在日常AD域管理中,有时候我们不小心删除了域账号,或者我们想查看这个域账号是什么时候创建并删除的,微软本身已经为我们的账号信息做了备份机制,活动目录对象如果被删除,系统并没有直接将其彻底删除,而是放在了一个不可见的 CN 中,这个 CN就是 Delete Objects 。被删除的账户会在里面待保存180 天(默认)。
我们需要先查询账户被删除的日志,之后在恢复账户,否则可能就找不到账户被删除的日志位置。
一、查询被删除用户的日志
找到该删除账户的DN,在powershell里输入:
Get-ADObject -Filter {samaccountname -like 'jinhui.zou*'} -IncludeDeletedObjects
ps:其中的j.zou* 就是要查找的用户,记住后面用即可,可以模糊的最小化输入 例如 j
复制下来他的dn名称, 运行:
repadmin /showmeta "CN=Zou Jinhui\0ADEL:31f2a5b9-0233-4b1d-9dc5-6be1704e678a,CN=Deleted Objects,DC=n,DC=nn,DC=a,DC=com"回车后您会看到下面的信息
在Ver Attribute这个属性下,你可以找到isDeleted这个属性,该属性对应的信息就是用户帐号的删除时间和操作的服务器信息来自活动目录。
这个时候可以根据该信息,到对应的域控,打开事件查看器,打开安全日志,通过筛选,找到这个时间的日志,具体到秒。就可以找到日志。
删除的日志编号一般是 4726 如果具体到时间找不到,可以加这个条件找到具体日志。
二、恢复AD账户
恢复的方法有很多,这里提供两个简单的
1、通过命令行恢复
例如根据上方找到的对象只有一个,直接加恢复指令
Get-ADObject -Filter {samaccountname -like 'j.zou*'} -IncludeDeletedObjects | Restore-ADObject
2、通过管理工具里面的active directory 管理中心 工具。 选择到deleted object ,直接搜索用户,右键点击恢复即可。
