martes, marzo 23, 2010

Recuperación rápida de objetos borrados en Active Directory

ACTUALIZADO EL 25-3-2010.

Hola chic@s,
Estoy viendo la serie "perdidos" online y es la locura. Empecé desde el principio (temporada 1) el sábado y ya voy en el capítulo 12. Al no tener anuncios no saco tiempo ni para actualizar el blog :-(

Pero hoy sí. El viernes me puse a hacer limpieza de objetos en el directorio activo (active directory) y claro, resulta que había un grupo cuyo nombre parecía indicar que estaba en desuso.

Fue borrarlo, y no tuve que esperar demasiado hasta que la primera llamada me indicó que había cometido un error.

Sirva esto para la próxima y para otros posibles administradores despistadillos.

PRIMERO VOY A PONER LA OPCIÓN RECOMENDADA Y LUEGO LA DIFICIL

ESTO ES LO QUE HAY QUE HACER (recomendado):

A mí me ha funcionado con un controlador de dominio Windows2003 SP2 aunque me imagino que valdrá en otras muchas versiones.

Lo primero que hice fue ir al controlador secundario y asegurarme del nombre del grupo eliminado.

Luego encontré la herramienta ADRESTORE de sysinternals y todo arreglado. Se descarga el ejecutable que apenas ocupa 42 kb y en plis objeto recuperado.

Sitio de descarga: http://technet.microsoft.com/es-es/sysinternals/bb963906.aspx

Mañana pongo unos pantallazos de su uso, pero es muy sencillo:

adrestore -r objeto

Lo único que me ocurrió es que como yo recuperaba un grupo se recuperó sin usuarios miembros.

ESTA OTRA ES LA FORMA DIFICIL
(NO RECOMENDADO).

Se trata de utilizar un programita llamado ldp.
Para tenerlo en el controlador de dominio hay que instalar las support tools (recordad que yo las instale el otro día para comprobar la sincronización entre los controladores de dominio).

Símplemente es seguir los pasos de http://technet.microsoft.com/es-es/library/dd379509(WS.10).aspx

Al ejecutar ldp obtenemos algo así...



Lo primero es conectarse (menú connection, connect) al servidor que nos interese:



Luego el bind (menú connection, bind) que es la validación. Metemos el Administrador del dominio:



Le damos al menú VIEW, TREE. Ahora elegimos la primera línea...



Lo que estamos viendo en el panel izquierdo será el árbol del dominio.
Tenemos que ir a "CD=Deleted Objects" y seleccionar el objeto que queremos recuperar.

Una vez seleccionado el objeto vamos a BROWSE, MODIFY para modificar sus atributos de forma que indiquemos que no está borrado:



Y ahora es cuando viene la desesperación. En mi caso los textos de los atributos no coinciden con lo que se supone que tenía que ser según la nota que he indicado arriba (http://technet.microsoft.com/es-es/library/dd379509(WS.10).aspx)

He intentado indicar el atributo de entrada ISDELETED para cambiarlo por DISTINGUISEDNAME pero ha sido imposible. Probablemente un tema del idioma. También puede ser que estos atributos sean diferentes en mi Windows2003 (observar que la nota hace referencia a Windows2008).

Por eso no le dediqué a esto ni 2 minutos y pasé a lo fácil (la opción recomendada).

Saludos.

2 comentarios:

pokemon kamikaze dijo...

Sí, sí. Pues si ahora te quejas de que no tienes tiempo, qué será de aquí a pocos días. Aprovecha y realiza una sesión maratoniana de house, perdidos, dexter, heroes, etc. antes del cambio de hora. Y no es que llegue el fin del mundo, ya sabes.

Aitor Iriarte dijo...

Que razón tienes pokemon. Estoy a tope con el carpe diem por lo que pueda venir :D