如何在 Office 365、Azure 和 Intune 中还原已删除的用户帐户
原始 KB 编号: 2619308
症状
从必须还原的 Microsoft Office 365、Microsoft Azure 或 Microsoft Intune意外删除的用户帐户。
解决方案
准备工作
从用户中删除用户Azure Active Directory (Azure AD) ,用户会移动到"已删除"状态,并且不再显示在用户列表中。 但是,它们不会完全删除,并且可在 30 天内恢复。
按Office 365 PowerShell 的 Azure Active Directory 模块和模块来确定用户是否有资格从"已删除"状态恢复:
- 在 Office 365 门户中,查找通过门户删除的用户帐户。 为此,请按照下列步骤操作:
- 使用管理凭据Office 365 () https://portal.office.com 登录网站门户。
- 选择 "用户",然后选择"已删除的用户"。
- 找到要恢复的用户。
- 在Azure Active Directory模块Windows PowerShell,请按照以下步骤操作:
- 选择 " > 开始所有 > 程序Windows Azure Active Directory Windows Azure Active Directory > 模块"Windows PowerShell。
- 按显示顺序键入以下命令,然后在每个命令后按 Enter:
$cred = get-credential备注
系统提示时,输入Office 365凭据。
Connect-MSOLService -credential:$credGet-MsolUser -ReturnDeletedUsers
解决方案 1:使用 Office 365 或 Azure Active Directory 模块恢复手动删除的帐户
若要恢复手动删除的用户帐户,请使用下列方法之一:
使用 Office 365门户恢复用户帐户。 若要详细了解如何操作,请 还原用户。
使用 Azure Active Directory 模块Windows PowerShell恢复用户帐户。 为此,请键入以下命令,然后按 Enter:
Restore-MsolUser -ObjectId <Guid> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>如果此命令不起作用,请尝试以下命令:
Restore-MsolUser -UserPrincipalName <string> -AutoReconcileProxyConflicts -NewUserPrincipalName <string>备注
在这些命令中,使用下列约定:
UserPrincipalName和ObjectID参数唯一标识要还原的用户对象。- 参数是可选的,可用于删除该地址后向另一个用户对象授予目标用户对象的
AutoReconcileProxyConflicts代理地址的情况。 - 在删除 UPN 后,通过使用目标用户对象的用户主体名称 (
NewUserPrincipalNameUPN) ,可以选择使用参数。
解决方案 2:恢复由于作用域更改排除本地 Active Directory 用户对象而删除的帐户
若要恢复已删除的用户帐户,请确保 (作用域) 设置目录同步筛选,使作用域包含要恢复的对象。
有关详细信息,请参阅Azure AD 连接:配置筛选。
解决方案 3:恢复由于本地用户对象从本地 Active Directory 架构中删除而删除的帐户
若要恢复从本地 Active Directory 架构中删除的项目,请尝试以下方法:
尝试从 Active Directory 回收站还原已删除的项目。 为此,请参阅 Active Directory 回收站分步指南。
备注
- Active Directory 回收站仅在具有 Windows 2008 R2 或更高版本的功能级别时可用。
- 若要使 Active Directory 回收站在恢复项目时有用,必须在删除项目之前启用它。
如果 Active Directory 回收站不可用,或者问题对象不再位于回收站中,请尝试使用 AdRestore 工具恢复已删除的项目。 为此,请按照下列步骤操作:
安装 AdRestore 工具。
将 AdRestore 与搜索筛选器一起用于查找已删除本地用户对象。 以下示例使用"UserA"字符串搜索匹配的用户名。
使用 AdRestore 枚举其名称中具有"UserA"字符串的每个用户对象:
C:\>adrestore.exe UserA AdRestore v1.1 by Mark Russinovich Sysinternals - www.sysinternals.com Enumerating domain deleted objects: cn: MailboxA DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f distinguishedName: CN=UserA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com lastKnownParent: OU=OnPremises,DC=Domain,DC=com Found 1 item matching search criteria.将 AdRestore 与 -r 开关一起用于还原用户对象。
C:\>adrestore.exe Usera -r AdRestore v1.1 by Mark Russinovich Sysinternals - www.sysinternals.com Enumerating domain deleted objects: cn: UserA DEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f distinguishedName: CN=MailboxA\0ADEL:3c45a0ae-ebc5-490d-a4b4-4b20d3e34a3f,CN=Deleted Objects,DC=Domain,DC=com lastKnownParent: OU=OnPremises,DC=Domain,DC=com Do you want to restore this object (y/n)? y Restore succeeded. Found 1 item matching search criteria.
在 Active Directory 中启用用户对象。 在还原对象时,它一开始处于禁用状态。 因此,必须启用它。 建议您首先重置用户密码。 若要启用用户,请按照以下步骤操作:
在"Active Directory 用户和计算机"中,右键单击该用户,然后选择" 重置密码"。
在"新建密码"和"确认密码"框中,输入新密码,然后选择"确定 "。
右键单击用户,选择"启用帐户", 然后选择"确定 "。
您收到以下错误消息 (预期) :
Windows无法启用对象 <MailboxName> ,因为:无法更新密码。 为新密码提供的值不符合域的长度、复杂性或历史记录要求。
收到此错误消息后,在 Active Directory 用户和计算机中重置用户密码。
配置用户登录名
用户登录名 (也称为用户主体名称,或者 UPN) 未从还原的用户对象中设置。 您必须更新用户登录名,尤其是在用户是联合帐户时。
若要配置用户登录名,请按照以下步骤操作:
- 在"Active Directory 用户和计算机"中,右键单击该用户,然后选择"属性 "。
- 选择 "帐户",在"用户登录名"框中输入名称,然后选择"确定 "。
最后,如果您无法通过 Active Directory 回收站或 AdRestore 工具恢复已删除的用户帐户,请运行 Active Directory 中已删除用户对象的权威还原。
警告和警告
确保仅将要还原的用户对象标记为权威对象。 在还原过程中标记为权威的 Active Directory 对象可能会导致许多 Active Directory 服务问题。
若要详细了解如何运行 Active Directory 对象的权威还原,请参阅执行 Active Directory 对象的权威还原。
使用任意 Resolution 3 方法还原对象后,该对象可能没有所有服务属性 (如 Exchange Online 和 Skype for Business Online) 自动还原。
例如,对于以前在 Exchange Online 中启用邮件的用户,可以使用 Windows PowerShell cmdlet 重新填充Exchange Online属性。
在下面的示例中,User1 对象使用 Exchange Online 租户的 contoso.onmicrosoft.com 属性重新 填充:
Enable-RemoteMailbox -Identity User1 -RemoteRoutingAddress user1@contoso.mail.onmicrosoft.com如果满足以下条件,则解决方案 3 将不起作用:
- 使用 Active Directory 回收站还原对象不是一个可用选项。
- 使用 AdRestore 工具还原对象不是一个可用选项。
- Active Directory 权威还原不是可用选项。
在这种情况下,请与Office 365联系以寻求帮助。
详细信息
在用户删除之后和用户恢复之前,可能会发生以下事件,并且可能会出现可能会改变用户体验的冲突:
- 新用户具有以前分配给已删除用户的唯一用户 ID 值。
- 新用户具有以前分配给已删除用户的唯一电子邮件地址值。
如果发生这些冲突,则必须更新冲突属性以删除冲突,然后才能完成用户恢复。 如果在用户恢复期间发生冲突,Windows PowerShell返回以下错误消息之一:
错误 1
Restore-MsolUser :由于以下错误,无法还原指定的用户帐户:错误类型 UserPrincipalName
错误 2
Restore-MsolUser :由于以下错误,无法还原指定的用户帐户:错误类型 proxyAddress
若要还原此状态的用户,可以在运行 Restore-MSOLUser cmdlet 时,使用下列参数纠正冲突:
AutoReconcileProxyConflictsNewUserPrincipalName
备注
使用 参数时,将从已删除的用户中删除任何冲突的电子邮件地址, AutoReconcileProxyConflicts 以便可以继续进行恢复过程。
Office 365门户以前面提到的Windows PowerShell错误状态"的形式显示等效错误消息。 例如,您会收到以下消息:
用户名冲突 要还原的用户具有相同的用户名。
若要还原此状态的用户,请完成表单中请求的信息。
仍然需要帮助? 转到 Microsoft 社区或 Azure Active Directory 论坛网站。