Prokursy Online

Podstawy

🔵 ADMIN2 min czytaniaPostęp: 156/233

Przywracanie usuniętego użytkownika

Nieukończona

Postępy nie są zapisywane. Zarejestruj się lub zaloguj, aby śledzić postępy w kursach.

Przywracanie usuniętego użytkownika (Active Directory)

Scenariusz z życia

HR usuwa konto pracownika zamiast je zablokować. Po 10 minutach telefon: „Przecież on wraca jutro… odzyskaj konto, ma wszystkie uprawnienia i pocztę!”

Tu admin musi wiedzieć: czy konto jeszcze istnieje logicznie, czy fizycznie już zniknęło z AD.

Co się naprawdę dzieje w AD

Usunięcie użytkownika ≠ natychmiastowe skasowanie.

AD działa w 3 etapach:

  1. Deletion (tombstone) — obiekt oznaczony jako usunięty
  2. Recycle Bin (jeśli włączony) — można przywrócić z hasłem i SID
  3. Garbage Collection — po czasie znika bezpowrotnie

Domyślnie: Tombstone lifetime ≈ 180 dni (zależnie od domeny). Ale bez Recycle Bin tracisz hasło i członkostwa.

Dlatego najważniejsze pytanie admina: Czy kosz AD jest włączony?

Sprawdzenie czy AD Recycle Bin działa

PowerShell (DC): Get-ADOptionalFeature 'Recycle Bin Feature' | fl EnabledScopes

Jeśli jest puste → źle (odzysk tylko częściowy).

Przywracanie użytkownika (Recycle Bin włączony)

GUI (najprostsze)

Active Directory Administrative Center → Deleted Objects → znajdź użytkownika → Restore.

Przywraca: hasło, SID, grupy, profil, uprawnienia NTFS, skrzynkę (jeśli Exchange/365 powiązane). To jest pełne odtworzenie tożsamości.

PowerShell

Lista usuniętych: Get-ADObject -Filter 'isDeleted -eq $true -and objectClass -eq "user"' -IncludeDeletedObjects

Przywrócenie: Restore-ADObject -Identity <GUID>

Gdy Recycle Bin NIE był włączony

Możesz tylko: 1) odtworzyć konto ręcznie, 2) dodać do grup, 3) ustawić hasło, 4) odtworzyć profil.

Ale: SID się zmienia → tracisz dostęp do folderów i zasobów. Dlatego użytkownik „ma konto”, ale nie ma dostępu do niczego.

Kiedy nie trzeba odtwarzać konta

Jeśli to pracownik odchodzi: zawsze Disable → przenieś do OU _Disabled Users. Nigdy Delete.

Usuwanie kont w firmach robi się po miesiącach — nie od razu.

Myślenie administratora

Najpierw: 1) Sprawdź Recycle Bin, 2) Przywróć, 3) Wymuś logowanie, 4) Sprawdź dostęp do udziałów.

Nie: tworzenie nowego konta, ręczne nadawanie praw — to generuje tygodnie problemów.

Zapamiętaj — fakty egzaminowe

  • Usunięty użytkownik trafia do Deleted Objects
  • Recycle Bin pozwala odzyskać konto z SID i hasłem
  • Bez SID tracisz dostęp do plików NTFS
  • W firmach kont się nie usuwa — tylko blokuje

Najczęstszy błąd juniora

Tworzy nowe konto o tej samej nazwie. To NIE jest ten sam użytkownik. AD rozpoznaje tożsamość po SID, nie po loginie.

Notatki (opcjonalnie)
PoprzedniaNastępna