Saboneta NÃO!

William P. Alamino

Active Directory não tem lixeira, IAM deletou um objeto...E AGORA?


 É, um belo dia corriqueiro, tranquilo no atendimento de infraestrutura como a rotina manda...

Concluímos a implantação de um IAM no Active Directory (exigência da equipe de segurança do cliente), tudo estava sob controle.

De repente, chega aquela ligação no Teams com "cara" de "war room" e a seguinte mensagem:

"USUÁRIOS FORAM DELETADOS, E SÃO DA DIRETORIA!"

Fui avisado que houve um erro por parte do desenvolvedor (isso porque foi homologado) e, não tem jeito, precisamos recuperar os objetos/usuários deletados pela programação "equivocada".

Estranhamente, pela lixeira não deu certo, nem os procedimentos mais encontrados no Google via PowerShell...

E AGORA!?


Depois de muita pesquisa, estudo, entendimento e muita, mas muita PRESSÃO, cheguei ao procedimento abaixo.


Recuperar objetos deletados do Active Diretory – LDP.exe / LDAP

Entendimento:

Quando um objeto do Active Directory é deletado, ele não é removido fisicamente do banco de dados (NTDS.dit.). O Active Directory marca o atributo isDeleted como TRUE e move o objeto para o contêiner CN=Deleted Objects, desta forma o objeto deletado é denominado de Tombstone. Caso o AD não tenha lixeira habilitada, terá de executar esse documento. É importante entender como funciona o processo de “exclusão” de objetos do AD. Quando um objeto é deletado, ele ainda continua no banco de dados, ou seja, não é deletado fisicamente. O objeto vai para o (conteiner CN=Deleted Objects) e permanece por 60 dias.

Aplica-se a: Windows Server 2008 r2, Windows Server 2012, 2016, 2019 e 2022.


1 - Através do prompt abra a ferramenta ldp.exe (Lightweight Directory Access Protocol - LDAP).



Ou acesse pelo Iniciar do AD (Windows Server):



2 - Conecte no controlador de domínio.




3 - Digitar o nome do controlador de domino e utilizar a porta 389.


4 - Ferramenta LDP conectada no controlador de domínio.



5 - Autenticar no controlador de domínio:



6 - Digitar nome do usuário administrador, senha e o domínio conforme abaixo:



7 - Acessar Controls através do menu Options:





8 - Em Controls selecionar Return deleted objects na lista Load Predefined:



9 - Selecionar Tree através do menu View:



10 - Selecionar o domínio através do menu Tree View.
Ex: DC=contoso,DC=corp




11 - Na arvore do domínio, selecionar CN=Deleted Objects:



12 - Expandir CN=Deleted Objects e selecionar o objetivo que será restaurado.
Ex: Evaldo



13 - No objeto que será restaurado, clique em Modify:



14 - Em Edit Entry Attribute, digitar isDeleted e em Operation selecionar Delete, clique no Enter:




15 - Em Edit Entry Attribute, digitar distinguishedName e em Values digitar o DN do objeto e em Operation selecionar Replace, clique no Enter.
Ex do DN: CN=evaldo,CN=users,DC=contoso,DC=corp





16 - Assegurar que as opções Synchronous e Extended estão selecionadas e clique em Run para executar a query:



Logo após, resete a senha do usuário, habilite o objeto e valide o usuário no Active Directory Users and Computers.



Referências:


https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/virtual-dc/active-directory-domain-services-overview


https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/cc771022(v=ws.11)


http://www.linhadecodigo.com.br/artigo/2594/desfazer-objetos-deletados-do-active-diretory.aspx






Sou William Pereira Alamino, um analista de TI "raiz" que não foi formado em uma sala de aula mas nas "trincheiras de guerra" da vida real dentro das empresas! Um apaixonado por tecnologia, infraestrutura de computadores e servidores Microsoft, IA, Games e muito mais!!!

Comentários

Não é permitido fazer novos comentários.