问题提出:
今天一个哥们突然打电话说他看上了公司的一个女性同事,不管年纪、身高、外貌等都很合适,想制造点机会来进一步的接触了解,于是他想到了禁用她的域账号,然后坐等相好过来找他解决问题,最后他好有机会跟她缠绵缠绵,想到就要跟相好见面了,手一哆嗦,勿删除了她的账号,这下玩大发了。。。

问题解决:
  问题的解决方法也很多,别如从备份中使用ntdsutil进行授权还原,但会停机操作(03的Dc),会对其他的业务有影响(这一方法已经在撰写,后期会更新出来)
  2 重新建立一个同名账号(其实我不想写这一条的,但某些人就是回答让我新建立一个同名的账号就行,为了照顾全局,我还是写一下吧),做Microsoft的It都很清楚,即使是在工作组环境下在建立一个同名的账号,其背后的SID也是不一样的,并且,环境里分配的权限都是根据SID来分配的,比如文件共享,所以,即使名字相同但其拥有的权限是完全不同的!

  3 使用LDP.exe进行恢复,不用停机,相对来说也是一个很方便的方法,但操作起来比较繁琐,可以参考:http://technet.microsoft.com/zh-cn/library/dd379509(v=ws.10).aspx

  4 使用adrestore.exe继续恢复,操作简便又安全!我们重点来介绍adrestore的使用方法!
恢复过程:
  首先,我们需要下载adrestore这个程序:http://technet.microsoft.com/en-us/sysinternals/bb963906.aspx
把adrestore放到windows\system32下,打开cmd,输入adrestore /?来查看下这个命令的参数,如图
 
  我们输入 adrestore,回车。可以看到被删除的活动目录信息,如图
 
  我们只需要输入adrestore  –r   cn(cn代表要恢复的对象名称),如图,恢复alice这个账号
会提示是否要还原选定对象,键入Y,再回车,
 

恢复完成后,打开dsa.msc查看结果,如图,用户恢复后默认是禁用状态以及下次登录需要更改密码,我们手动的更改一下就可以了!
 

比起使用ntdsutil和ldp.exe可真是大大节省了时间.
但是,你会发现,除了被还原回来的账号处于禁用状态,其属性中还丢失了很多信息,例如,姓名,所属组等.这是设计使然.当活动目录对象被删除时,除了objectGUID属性等被保留,其他属性都会被剔除.如果我们想要修改墓碑对象中哪个属性会被保留,需要使用ADSIEDIT.MSC工具打开活动目录架构, 找到想要保留的每个属性(例如Address),设置对应的searchFlags属性值为 0x00000008。然而链接属性,就像组成员关系,即使设置也不能保留。所以被还原回来的用户帐号还需要手动再加一遍组成员关系等.


问题总结:
我们在运维的时候,必须要有详细的备份计划,并要有详细的恢复操作指导计划!
我们在运维的时候,时时刻刻都要注意细节,小心操作!
最重要的时候,泡妞可别连累了我们的小宝贝----服务器


另:此方法同样适用于08Dc!


IT之梦---你---我---他
2012年11月17日