在日常AD域管理中,有時候我們不小心删除了域賬号,或者我們想檢視這個域賬号是什麼時候建立并删除的,微軟本身已經為我們的賬号資訊做了備份機制,活動目錄對象如果被删除,系統并沒有直接将其徹底删除,而是放在了一個不可見的 CN 中,這個 CN就是 Delete Objects 。被删除的賬戶會在裡面待儲存180 天(預設)。
我們需要先查詢賬戶被删除的日志,之後在恢複賬戶,否則可能就找不到賬戶被删除的日志位置。
一、查詢被删除使用者的日志
找到該删除賬戶的DN,在powershell裡輸入:
Get-ADObject -Filter {samaccountname -like 'jinhui.zou*'} -IncludeDeletedObjects
ps:其中的j.zou* 就是要查找的使用者,記住後面用即可,可以模糊的最小化輸入 例如 j
複制下來他的dn名稱,
運作:
repadmin /showmeta "CN=Zou Jinhui\0ADEL:31f2a5b9-0233-4b1d-9dc5-6be1704e678a,CN=Deleted Objects,DC=n,DC=nn,DC=a,DC=com"回車後您會看到下面的資訊
在Ver Attribute這個屬性下,你可以找到isDeleted這個屬性,該屬性對應的資訊就是使用者帳号的删除時間和操作的伺服器資訊來自活動目錄。
這個時候可以根據該資訊,到對應的域控,打開事件檢視器,打開安全日志,通過篩選,找到這個時間的日志,具體到秒。就可以找到日志。
删除的日志編号一般是 4726 如果具體到時間找不到,可以加這個條件找到具體日志。
二、恢複AD賬戶
恢複的方法有很多,這裡提供兩個簡單的
1、通過指令行恢複
例如根據上方找到的對象隻有一個,直接加恢複指令