Recuperar objetos eliminados en Active Directory con papelera de reciclaje deshabilitada

miércoles, 16 de julio de 2014

En esta ocasión mostraré como recuperar objetos eliminados en Active Directory, a partir de Windows Server 2008 R2 contamos con la característica 'Recycle Bin', la cual nos permite recuperar objetos eliminados de Active Directory manteniendo todos sus atributos completos, muy bonito verdad?, pero qué pasa si no tenemos esta característica habilitada? o qué pasa si nuestro nivel funcional de bosque no está establecido a Windows Server 2008 R2 debido que aún no hemos podido elevar el nivel funcional por algún motivo?
Antes cualquier situación en la que no podamos recuperar un objeto por no tener la papelera habilitada, no nos queda más remedio que acudir a la herramienta LDP, a continuación entonces mostraré cómo recuperar un objeto de Active Directory cuando no tenemos la papelera de reciclaje habilitada.

NOTA: Este procedimiento recupera el objeto en crudo, es decir non tendrá pertenencia a ningún grupo y todas sus propiedades estarán en blanco, a esto también se le conoce como recuperar el SID. Por lo cual una vez recuperemos el objeto debemos volver a poner los grupos a los que pertenece y poner las propiedades que tenía antes de ser eliminado, como lo pueden ser Teléfono, Departamento, etc.

1. Abrimos la herramienta ldp.exe con privilegios de administrador


2. Una vez abierta la herramienta hacemos clic en el menú Connection y luego Connect


3. En el cuadro Server escribimos el nombre del servidor, dejamos el puerto LDAP por defecto (389), y hacemos clic en OK


4. Una vez conectado, hacemos clic nuevamente en Connection y luego en Bind, en la ventana que aparece dejamos habilitada la opción por defecto, que es usar las credenciales del usuario actual, luego hacemos clic en el botón OK


5. Luego vamos al menú Options y seleccionamos la opción Controls


6. De la lista desplegable Load Predefined seleccionamos Return Deleted Objects y hacemos clic en OK


7. Luego hacemos clic en el menú View y seleccionamos Tree


8. En la ventana Tree View escribimos el nombre del contenedor donde se encuentran los objetos eliminados, el cual es: CN=Deleted Objects,DC=[dominio],DC=[com] (reemplazar lo encerrado en corchetes por el nombre de su dominio) y hacer clic en OK


9. Después de hacer clic en el botón OK de la imagen anterior, veremos en el panel de la derecha de la consola ldp el contenedor de objetos eliminados, el cual podemos expandir para buscar todos los objetos eliminados, en nuestro caso solo tenemos un usuario eliminado.


Como podemos ver, tenemos un usuario eliminado llamado Andres Gomez, lo primero que debemos hacer es doble clic sobre el objeto eliminado, de tal forma que podamos ver todas las propiedades de este objeto en el panel derecho de la consola ldp, pero en este caso es muy importante tener en cuenta el atributo distinguishedName del objeto, el cual podemos ver en el recuadro rojo de la siguiente imagen.


Seleccionamos y copiamos el DN del objeto, a partir de CN en el recuadro anterior.
10. Una vez copiado el DN del objeto, vamos al menú Browse y seleccionamos Modify


11. En el cuadro DN pegamos lo que hemos copiado en el paso 9, en el cuadro Attribute escribimos isDeleted, en Operation activamos Delete, y por último hacemos clic en el botón Enter


Al hacer clic en el botón Enter el campo vacío Entry List se llenará con la información que hemos establecido quedando de la siguiente forma:


12. Ahora, sin cerrar la ventana ni nada, vamos a reemplazar la palabra isDeleted del cuadro Attribute por la palabra distinguishedName, luego en el campo Values escribimos el nuevo DN del objeto, en este caso lo dejaré en raíz del dominio: CN=Andres Gomez,DC=Corp,DC=local, luego en Operation activamos la opción Replace, y hacemos clic en el botón Enter, la nueva entrada quedará debajo de la ya existente:[Delete]isDeleted; por último activamos la casilla Extended y hacemos clic en el botón Run. Antes de hacer clic en el botón Run asegúrese de que su ventana tiene una apariencia como la siguiente:


13. Al hacer clic en el botón Run debemos poder apreciar en el panel derecho de la consola ldp el resultado satisfactorio de la operación, tal como se muestra en la siguiente imagen:


14. Con esto finaliza la restauración del objeto, ahora si vamos a revisar en la consola Usuarios y Equipos de Active Directory, se podrá observar el objeto recién recuperado.


Como se puede apreciar el objeto se encuentra deshabilitado, simplemente lo habilitamos y de este modo hemos recuperado nuestro usuario borrado del directorio sin utilizar la papelera de reciclaje.


Y el resultado final:


Esto es todo amigos, espero les sea de utilidad en algún momento.

2 comentarios:

Abdel Cordero dijo...

Hola Cesar, pude recuperar un usuario eliminado. Gracias.

¿Hay forma de recuperar los atributos o por lo menos los grupos a que pertenecía?


Unknown dijo...

Hola

Al recuperar este objeto me sale el siguiente error, he ingresado con el usuario Administrator pero me sigue apareciendo este mensaje. Alguna ayuda por favor.

***Call Modify...
ldap_modify_ext_s(ld, 'CN=Organization Management\0ADEL:51829d03-98b0-49a2-8f08-91ae1850ef66,CN=Deleted Objects,DC=vistony,DC=lcl',[2] attrs, SvrCtrls, ClntCtrls);
Error: Modify: Insufficient Rights. <50>
Server error: 00000005: SecErr: DSID-03150906, problem 4003 (INSUFF_ACCESS_RIGHTS), data 0

Error 0x5 Access is denied

 

Aprende en Net University

Aprende en Net University
Aprende más de Azure con los cursos de Net University

MVP Award

MVP Award
Microsoft Azure

Temas por fecha

Lo más visto

Certificaciones

Comunidad

Comunidad
Comunidad Técnica

Sobre mi

Mi foto
Microsoft Azure MVP MCT|MCSE|MCSA

Visitantes


flags.es