objetos subordinados eliminados deben restaurarse explícitamente.

  8. Reinicie el controlador de dominio de recuperación en modo normal de Active Directory.

  9. Replicar de salida los objetos restaurados autoritativamente desde el controlador de dominio de recuperación a los controladores de dominio en el dominio y en el bosque.

    Aunque la replicación entrante en el controlador de dominio de recuperación permanece deshabilitada, escriba el siguiente comando para insertar los objetos restaurados autoritativamente en todos los controladores de dominio de réplica entre sitios del dominio y en los catálogos globales del bosque:

    repadmin /syncall /d /e /P <recovery dc> <Naming Context>
    

    Una vez que todos los controladores de dominio directos y transitivos de los servidores de catálogo global y de dominio del bosque se han replicado en los usuarios restaurados autoritativamente y en los contenedores restaurados, vaya al paso 11.

    Si todas las instrucciones siguientes son verdaderas, los vínculos de pertenencia a grupos se reconstruyen con la restauración de las cuentas de usuario eliminadas. Vaya al paso 13.

    • El bosque se ejecuta en el nivel funcional del bosque de Windows Server 2003 y versiones posteriores, o en el nivel funcional del bosque provisional de Windows Server 2003 y versiones posteriores.
    • Solo no se eliminaron los grupos de seguridad.
    • Todos los usuarios eliminados se agregaron a todos los grupos de seguridad de todos los dominios del bosque.

    Considere la posibilidad de Repadmin usar el comando para acelerar la replicación saliente de usuarios desde el controlador de dominio restaurado.

    Si los grupos también se eliminaron o si no puede garantizar que todos los usuarios eliminados se agregaron a todos los grupos de seguridad después de la transición a Windows Server 2003 y al nivel funcional provisional o de bosque posterior, vaya al paso 12.

  10. Repita los pasos 7, 8 y 9 sin restaurar el estado del sistema y, a continuación, vaya al paso 11.

  11. Si se agregaron usuarios eliminados a grupos locales en dominios externos, lleve a cabo una de las siguientes acciones:

    • Agregue manualmente los usuarios eliminados a esos grupos.
    • Restaure el estado del sistema y restaure la autenticación de cada uno de los grupos de seguridad locales que contengan los usuarios eliminados.
  12. Compruebe la pertenencia a grupos en el dominio del controlador de dominio de recuperación y en los catálogos globales de otros dominios.

  13. Use el siguiente comando para habilitar la replicación entrante en el controlador de dominio de recuperación:

    repadmin /options recovery dc name -DISABLE_INBOUND_REPL
    
  14. Realice una nueva copia de seguridad del estado del sistema de los controladores de dominio en el dominio del controlador de dominio de recuperación y en los catálogos globales de otros dominios del bosque.

  15. Notifique a todos los administradores del bosque, a los administradores delegados, a los administradores del servicio de ayuda del bosque y a los usuarios del dominio que el usuario restaure.

    Los administradores del servicio de ayuda pueden tener que restablecer las contraseñas de las cuentas de usuario restauradas de autenticación y las cuentas de equipo cuya contraseña de dominio cambió después de que se hizo el sistema restaurado.

    Los usuarios que cambiaron sus contraseñas después de realizar la copia de seguridad del estado del sistema verán que su contraseña más reciente ya no funciona. Hacer que estos usuarios intenten iniciar sesión con sus contraseñas anteriores si las conocen. De lo contrario, los administradores del servicio de ayuda deben restablecer la contraseña con el usuario que debe cambiar la contraseña en la siguiente casilla de inicio de sesión activada. Hacerlo preferiblemente en un controlador de dominio en el mismo sitio de Active Directory en el que se encuentra el usuario.

Cómo recuperar usuarios eliminados en un controlador de dominio cuando no tiene una copia de seguridad de estado del sistema válida

Si no tiene copias de seguridad de estado del sistema actuales en un dominio donde se eliminaron las cuentas de usuario o los grupos de seguridad, y la eliminación se produjo en dominios que contienen Windows Server 2003 y controladores de dominio posteriores, siga estos pasos para volver aanimar manualmente los objetos eliminados del contenedor de objetos eliminados:

  1. Siga los pasos de la siguiente sección para volver aanimar usuarios, equipos, grupos o todos ellos eliminados:
    Cómo recuperar manualmente objetos en un contenedor de objetos eliminados
  2. Use Usuarios y equipos de Active Directory para cambiar la cuenta de deshabilitada a habilitada. (La cuenta aparece en la unidad organizativa original).
  3. Use las características de restablecimiento masivo en Windows Server 2003 y versiones posteriores de Usuarios y equipos de Active Directory para realizar restablecimientos masivos en la contraseña que deben cambiar en la siguiente configuración de directiva de inicio de sesión, en el directorio principal, en la ruta de acceso del perfil y en la pertenencia a grupos de la cuenta eliminada según sea necesario. También puede usar un equivalente mediante programación de estas características.
  4. Si se usó Microsoft Exchange 2000 o posterior, repare el buzón de Exchange para el usuario eliminado.
  5. Si se usó Exchange 2000 o posterior, vuelva a asociar el usuario eliminado con el buzón de Exchange.
  6. Compruebe que el usuario recuperado puede iniciar sesión y tener acceso a directorios locales, directorios compartidos y archivos.

Puede automatizar algunos o todos estos pasos de recuperación mediante los métodos siguientes:

  • Escriba un script que automatice los pasos de recuperación manual enumerados en el paso 1. Cuando escriba un script de este tipo, considere la posibilidad de aplicar ámbito al objeto eliminado por fecha, hora y último contenedor primario conocido y, a continuación, automatizar la reanimación del objeto eliminado. Para automatizar la reanimación, cambie el atributo de TRUE a FALSE y cambie el nombre distintivo relativo al valor que se define en el atributo o en un nuevo contenedor ou o de nombre común (CN) especificado por el isDeleted lastKnownParent administrador. (El nombre distintivo relativo también se conoce como RDN).
  • Obtener un programa que no sea de Microsoft que admita la reanimación de objetos eliminados en Windows Server 2003 y controladores de dominio posteriores. Una de estas utilidades es AdRestore. AdRestore usa los primitivos windows Server 2003 y posteriores para recuperar objetos individualmente. Aelita Software Corporation y Commvault Systems también ofrecen productos que admiten la eliminación de funcionalidades en Windows Server 2003 y controladores de dominio basados en versiones posteriores.

Para obtener AdRestore, vea AdRestore v1.1.

Microsoft proporciona información de contacto de otros proveedores para ayudarle a encontrar soporte técnico. Dicha información de contacto puede cambiar sin notificación previa. Microsoft no garantiza la precisión de esta información de contacto de terceros.

Cómo recuperar manualmente objetos en el contenedor de un objeto eliminado

Para recuperar manualmente objetos en el contenedor de un objeto eliminado, siga estos pasos:

  1. Seleccione Inicio, ejecutar y, a continuación, escribaldp.exe.

    ldp.exe está disponible:

    • En los equipos en los que se ha instalado el rol controlador de dominio.
    • En los equipos donde se han instalado las Herramientas de administración remota del servidor (RSAT).
  2. Usa el menú Conexión en Ldp para realizar las operaciones de conexión y las operaciones de enlace a un controlador de dominio de Windows Server 2003 y versiones posteriores.

    Especifique las credenciales de administrador de dominio durante la operación de enlace.

  3. En el menú Opciones, seleccione Controles.

  4. En la lista Cargar predefinida, seleccione Devolver objetos eliminados.

    Nota

    El control 1.2.840.113556.1.4.417 se mueve a la ventana Controles activos.

  5. En Tipo de control, seleccione Servidor y seleccione Aceptar.

  6. En el menú Ver, seleccione Árbol, escriba la ruta de acceso de nombre distintivo del contenedor de objetos eliminados en el dominio donde se produjo la eliminación y, a continuación, seleccione Aceptar.

    Nota

    La ruta de acceso de nombre distintivo también se conoce como ruta de acceso de DN. Por ejemplo, si la eliminación se produjo en el dominio, la ruta contoso.com de acceso DN sería la siguiente:
    cn=deleted Objects,dc=contoso,dc=com

  7. En el panel izquierdo de la ventana, haga doble clic en el contenedor de objetos eliminados.

    Nota

    Como resultado de la búsqueda de la consulta Idap, solo se devuelven 1000 objetos de forma predeterminada. Ejemplo de Fot, si existen más de 1000 objetos en el contenedor Objetos eliminados, no todos los objetos aparecen en este contenedor. Si el objeto de destino no aparece, use ntdsutil y, a continuación, establezca el número máximo mediante maxpagesize para obtener los resultados de búsqueda.

  8. Haga doble clic en el objeto que desea recuperar o volver aanimar.

  9. Haga clic con el botón secundario en el objeto que desea volver aanimar y, a continuación, seleccione Modificar.

    Cambie el valor del atributo y la ruta de acceso de DN en una sola operación de modificación del Protocolo ligero de acceso isDeleted a directorios (LDAP). Para configurar el cuadro de diálogo Modificar, siga estos pasos:

    1. En el cuadro Editar atributo de entrada, escriba isDeleted. Deje el cuadro Valor en blanco.

    2. Seleccione el botón de opción Eliminar y, a continuación, seleccione Entrar para realizar la primera de las dos entradas en el cuadro de diálogo Lista de entradas.

      Importante

      No seleccione Ejecutar.

    3. En el cuadro Atributo, escriba distinguishedName.

    4. En el cuadro Valores, escriba la nueva ruta de acceso de DN del objeto reanimado.

      Por ejemplo, para volver aanimar la cuenta de usuario de JohnDoe a la ou. de Mayberry, use la siguiente ruta de acceso de DN: cn= JohnDoe,ou= Mayberry,dc= contoso,dc= com

      Nota

      Si desea volver aanimar un objeto eliminado a su contenedor original, anexe el valor del atributo lastKnownParent del objeto eliminado a su valor CN y, a continuación, pegue la ruta de acceso de DN completa en el cuadro Valores.

    5. En el cuadro Operación, seleccione REEMPLAZAR.

    6. Seleccione ENTRAR.

    7. Active la casilla Sincrónica.

    8. Active la casilla Extendida.

    9. Seleccione EJECUTAR.

  10. Después de volver aanimar los objetos, selecciona Controles en el menú Opciones, selecciona el botón Des check-out para quitar (1.2.840.113556.1.4.417) de la lista del cuadro Controles activos.

  11. Restablecer contraseñas de cuenta de usuario, perfiles, directorios de inicio y pertenencias a grupos para los usuarios eliminados.

    Cuando se eliminó el objeto, todos los valores de atributo excepto SID , ObjectGUID y se LastKnownParent SAMAccountName quitaron.

  12. Habilite la cuenta reanimada en Usuarios y equipos de Active Directory.

    Nota

    El objeto reanimado tiene el mismo SID principal que tenía antes de la eliminación, pero el objeto debe agregarse de nuevo a los mismos grupos de seguridad para tener el mismo nivel de acceso a los recursos. La primera versión de Windows Server 2003 y versiones posteriores no conserva el atributo en cuentas de usuario, cuentas de equipo y grupos sIDHistory de seguridad reanimados. Windows Server 2003 y versiones posteriores con Service Pack 1 conservan el sIDHistory atributo en los objetos eliminados.

  13. Quite los atributos de Microsoft Exchange y vuelva a conectar al usuario al buzón de Exchange.

    Nota

    Se admite la reanimación de objetos eliminados cuando la eliminación se produce en un controlador de dominio de Windows Server 2003 y versiones posteriores. No se admite la reanimación de objetos eliminados cuando la eliminación se produce en un controlador de dominio de Windows 2000 que posteriormente se actualiza a Windows Server 2003 y versiones posteriores.

    Nota

    Si la eliminación se produce en un controlador de dominio de Windows 2000 en el dominio, el atributo no se rellena en Windows Server 2003 y controladores de dominio lastParentOf posteriores.

Cómo determinar cuándo y dónde se produjo una eliminación

Cuando los usuarios se eliminan debido a una eliminación masiva, es posible que desee saber dónde se originó la eliminación. Para hacerlo, siga estos pasos:

  1. Para localizar entidades de seguridad eliminadas, siga los pasos del 1 al 7 de la sección Cómo recuperar manualmente objetos en el contenedor de un objeto eliminado. Si se eliminó un árbol, siga estos pasos para localizar un contenedor primario del objeto eliminado.

  2. Copia el valor del objectGUID atributo en el Portapapeles de Windows. Puede pegar este valor cuando escriba el Repadmin comando en el paso 4.

  3. En la línea de comandos, ejecute el siguiente comando:

    repadmin /showmeta GUID=<objectGUID> <FQDN>
    

    Por ejemplo, si el objeto o contenedor eliminado es objectGUID 791273b2-eba7-4285-a117-aa804ea76e95 y el nombre de dominio completo (FQDN) es , ejecute el dc.contoso.com siguiente comando:

    repadmin /showmeta GUID=791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com
    

    La sintaxis de este comando debe incluir el GUID del objeto o contenedor eliminado y el FQDN del servidor del que desea obtener el origen.

  4. En el resultado del comando, busque la fecha, hora y controlador de Repadmin dominio de origen para el isDeleted atributo. Por ejemplo, la información del isDeleted atributo aparece en la quinta línea de la siguiente salida de ejemplo:

    Loc.USN Dc de origen Org.USN Org.Time/Date Ver Atributo
    134759 Default-First-Site-Name\NA-DC1 134759 DateTime 1 objectClass
    134760 Default-First-Site-Name\NA-DC1 134760 DateTime 2 ou
    134759 Default-First-Site-Name\NA-DC1 134759 DateTime 1 instanceType
    134759 Default-First-Site-Name\NA-DC1 134759 DateTime 1 whenCreated
    134760 Default-First-Site-Name\NA-DC1 134760 DateTime 1 isDeleted
    134759 Default-First-Site-Name\NA-DC1 134759 DateTime 1 nTSecurityDescriptor
    134760 Default-First-Site-Name\NA-DC1 134760 DateTime 2 name
    134760 Default-First-Site-Name\NA-DC1 134760 DateTime 1 lastKnownParent
    134760 Default-First-Site-Name\NA-DC1 134760 DateTime 2 objectCategory
  5. Si el nombre del controlador de dominio de origen aparece como un GUID alfanumérico de 32 caracteres, use el comando Ping para resolver el GUID en la dirección IP y el nombre del controlador de dominio que originó la eliminación. El comando Ping usa la siguiente sintaxis:

    ping -a <originating DC GUID>._msdomain controllers.<fully qualified path for forest root domain>
    

    Nota

    La opción -a distingue mayúsculas de minúsculas. Use el nombre de dominio completo del dominio raíz del bosque independientemente del dominio en el que resida el controlador de dominio de origen.

    Por ejemplo, si el controlador de dominio original residía en cualquier dominio del bosque y tenía un GUID de Contoso.com 644eb7e7-1566-4f29-a778-4b487637564b, ejecute el siguiente comando:

    ping -a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com
    

    El resultado devuelto por este comando es similar al siguiente:

    Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:
    
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    

Cómo minimizar el impacto de las eliminaciones masivas en el futuro

Las claves para minimizar el impacto de la eliminación masiva de usuarios, equipos y grupos de seguridad son:

  • Asegúrese de que tiene copias de seguridad de estado del sistema actualizadas.
  • Controle estrechamente el acceso a las cuentas de usuario con privilegios.
  • Controle estrictamente lo que pueden hacer esas cuentas.
  • Práctica de recuperación de eliminaciones masivas.

Los cambios de estado del sistema se producen todos los días. Estos cambios pueden incluir:

  • Restablecimientos de contraseña en cuentas de usuario y cuentas de equipo
  • Cambios en la pertenencia a grupos
  • Otros cambios de atributo en cuentas de usuario, cuentas de equipo y grupos de seguridad.

Si se produce un error en el hardware o el software, o si el sitio experimenta otro desastre, querrá restaurar las copias de seguridad que se realizaron después de cada conjunto significativo de cambios en cada dominio y sitio de Active Directory del bosque. Si no mantiene copias de seguridad actuales, es posible que pierda datos o que tenga que revertir objetos restaurados.

Microsoft recomienda realizar los siguientes pasos para evitar eliminaciones masivas:

  1. No comparta la contraseña de las cuentas de administrador integradas ni permita que se compartan cuentas de usuario administrativo comunes. Si se conoce la contraseña de la cuenta de administrador integrada, cámbie la contraseña y defina un proceso interno que desaconseja su uso. Los eventos de auditoría de cuentas de usuario compartidas hacen imposible determinar la identidad del usuario que realiza cambios en Active Directory. Por lo tanto, se debe desaconsejan el uso de cuentas de usuario compartidas.

  2. Es raro que las cuentas de usuario, las cuentas de equipo y los grupos de seguridad se eliminen intencionadamente. Es especialmente cierto en las eliminaciones de árbol. Desasociar la capacidad de los administradores delegados y de servicio de eliminar estos objetos de la capacidad de crear y administrar cuentas de usuario, cuentas de equipo, grupos de seguridad, contenedores de unidades organizativas y sus atributos. Conceda a las cuentas de usuario o grupos de seguridad más privilegiados el derecho a realizar eliminaciones de árbol. Estas cuentas de usuario con privilegios pueden incluir administradores de empresa.

  3. Conceder a los administradores delegados acceso solo a la clase de objeto que esos administradores pueden administrar. Por ejemplo, el trabajo principal de un administrador del servicio de ayuda es modificar las propiedades de las cuentas de usuario. No tiene permisos para crear y eliminar cuentas de equipo, grupos de seguridad o contenedores de unidades organizativas. Esta restricción también se aplica a la eliminación de permisos para los administradores de otras clases de objetos específicas.

  4. Experimenta con la configuración de auditoría para realizar un seguimiento de las operaciones de eliminación en un dominio de laboratorio. Cuando se sienta cómodo con los resultados, aplique la mejor solución al dominio de producción.

  5. Los cambios de control de acceso y auditoría en contenedores que hospedan decenas de miles de objetos pueden hacer que la base de datos de Active Directory crezca significativamente, especialmente en dominios de Windows 2000. Use un dominio de prueba que refleja el dominio de producción para evaluar posibles cambios en el espacio libre en disco. Compruebe los volúmenes de unidad de disco duro que hospedan los archivos Ntds.dit y los archivos de registro de los controladores de dominio en el dominio de producción para obtener espacio libre en disco. Evite establecer los cambios de control de acceso y auditoría en el responsable del controlador de red de dominio. La realización de estos cambios se aplicaría sin necesidad a todos los objetos de todas las clases de todos los contenedores de la partición. Por ejemplo, evite realizar cambios en el registro del registro del Sistema de nombres de dominio (DNS) y el seguimiento de vínculos distribuidos (DLT) en la carpeta CN=SYSTEM de la partición de dominio.

  6. Use la estructura de unidades organizativas de procedimientos recomendados para separar cuentas de usuario, cuentas de equipo, grupos de seguridad y cuentas de servicio, en su propia unidad organizativa. Al usar esta estructura, puede aplicar listas de control de acceso discrecional (DACL) a objetos de una sola clase para la administración delegada. Y permite que los objetos se restauren según la clase de objeto si deben restaurarse. La estructura de unidades organizativas de procedimientos recomendados se describe en la sección Creación de un diseño de unidad organizativa del siguiente artículo:
    Procedimiento recomendado de diseño de Active Directory para administrar redes de Windows

  7. Pruebe eliminaciones masivas en un entorno de laboratorio que refleja el dominio de producción. Elija el método de recuperación que tenga sentido para usted y, a continuación, personalízalo para la organización. Es posible que desee identificar:

    • Los nombres de los controladores de dominio de cada dominio de los que se hace una copia de seguridad periódicamente
    • Dónde se almacenan las imágenes de copia de seguridad
      Idealmente, estas imágenes se almacenan en un disco duro adicional que es local para un catálogo global en cada dominio del bosque.
    • Qué miembros de la organización del servicio de soporte se pondrán en contacto
    • La mejor manera de realizar ese contacto
  8. La mayoría de las eliminaciones masivas de cuentas de usuario, cuentas de equipo y grupos de seguridad que Microsoft ve son accidentales. Analice este escenario con el personal de IT y desarrolle un plan de acción interno. Céntrate en la detección temprana. Y devuelva la funcionalidad a los usuarios de dominio y a la empresa lo más rápido posible. También puede tomar medidas para evitar que se produzcan eliminaciones masivas accidentales mediante la edición de las listas de control de acceso (ACL) de las unidades organizativas.

    Para obtener más información acerca de cómo usar las herramientas de interfaz de Windows para evitar eliminaciones masivas accidentales, vea Protección contra eliminaciones masivas accidentales en Active Directory.

    Para obtener más información acerca de cómo evitar eliminaciones masivas accidentales mediante Dsacls.exe o un script, vea el siguiente artículo:

    Script para proteger las unidades organizativas (unidades organizativas) de la eliminación accidental.

Herramientas y scripts que pueden ayudarle a recuperarse de eliminaciones masivas

La utilidad de línea de comandos Groupadd.exe lee el atributo en una colección de usuarios de una unidad organizativa y crea un archivo .ldf que agrega cada cuenta de usuario restaurada a los grupos de seguridad de cada dominio del memberOf bosque.

Groupadd.exe detecta automáticamente los dominios y grupos de seguridad de los que los usuarios eliminados eran miembros y los agrega de nuevo a esos grupos. Este proceso se explica con más detalle en el paso 11 del método 1.

Groupadd.exe se ejecuta en Windows Server 2003 y controladores de dominio posteriores.

Groupadd.exe usa la siguiente sintaxis:

groupadd / after_restore ldf_file [/ before_restore ldf_file ]

Aquí, representa el nombre del archivo .ldf que se usará con el argumento anterior, representa el origen de datos del archivo de usuario y representa los datos de usuario del entorno ldf_file after_restore de before_restore producción. (El origen de datos del archivo de usuario son los buenos datos de usuario).

Para obtener información Groupadd.exe, póngase en contacto con el Servicio de soporte técnico de Microsoft.

Los productos de otros fabricantes que se mencionan en este artículo han sido creados por compañías independientes de Microsoft. Microsoft no ofrece ninguna garantía, ya sea implícita o de otro tipo, sobre la confiabilidad o el rendimiento de dichos productos.

Referencias

Para obtener más información sobre cómo usar la característica papelera de reciclaje de AD incluida en Windows Server 2008 R2, consulta la guía paso a paso de la papelera de reciclaje de Active Directory.