Gelöschter User im AD

[FiB0 10]

Hilfe wichtige Sache.

 

Es wurde ein falscher User aus dem AD gelöscht.

Es gibt keine Datensicherung und auch keinen 2ten DC.

Kann ich den User wiederherstellen (wegen SID usw ?)

 

Ich habe mal gelesen das es da so ein Flag gibt, das gesetzt wird,

wenn ein User aus dem AD gelöscht wird, wird er noch 60 Tage "geführt" aber nicht mehr angezeigt (Tombstone?).

 

Die Support Tools habe ich auch schon installiert wegen dem ADSIEdit.

 

Im ADSIEdit habe ich keine Funktion gefunden, bzw bei USERS wird der gelöschte Benutzer auch nicht aufgeführt ...

 

Kann ich damit das Objekt wieder "zurückholen" oder gibt es keine möglichkeit ?

 

MfG

FiB0

[phoenixcp 10]

Wichtig ist hier vieles. :)

 

Wenn die Daten auch wichtig sind, dann solltest du über die Eiführung einer sinnvollen Backuplösung nachdenken, um künftig sowas zu vermeiden.

 

Soweit mir das bekannt ist, ist ein gelöschter Benutzer gelöscht.

Glück hättest du gehabt, wenn du den Nutzer nicht löschen sondern deaktiviern würdest, dann kannst den Fehler rückgängigmachen, falls du ihn bemerkst.

 

Falls nicht noch jemand das Gegenteil meiner Kenntnisse besitzt und dir damit auf die Sprünge helfen kann, dann seh ich leider schwarz für deinen User.

 

Gruss

Carsten

[Lian 2.415]

Hallo,

 

ein Backup ist immer gut, spätestens in solchen Momenten... :wink2:

 

Tombstone ist das richtige Schlagwort ;)

 

Das geht mit Windows 2003 und dessen LDP.EXE Version.

 

Versuch mal Dein Glück mit LDP.EXE aus den Support Tools.

 

Dann auf den DC, Anmelden (Bind), View Tree.

 

Den Deleted Objects Ordner ausmachen (CN) und wenn der User dort zu sehen is, das Attribut isDeleted entfernen.

 

Geht auch über einen Filter, siehe: http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp?url=/windows2000/techinfo/reskit/en-us/distrib/dsbc_nar_cxyn.asp

Bei 2000 kannst Du die Objekte nur ansehen.

 

In best. Umgebungen kann das schiefgehen, zB. bei mehreren DCs > Stichwort Replikation.

 

Ob sonst alles erhalten bleibt von dem User ist fraglich.

Kann also sein, daß sich unser "Zombie" nicht ganz so verhält wie zuvor...

[blub 115]

Hi,

Bei sysinternals gibts das adrestore

http://www.sysinternals.com/ntw2k/source/misc.shtml#adrestore

 

Damit kannst du einzelne Objekte recovern, aber nur bei w2k3. Allerdings werden etliche wichtige Attribute nicht recovert z.B. Groupmembership.

Bin fast sicher, dass man nicht einfach per LDP/ adsiedit ein Tombstoneattribut entfernen kann, um ein Objekt wieder herzustellen. Da brauchts eine spezielle Schnittstelle, an die man nur programmiertechnisch rankommt, z.b. mit dem adrestore bzw. selbst per VC oder V. Der deletedobjects-Container ist keine normale OU

 

Neben den recht unkomfartablen Boardmitteln ist mir nur ein Tool von Aelita bzw. Quest (AD-recoverymanager) bekannt, dass versehentlich gelöschte Objekte komplett wiederherstellen kann (wenn ein Backup vorhanden ist)

 

cu

blub

[Lian 2.415]

Nun ja, darauf wetten kann ich nicht.

 

Aber in einer Testumgebung hatten wir bisher Erfolg und es gab dazu auch einen Artikel im Windows Magazine (2k3/LDP.exe).

 

Danke für den Link, das Tool sieht interessant aus.

 

/Nachtrag: Bei blub's link wird auf den KB Artikel verwiesen:

http://support.microsoft.com/?kbid=840001

[Grobiii 10]

also über LDP haben wir das auch gemacht. Rechte werden damit wunderbar wiederhergestellt, leider gehen vorher gefüllte Attribute total verloren. Oder gibts da noch ein Trick?

 

Das Tool tut da nichts besseres. Geht halt nur schneller wenn man die Objekte in die alte DN wiederherstellen möchte. Attribute auch verloren...leider.

[onestone 10]

hallo leute,

 

habe mit "adrestore" die einzelnen objekte gefunden die ich wiederherstellen will. allerdings schlägt mir das skript nichts vor wie "undelete?" sondern listet sie mir nur auf...

 

bitte um hilfe diesbezüglich!!!!

 

danke,

os

[onestone 10]

hat sich erledigt.