Назад | Перейти на главную страницу

Восстановить «потерянного» пользователя после удаления Active Directory?

Можно ли восстановить потерянных пользователей после деинсталляции Active Directory? (Я забыл переключить пользователей на локальных) Компьютер работает под управлением Windows Server 2008 R2 Entreprise, и весь реестр, связанный с пользователем, которого я хочу восстановить, кажется, все еще существует, папка пользователя все еще находится на жестком диске, а useraccount2 по-прежнему показывает пользователь (но помечен как неизвестный пользователь)

В некоторых папках все еще есть настройки для этого потерянного пользователя, и даже локальная учетная запись администратора по умолчанию не может открыть / удалить папку. (Но настоящая проблема здесь - найти, как восстановить учетную запись пользователя, папку можно удалить другим способом)

Все пользователи, которых я хочу восстановить, были изначально локальными пользователями, преобразованными в пользователей домена после установки Active Directory.

Я думаю, что если я смогу изменить sid пользователя (выбирая sid вручную), я смогу легко восстановить права на папки

С уважением

Поскольку вас, по-видимому, интересуют не сами объекты пользователей, а только связанные с ними данные и информация профиля, это должно работать:

  1. стать владельцем и сбросить разрешения файловой системы для каждого каталога профиля (C:\Users по умолчанию - если у вас были локальные профили)
  2. создайте новых локальных пользователей и один раз войдите в них в интерактивном режиме - на этом этапе создаются новые каталоги профилей и ссылки
  3. измените разрешения файловой системы для ваших старых каталогов профиля, чтобы включить Full Access для соответствующих вновь созданных пользователей

Если вас не интересуют настройки пользователей, которые были сохранены в реестре, а нужно только перенести пользовательские данные, просто скопируйте соответствующие данные (предположительно такие вещи, как Documents, Desktop или Downloads) из старых каталогов профилей во вновь созданные самостоятельно или позвольте пользователям сделать это (вы предоставили им доступ на шаге 3). Если вам также нужны настройки, есть над чем поработать:

  1. выйдите из системы пользователей, которых вы только что вошли в систему
  2. запустите редактор реестра (regedit.exe) в качестве администратора, чтобы изменить ProfileImagePath ценность HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\<SID> подключ, чтобы ваши вновь созданные объекты пользователей сопоставлялись с каталогами профилей ваших старых пользователей AD
  3. перезагрузите компьютер, чтобы убедиться, что все профили выгружены
  4. войдите в систему своих новых пользователей - вы должны все время видеть сообщения об ошибках и ошибочное поведение - это связано с тем, что вы изменили разрешения файловой системы для профиля, но разрешения в реестре профиля все еще слишком ограничены
  5. запустите редактор реестра (regedit.exe) как административный пользователь, чтобы добавить Full Control для разрешений реестра соответствующих пользователей. Профили реестра пользователя загружаются в HKEY_USERS\<SID> и HKEY_USERS\<SID>_Classes регкейс. Вам нужно будет определить <SID>-subkeys и сопоставьте их с именами ваших пользователей, чтобы установить разрешения - вы могли бы сделать это, получив SID каждого пользователя и сопоставив их со списком, конечно, но гораздо более простой подход - найти USERNAME значение в HKEY_USERS\<SID>\VolatileEnvironment ключ.
  6. перезагрузите компьютер снова и войдите в систему - теперь у вас все должно быть хорошо

Теперь, в зависимости от количества пользователей, которых вы хотите воссоздать, это может быть очень много работы - тогда подумайте о написании скрипта для всей процедуры.

О, еще одна важная вещь: поскольку вы, похоже, забываете делать резервные копии, прежде чем вносить существенные изменения, попробуйте подумать об этом на этот раз и

заранее убедитесь, что у вас есть легкодоступная резервная копия.

Это было бы особенно необходимо, если у вас нет значительного опыта работы с профилями или использования редактора реестра, так как в этом случае вы, скорее всего, испортите вещи, не требуя ремонта.

Да, и вы не можете установить SID созданных объектов пользователей или групп - даже программно. Для целей миграции существует атрибут sIDHistory, но его использование ограничено DsAddSIDHistory функция - для которой требуется функциональный исходный домен (которого у вас нет) и пользовательский объект AD в качестве назначения (которого у вас тоже нет).

Настоящий пользователи ушли. Это то, о чем были все предупреждения, когда вы удалили активный каталог.

Вы можете в значительной степени восстановить контроллеры домена AD из резервных копий, сделанных до удаления AD, или согласиться с тем, что пользователи ушли, и согласиться на восстановление своих данных; Ответ Лаурентиу в этом отношении правильный, вам просто нужно внимательно его прочитать. До «прав редактирования» для пользовательских папок, как вы говорите. тебе надо стать владельцем папок, если вам нужно добраться до данных.

Я не думаю, что вы можете войти в систему как этот пользователь. Но как локальный администратор вы можете изменить владельца этой папки (включая подкаталоги и файлы), а затем получить к ним доступ.

Как сказал РобМ ... вам, вероятно, не повезло.

Я действительно не думаю, что это поможет, но если вы хотите попробовать «перенести» SID в реальную учетную запись, вы можете попробовать это программное обеспечение: http://www.forensit.com/domain-migration.html

Я использовал его для переноса локальных учетных записей в учетные записи домена, но никогда не пробовал то, что вы пытаетесь сделать ... но он может позволить вам повторно активировать этот локальный SID, который не связан с учетной записью пользователя. Точно сказать не могу.

Я не думаю, что вы можете изменить SID учетных записей пользователей домена Active Directory, поскольку SID является системным свойством, поэтому возможность изменения SID пользователя нецелесообразна.

Одна из возможностей может заключаться в том, чтобы попытаться использовать средство просмотра токенов доступа Windows, чтобы увидеть, к каким группам принадлежит пользователь, и на основе этой информации вы можете попытаться повторно предоставить доступ.

Есть хорошее обсуждение Как просмотреть токен доступа пользователя домена Active Directory / Windows? в случае, если это поможет.

Удачи тебе. Похоже, вам, возможно, придется просто вытащить свои резервные копии и выполнить восстановление аутентификации.