Windows

刪除 Active Directory 後恢復“失去”的使用者?

  • November 16, 2012

是否可以在 Active Directory 解除安裝後恢復失去的使用者?(我忘記將使用者切換到本地使用者)電腦執行Windows Server 2008 R2 Entreprise,與我要恢復的使用者連結的所有系統資料庫似乎仍然存在,使用者的文件夾仍在硬碟驅動器上,並且useraccount2仍然顯示使用者(但標記為未知使用者)

一些文件夾仍然為這個失去的使用者設置了權限,甚至本地預設管理員帳戶也無法打開/刪除該文件夾。(但這裡真正的問題是找到如何恢復使用者帳戶,可以通過其他方式刪除文件夾)

我想要恢復的所有使用者都是原來的本地使用者,在安裝 Active Directory 後轉換為域使用者。

我認為,如果我可以更改使用者的 sid(手動選擇 sid),我將能夠輕鬆恢復文件夾的權限

問候

由於您顯然對使用者對象本身不感興趣,而只對關聯的數據和配置文件資訊感興趣,因此這應該有效:

  1. 獲取每個配置文件目錄的所有權並重置文件系統權限(C:\Users預設情況下 - 如果您有本地配置文件)
  2. 創建您的新本地使用者並以互動方式登錄他們一次 - 在此步驟中創建新的配置文件目錄和引用
  3. 更改舊配置文件目錄的文件系統權限以包含Full Access相應新創建的使用者

如果您對儲存在系統資料庫中的使用者設置不感興趣,但只需要遷移使用者數據,只需將相關數據(可能是Documents,DesktopDownloads)從舊的配置文件目錄複製到自己新創建的配置文件目錄中或讓使用者去做(您已在步驟 3 中授予他們訪問權限。)。如果您還需要這些設置,還有更多工作要做:

  1. 註銷剛剛登錄的使用者
  2. 以管理使用者身份執行系統資料庫編輯器 ( regedit.exe) 以修改子項的ProfileImagePath值,HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\<SID>以便您新創建的使用者對象將映射到舊 AD 使用者的配置文件目錄
  3. 重新啟動您的機器以確保所有配置文件都已解除安裝
  4. 登錄您的新使用者 - 您應該一直看到錯誤消息和錯誤行為 - 這是因為您更改了配置文件的文件系統權限,但配置文件系統資料庫的權限仍然過於嚴格
  5. 以管理使用者身份執行系統資料庫編輯器 ( regedit.exe) 以添加Full Control相應使用者的系統資料庫權限。使用者的系統資料庫配置文件被載入到HKEY_USERS\<SID>regkeysHKEY_USERS\<SID>_Classes中。您需要能夠辨識<SID>-subkeys 並將它們映射到您的使用者名以設置權限 - 您可以通過檢索每個使用者的 SID 並將它們與列表進行匹配來完成,但更簡單的方法是查找鍵中USERNAME的值HKEY_USERS\<SID>\VolatileEnvironment
  6. 再次重新啟動機器並登錄使用者 - 你現在應該很好

現在,根據您要重新創建的使用者數量,這可能是一項非常艱鉅的工作——然後考慮編寫整個過程的腳本。

哦,還有一件更重要的事情:由於您似乎是那種在進行重大更改之前忘記備份的類型,所以這次試著想一想

確保您事先有一個易於訪問的備份。

如果您在處理配置文件或使用系統資料庫編輯器方面沒有豐富的經驗,這將是特別必要的,因為在這種情況下,您很可能會把事情搞砸而無法修復。

哦,您不能設置創建的使用者或組對象的 SID——甚至不能以程式方式設置。出於遷移目的,有 sIDHistory 屬性,但此屬性的填充僅限於使用DsAddSIDHistory函式 - 它需要一個功能源域(您沒有)和一個 AD 使用者對像作為目標(您也沒有)。

引用自:https://serverfault.com/questions/447951