如何使用LDP.EXE 恢复Active Directory 删除的用户帐户（Active Directory 回收站未启用） |第 2#4 条 |第 14 部分#23

在本文中，我们将回顾在未启用（激活）Active Directory 回收站的情况下恢复已删除用户的Active Directory 的过程。我们将回顾如何使用名为 LDP.EXE 的内置 Windows 服务器工具恢复已删除的 Active Directory 对象。

LDP.EXE 并不是作为恢复 Active Directory 已删除对象的“专用工具”而创建的。但是，我们可以利用该工具的高级功能与 Active Directory 进行“对话”、搜索 Active Directory 对象并更新现有的 Active Directory 对象。

例如，我们将使用 LDP.EXE 工具的功能，通过 LDAP 连接 Active Directory，并“暴露”默认隐藏的名为 -已删除对象的系统文件夹。

在第一阶段，我们将使用LDP.EXE作为“浏览器工具”，使我们能够查看Active Directory已删除对象存储的内容，并定位和选择专门删除的对象。

下一阶段将是 - 将软删除用户对象的状态从逻辑删除对象状态更改为新状态，可以描述为 - 非逻辑删除对象。

换句话说 - 恢复已删除的对象（将软删除对象的状态更改为 - 活动）。

通过实施恢复 Active Directory 对象 - 重新激活 Active Directory 逻辑删除对象

只是简单提醒一下 Active Directory 已删除对象存储的概念。

恢复 Active Directory 已删除对象的能力是通过内置 Active Directory 机制实现的，该机制被描述为 - Active Directory 已删除对象 存储。

在 Active Directory 环境中，当删除某个对象时，该对象不会永久删除。相反，如果 Active Directory 回收站未启用，则“已删除的对象”将被删除。对象”将存储在名为 - 已删除对象 的特殊 Active Directory 文件夹中。

除了一组非常有限的属性（例如 GUID、SID 和名称）之外，“已删除对象”的大多数属性都将被删除（剥离）。

删除的对象将被视为“软删除”。描述软删除对象身份的另一个技术术语 - 墓碑对象。

我们恢复墓碑对象的过程被描述为 - 复活。

在下一节中，我们将演示如何使用 LDP.EXE 工具来实现“Reanimating Active Directory Tombstone Object”（恢复软删除的 Active Directory 对象）的概念。

您可以在文章 - 已删除的 Active Directory 已删除的用户帐户和已删除的对象存储 | 中阅读有关 Active Directory 和已删除对象概念的更多信息。基本介绍 |第 1#4 条 |第 13 部分#23

场景描述

为了能够演示我们使用 LDP.EXE 实用程序恢复软删除的 Active Directory 用户帐户的方式，让我们使用以下场景：

• Katy Perry 是在 Active Directory 组织单位中创建的名为“著名歌手” 的组织用户（Active Directory 用户）。
• Katy Perry Active Directory 用户帐户已删除！
• Active Directory“本地域名”是 - local
• Active Directory 服务器（域控制器）名称是 - DC01

使命

恢复 Katy Perry Active Directory 用户帐户！

解决方案

我们将使用 LDP.EXE 实用程序来：

• 查看 Active Directory 的内容已删除对象
• 找到特定的软删除用户帐户（Katy Perry 用户帐户）。
• 将软删除的用户帐户恢复到其原始组织单位。

使用 LDP 实用程序恢复软删除的 Active Directory 用户

LDP.EXE 实用程序默认安装为 Windows 服务器的一部分。要“调用”LDP.EXE 实用程序，我们使用命令提示符。

以管理员身份激活命令提示符很重要

• 右键单击命令提示符并选择菜单选项 -以管理员身份运行

• 输入文件名 - LDP.exe

在下面的屏幕截图中，我们可以看到LDP实用程序的“空内容”。

阶段 1#4 - 将 LDP 实用程序连接到本地 Active Directory

在第一阶段，我们需要连接域控制器服务器（域控制器是保存Active Directory副本的服务器）。

• 选择连接菜单，然后连接... 菜单

• 在服务器框中，键入域控制器服务器的名称。在我们的示例中，我们连接名为 DC01 的域控制器服务器。
• 保留默认设置并点击确定

在下面的屏幕截图中，我们可以看到LDP实用程序成功连接DC服务器。在“右笔”中，我们可以看到从 Active Directory“获取”的信息。

为了完成与域控制器服务器的连接，我们需要验证现有的用户凭据。

• 选择连接菜单，然后绑定...菜单

默认选项是 - 绑定为当前登录的用户。在我们的示例中，我们使用域管理员用户帐户登录。因此，在这种情况下，我们将保留默认选项（我们不需要提供另一组用户凭据）。

阶段 2#4 - 定义显示 Active Directory 已删除对象文件夹内容所需的特定视图

在此阶段，我们将 LDP 实用程序配置为“连接”名为“已删除对象”的隐藏 Active Directory 文件夹，该文件夹存储所有现有的软删除 Active Directory 对象。

• 选择菜单选项和子菜单 - 控件

• 要定义所需的“视图”（显示软删除对象），我们将使用加载预定义下拉列表。

• 在活动控件对话框中，展开加载预定义下拉列表，单击返回已删除的对象，然后单击确定。

• 单击确定。

阶段 3#4 - 查看 Active Directory“树”。 ”

为了能够查看 Active Directory 层次结构树，我们将使用 树 菜单

• 选择查看菜单，然后选择树菜单

现在，我们需要“告诉”LDP 实用程序我们想要连接到哪个 Active Directory“分区”。

我们使用 x.500 LDAP 语法在 BaseDn 框中定义 Active Directory 域分区的名称。

我们可以通过手动输入信息的方式键入所需的“路径”，也可以从下拉列表中选择所需的Active Directory域分区。

• 单击 BaseDn 框右侧出现的黑色小箭头
• 从列表中选择您的 Active Directory 域名。

在我们的示例中，域分区\路径为 - DC=o365info, DC=local

• 选择所需域名，然后点击确定

在左侧，我们可以看到 LDP 实用程序连接到根域分区
（在我们的示例中DC=o365info, DC=local）。

• 单击加号 符号展开内容

在下面的屏幕截图中，我们可以看到Active Directory的层次结构。

在我们的示例中，已删除对象的路径是：

CN=已删除对象、DC=o365info、DC=本地

要查看 Active Directory 树的内容，请单击加号（数字 1）。

请注意，现在我们可以看到默认隐藏的文件夹 - Active Directory Deleted Objects 文件夹。

要查看 Active Directory 已删除对象文件夹的内容，请单击加号（数字 2）。

在 Active Directory 已删除对象文件夹的“下方”，我们可以看到现有软删除对象的列表。

阶段 4#4 - 恢复软删除的用户帐户

如前所述，在我们的示例中，我们希望恢复 Katy 的软删除用户帐户。

• 找到所需的软删除对象（在我们的示例中为 Katy 软删除用户帐户），
  右键单击并选择 - 修改。

在修改对话框中：

• 在编辑条目属性中，输入isDeleted。
• 将值框留空

• 在“操作”下，单击删除，然后单击输入。

• 在编辑条目属性框中，输入distinguishedName
• 在“值”中，键入此 Active Directory 对象的原始专有名称 （也称为 DN）。

说明中写道：“输入原始专有名称（也称为 DN）。 ”但我确信我们大多数人都不熟悉这个术语。

即使我们知道这个术语的含义，大多数时候，我们也不知道确切的“原始专有名称是什么”。

为了能够“获取”“原始专有名称”的值，我们需要在 LDP 实用程序显示右侧窗格中的“软删除”属性中执行“小挖掘”。

关于“原始专有名称”的信息分为两部分：

第 1#2 部分 - LastKnownParent

我们将寻找一个名为 - lastKnownParent 的值

在我们的具体场景中，该值为 -
lastKnownParent: OU=Famous Singers,DC=o365info,DC=local;

第 2#2 部分

查找名为 - CN 的值

在我们的特定场景中，CN 值为 - CN=Katy Perry

“原始专有名称”的值是通过“粘合”这两部分来实现的。

在下图中，我们可以看到我们需要使用的“结构”：

在我们的示例中，“原始专有名称”的值为：

CN=凯蒂·佩里、OU=著名歌手、DC=o365info、DC=local

简而言之，这是定义软删除 Katy 用户帐户位置的“Active Directory 地址”。

• 在“操作”下，单击替换 （数字 1）
• 点击输入 （数字3）
• 确保选中扩展 复选框（数字 2）

• 单击运行 （数字4）

在下面的屏幕截图中，我们可以看到，在查看Famous Singers OU 时，我们可以看到软删除的用户帐户已成功恢复！

处理这样的场景：多个具有“相同身份”的软删除用户帐户。 ”

在本节中，我想涉及一个复杂的场景，其中我们需要恢复软删除的用户帐户，但“问题”是 Active Directory 已删除对象 存储 包括两个（或更多）看似相同的用户帐户。

如果 Active Directory 用户帐户被删除并创建了几次，则可能会出现这种情况。

例如，

• Active Directory 用户被创建，然后被删除（软删除）。
• 一段时间后，将再次创建具有相同显示名称和电子邮件地址的 Active Directory 用户作为新的 Active Directory 用户。
• 一段时间后，新的 Active Directory 用户帐户将被删除。

在这种情况下，Active Directory 回收站将包含两个看似相同的用户帐户。

我使用“看似相同”一词，因为两个软删除用户帐户具有相同的显示名称、电子邮件地址，但不相同！

看似相同的软删除用户帐户之间的“真正差异”是：

1. 唯一标识符 - GUID 和 SID 值。
2. 创建和更新值 - “创建日期” (WhenCreated) 和“删除日期” (WhenChanged)。

注意 - 请注意，Active Directory 不使用特定的属性，例如“删除时”。
相反，“告诉我们”对象何时被删除的属性是 - 何时更改。

为了能够演示这种情况，让我们使用以下场景：

• Katy Perry 是在名为“著名歌手”的 Active Directory 组织单位中创建的组织用户（Active Directory 用户）。
• Katy Perry Active Directory 用户帐户已删除！
• 一段时间后，Active Directory 管理员为 Katy Perry 创建一个新的 Active Directory 用户帐户，其详细信息与之前删除的用户帐户相同，例如 - 相同的显示名称、电子邮件地址等。
• 一段时间后，新的Katy Perry Active Directory 用户帐户被删除！

使命

我们被要求恢复“原始”Katy Perry Active Directory 用户帐户！
换句话说，Katy Perry Active Directory 用户帐户是在新凯蒂·佩里用户帐户。

解决方案

为了能够满足此要求，我们将使用 LDP.EXE 实用程序：

• 查看 Active Directory 的内容已删除对象
• 找到特定的两个软删除用户帐户，即“原始 Katy 软删除用户帐户”和新的 Katy 软删除用户帐户。
• 找到每个软删除 Katy 用户帐户的“创建时间”（Active Directory 对象的创建日期）。
• 比较“WhenCreated”的值并定位到旧的“WhenCreated”。 ”
• 将“原始”软删除用户帐户恢复到其原始组织单位。

换句话说，我们想要恢复用户帐户，其“创建日期”(WhenCreated) 早于新用户帐户的“创建日期”(WhenCreated)这是后来创建的。

在这种情况下，我们需要以某种方式“获取”此信息，并根据此信息“定位”我们想要恢复的特定软删除用户帐户。

在下面的屏幕截图中，我们可以看到当我们使用LDP.EXE查看Active Directory已删除对象的内容时；我们可以看到软删除 Katy 用户帐户的两个实例。

如前所述，为了能够区分这两个看似相同的用户帐户，我们将查找“WhenCreated”（Active Directory 对象的创建日期）的值。

我们随机选择一个软删除的“Katy 用户帐户”。

在我们的具体示例中，我们选择“底部”软删除 Katy 用户帐户（数字 1）。

在右笔中，我们查找名为“WhenCreated”的属性

“WhenCreated”的值为 - 10/10/2016 4:56:34 AM

我们将对“第二个软删除凯蒂的用户帐户”（编号 2）实施相同的过程。

在右笔中，我们查找名为“WhenCreated”的属性

“WhenCreated”的值为 - 10/10/2016 12:05:18 AM

为了能够确定谁是“原始”Active Directory 用户帐户，我们比较两个软删除用户帐户的创建日期。

在下图中，我们可以看到该 Active Directory 用户帐户的展位是在同一天（2016 年 10 月 10 日）创建的，但是……

Katy 软删除用户帐户被我们“标记”为 2 号，是在早些时候创建的。

答案是 - 该用户帐户是“原始 Active Directory 用户帐户”！

当前文章系列的下一篇文章

如何使用 AdRestore、AdRestore.net 和 LEX（LDAP 资源管理器）恢复 Active Directory 已删除的用户帐户（Active Directory 回收站未启用）第 3#4 条 |第 15 部分#23