Можно ли восстановить потерянных пользователей после деинсталляции Active Directory? (Я забыл переключить пользователей на локальных) Компьютер работает под управлением Windows Server 2008 R2 Entreprise, и весь реестр, связанный с пользователем, которого я хочу восстановить, кажется, все еще существует, папка пользователя все еще находится на жестком диске, а useraccount2 по-прежнему показывает пользователь (но помечен как неизвестный пользователь)
В некоторых папках все еще есть настройки для этого потерянного пользователя, и даже локальная учетная запись администратора по умолчанию не может открыть / удалить папку. (Но настоящая проблема здесь - найти, как восстановить учетную запись пользователя, папку можно удалить другим способом)
Все пользователи, которых я хочу восстановить, были изначально локальными пользователями, преобразованными в пользователей домена после установки Active Directory.
Я думаю, что если я смогу изменить sid пользователя (выбирая sid вручную), я смогу легко восстановить права на папки
С уважением
Поскольку вас, по-видимому, интересуют не сами объекты пользователей, а только связанные с ними данные и информация профиля, это должно работать:
C:\Users
по умолчанию - если у вас были локальные профили)Full Access
для соответствующих вновь созданных пользователейЕсли вас не интересуют настройки пользователей, которые были сохранены в реестре, а нужно только перенести пользовательские данные, просто скопируйте соответствующие данные (предположительно такие вещи, как Documents
, Desktop
или Downloads
) из старых каталогов профилей во вновь созданные самостоятельно или позвольте пользователям сделать это (вы предоставили им доступ на шаге 3). Если вам также нужны настройки, есть над чем поработать:
regedit.exe
) в качестве администратора, чтобы изменить ProfileImagePath
ценность HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\<SID>
подключ, чтобы ваши вновь созданные объекты пользователей сопоставлялись с каталогами профилей ваших старых пользователей ADregedit.exe
) как административный пользователь, чтобы добавить Full Control
для разрешений реестра соответствующих пользователей. Профили реестра пользователя загружаются в HKEY_USERS\<SID>
и HKEY_USERS\<SID>_Classes
регкейс. Вам нужно будет определить <SID>
-subkeys и сопоставьте их с именами ваших пользователей, чтобы установить разрешения - вы могли бы сделать это, получив SID каждого пользователя и сопоставив их со списком, конечно, но гораздо более простой подход - найти USERNAME
значение в HKEY_USERS\<SID>\VolatileEnvironment
ключ.Теперь, в зависимости от количества пользователей, которых вы хотите воссоздать, это может быть очень много работы - тогда подумайте о написании скрипта для всей процедуры.
О, еще одна важная вещь: поскольку вы, похоже, забываете делать резервные копии, прежде чем вносить существенные изменения, попробуйте подумать об этом на этот раз и
Это было бы особенно необходимо, если у вас нет значительного опыта работы с профилями или использования редактора реестра, так как в этом случае вы, скорее всего, испортите вещи, не требуя ремонта.
Да, и вы не можете установить SID созданных объектов пользователей или групп - даже программно. Для целей миграции существует атрибут sIDHistory, но его использование ограничено DsAddSIDHistory функция - для которой требуется функциональный исходный домен (которого у вас нет) и пользовательский объект AD в качестве назначения (которого у вас тоже нет).
Настоящий пользователи ушли. Это то, о чем были все предупреждения, когда вы удалили активный каталог.
Вы можете в значительной степени восстановить контроллеры домена AD из резервных копий, сделанных до удаления AD, или согласиться с тем, что пользователи ушли, и согласиться на восстановление своих данных; Ответ Лаурентиу в этом отношении правильный, вам просто нужно внимательно его прочитать. До «прав редактирования» для пользовательских папок, как вы говорите. тебе надо стать владельцем папок, если вам нужно добраться до данных.
Я не думаю, что вы можете войти в систему как этот пользователь. Но как локальный администратор вы можете изменить владельца этой папки (включая подкаталоги и файлы), а затем получить к ним доступ.
Как сказал РобМ ... вам, вероятно, не повезло.
Я действительно не думаю, что это поможет, но если вы хотите попробовать «перенести» SID в реальную учетную запись, вы можете попробовать это программное обеспечение: http://www.forensit.com/domain-migration.html
Я использовал его для переноса локальных учетных записей в учетные записи домена, но никогда не пробовал то, что вы пытаетесь сделать ... но он может позволить вам повторно активировать этот локальный SID, который не связан с учетной записью пользователя. Точно сказать не могу.
Я не думаю, что вы можете изменить SID учетных записей пользователей домена Active Directory, поскольку SID является системным свойством, поэтому возможность изменения SID пользователя нецелесообразна.
Одна из возможностей может заключаться в том, чтобы попытаться использовать средство просмотра токенов доступа Windows, чтобы увидеть, к каким группам принадлежит пользователь, и на основе этой информации вы можете попытаться повторно предоставить доступ.
Есть хорошее обсуждение Как просмотреть токен доступа пользователя домена Active Directory / Windows? в случае, если это поможет.
Удачи тебе. Похоже, вам, возможно, придется просто вытащить свои резервные копии и выполнить восстановление аутентификации.