ad域过期用户删除

删除AD过期账户如何使用dsquery命令删除AD过期计算机对象?当使用以下命令删除AD中testOU下的过期计算机对象时，会将testOU下的子OU也删除，请问加什么参数可以避免此问题？dsquery computer -inactive 4 | dsrm -subtree -exclude -nopromptou=test,dc=exc,dc=com回答：根据您的描述，我了解到你想知道如何通过dsquery结合dsrm删除testOU 下的过期计算机对象，而不删除子OU。

根据我的研究，这个命令是无法实现您的需求的。

建议您通过脚本导出过期的计算机到CSV文件，再遍历这个CSV文件进行删除。

下面的链接供您参考：Get Inactive Computer in Domain based on Last Logon Time Stamphttps:///scriptcenter/Get-Inactive-Compu ter-in-54feafde根据您的需要修改相应的参数，脚本中DaysInactive = 90 即90天未和域控通信。

Bulk Delete computers in Active Directoryhttps:///scriptcenter/Bulk-Delete-comput ers-in-24819345我的需求是指针对testOU进行筛选和删除，而不是扫描整个域。

您提供的脚本貌似是针对整个域进行筛选的。

并且，当我使用这个脚本将过期用户导出来后，能达到自动删除这些对象么？还是对着csv文件手动删除？我们可以修改脚本，添加参数-SearchBase 指定OU, 进行导出。

Get-ADComputer -SearchBase“OU=testOU,DC=exc,DC=com” -Filter {LastLogonTimeStamp -lt $time} -P roperties LastLogonTimeStamp上面回复中，已给出遍历CSV文件批量删除计算机账号的脚本链接https:///scriptcenter/Bulk-Delete-comput ers-in-24819345您需要根据需要做相应的调整，以及CSV文件内容的格式。

AD域用户删除后恢复
首先我们登陆一下TEST账户邮箱是有邮件的。

下面我们就把用户删除，域用户删除后邮箱也会同步删除的！但是EXCHANGE默认保留30天的时间可以恢复。

删除用户后在登陆会出现找不到用户
恢复使用自带的LDP工具恢复。

首先连接到服务器
连接-绑定
选项-控制-预定义加载选择Return recycle object
查看-树-选择你的域名
找到Deleted Objects-双击打开
找到TEST账户-右击修改
修改有两步骤
1先删除，属性:isdeleted操作:删除
2替换属性: distinguishedname值: CN=test,CN=users,DC=bigbigsun,DC=com操作:替换
运行完成后右侧状态栏中会显示成功
这时候我们在AD用户和计算机里面会发现原先的TEST用户已经恢复。

禁用状态需要手动更改密码和启用账户
恢复邮件
打开EMC管理控制台---收件人---邮箱---更多---连接邮箱---TEST---连接
选择：是，连接到上面显示的用户账户。

这里我们也可以选择连接其他用户。

比如员工离职邮箱删除后新员工来交接它的工作需要之前的邮件，这样原用户的邮件都会同步到新账户里面。

测试在登陆TEST账户看看邮件恢复了没。

AD域账号和Exchange用户的误删除恢复Ad账号和exchange账号误删除的恢复在一个使用Microsoft Server的企业中，DNS是根本，AD应该就是基础，而Exchange是最常见的应用了。

这些都是企业业务的保证，所以为了保证这些最基础和最重要的，很多企业都是花了不少心思。

最起码的是做了ntbackup，大型的企业可能要上SAN、磁盘阵列、磁带机等等了。

那么如果我们真的不小心删除了一个用户，想要尽快的恢复此用户，该怎么办呢？也许给为想到的就是赶快从备份中恢复吧~！其实不然，微软早就为我们想到了这些东西，将我们的账户信息和邮箱都做了暂时的备份。

我们先来介绍下AD 账户的恢复。

活动目录对象如果被删除，其实系统并没有直接将其彻底删除，而是放在了一个不可见的CN中，这个CN名字就叫delete object。

被删除的账户会在里面待60天（默认）。

在这个期限内你都是可以进行对里面的对象进行恢复。

这里需要使用到一个工具LDP（当然那还有很多工具，例如ntdsutil 工具还可以对超过60天的用户进行恢复，前提是做了ntbackup）。

这个工具可以在windows 2003 自带的support工具里找到。

1、打开LDP工具，点击“Connection”-“Connect",在connect对话框中填入”server“，可以是FQDN，也可以是IP地址。

点击OK。

成功后可以在右边栏看到连入DC的相关信息。

2、点击”Connection“，选择"Bind”，填入用户名、密码、域名，点击OK。

右边栏信息会看到验证的信息。

3、选择“Option”-"Controls“，在”Local Predefined“ 下拉列表中选择”Return deleted objects"，然后观察“Active Controls”会出现1.2.840.113556.1.4.417，这个号码是管理信息库所识别的一个ID，代表一个对应的删除对象。

删除WindowsAD域控制器的三种方法一、域控可以正常工作1、删除辅助域控：单击“开始”，单击“运行”，然后键入以下命令：dcpromo /forceremoval然后按提示操作。

2、删除主域控：1)打开Active Directory 用户和计算机->Domain Controllers,右键点击所要删除的辅助域控,在菜单上选择删除.确定删除这台域控制器永远为脱机并且不再能用，运行Active Directory 安装向导（dcpromo）将其降级确定删除然后到控制面板-->管理工具-->AD站点和服务-->Sites-->Default-First-Site-Name-->servers下面找到其他的辅助域服务器在删除备份域服务器前先要把其下面的NTDS Settings删除；他会有3种选择：1.域控制器降级，继续当计算机使用2.重新开启AD复制3.这台域控制器永远为脱机并且不再能用Active Directory 安装向导（dcpromo）将其降级。

删除NTDS Settings以后就可以把辅助域服务器删除掉了。

二、某台辅助域控已经不可用：在主域控上使用ntdsutil来清除无效的域控，具体操作方法可以参考下面的链接：/kb/216498/zh-cn三、上面使用的是Microsoft推荐的标准方法，但我发现使用图形界面也能彻底删除已经彻底损坏的域控。

到管理工具-->AD站点和服务-->Sites-->Default-First-Site-Name-->servers下面找到其他的辅助域服务器在删除备份域服务器前先要把其下面的NTDS Settings删除；再删除DNS服务器中所有记录并重启，也能够彻底删除掉废弃的域控。

但如果不重启主域控，则不能使用原域控的主机名作为新域控来重新加入。

在主流后缀域名资源日益枯竭的今天，想通过手工注册到精品域名已非常困难，域名价值也如古董一般越来越受到广大民众的认可，精品域名的惜售和天价成了常态，收购代价和难度越来越大。

这种情况下，催生了域名删除的抢注业务。

一些早期注册的域名，由于各种原因，到期后未续费而被注册局删除释放，这其中不乏精品，一旦被删除后任何人均可注册。

1、域名过期删除的三个阶段域名过期未续费并不会马上进行删除，而是需要经历三个阶段。

1.REGISTRAR-HOLD注册商保留期。

0-45天。

也就是说在域名过期后的45天内，注册商会保留你的域名，你可以通过自主续费来将域名恢复到正常状态。

但是很多注册商并不是完全遵守这一规则，往往在过期30天后，即不可以自主续费，而需要向注册商赎回。

2.REDEMPTION-PERIOD赎回期。

国际域名为30天，国内域名为15天。

在这段时期内，域名所有者可以通过支付高昂的赎回费用将域名恢复正常。

3.PENDING-DELETE删除未决期。

国际域名为6天，国内域名为0天。

即域名已经进入删除列表，等待系统删除。

一旦进入这一阶段，这个域名已经与原米主Say bye bye了，已无法挽回。

根据上面的这三个时期，国际域名从过期到删除释放，供再次注册的时间，一般约80天左右，而国内域名是60天。

但是，对域名投资者而言，需要注意的有三个地方，其一是注册商保留期并不一定是按照规则来的，虽说有45天的注册商保留期，但实际上很多注册商只提供30天的注册保留时间;其二是域名删除时间，并非严格按照上述各阶段的时间叠加而来，相信有预订域名经历的人都碰到过，有的时候到期了迟迟未删，而有的时候又会提前。

所以，当看中了某个域名时，请在删除期前后一周，多查一查域名删除列表吧。

其三，是注册商一般会对过期的域名自动续费一年，等待域名持有人的续费，如果持有人未在期限内续费，则会删除续费，使域名进入删除期，因此有时候我们查询某个域名时，明明知道没有续费，可是其过期时间仍延长了一年，就是这种原因。

正常卸载AD时的常见问题在实际⼯作中有时我们需要改变服务器⾓⾊，或者将实验中安装的DC回复到普通成员/独⽴服务器⾝份，这就要进⾏AD的卸载。

1、卸载时会提⽰给新的本地管理员设置密码2、附加DC卸载后，仍在域中。

3、如果AD不能卸载，应从以下⼏⽅⾯考虑：（1）⽹卡是否正常⼯作 即使你整个林中只有⼀台计算机，也要保证⽹卡正常⼯作，才能将AD卸载。

⽹卡不⼯作或禁⽤⽹卡都会导致AD⽆法卸载，提⽰“卸载SYSVOL⽂件夹出错”。

（2）权限 权限要求与安装AD时类似，若⼀个林中只有⼀个域，那么你要卸载的就是林根域，需要林管理员（Enterprise Admins）权限；卸载附加DC需要该域的域管理员（Domain Admins）权限；卸载⼦域或树，涉及到林结构的改变，也需要林管理员权限。

（3）DNS ⼀般应保证与安装时所⽤DNS⼀致。

如果做了DNS规划，必须保证（2）中权限所要求的管理员⾝份能通过DNS找到相应DC，进⾏验证。

（4）域命名主控 卸载时只要涉及到林结构的改变，就需要保证域命名主控有效；卸载附加DC时不要求域命名主控有效。

但要注意的是：卸载时，域命名主控失效的出错信息与安装时的“AD⽆法与域命名主机xxx联系”提⽰不同，具体是：由于以下原因，操作失败。

以提供的凭据绑定到服务器xxx失败。

“RPC服务器不可⽤”。

（5）卸载的顺序 与安装顺序相反，应该先逐级卸载下⾯的⼦域，最后卸载树根域、林根域。

否则将导致⼦域⽆法卸载，⽽存在的⼦域还有问题，找不到林根域、树根域了。

因为这时极有可能架构和域命名主控及GC未转移，林管理员组和架构管理员组（Schema Admins）已经随林根域的删除⽽没有了。

为什么这么说呢？因为如果管理员考虑到主控及GC等的转移问题，也就不会误删除林根域了。

如果按照上例的要求，还是⽆法正常卸载AD，且出错提⽰未提到DNS⽅⾯的故障。

考虑本机上已安装有的应⽤程序，你还不想重做系统，可考虑使⽤如下办法。

域控制器降级失败后如何删除AD中的数据1. 单击“开始”，指向“程序”，指向“附件”，然后单击“命令提示符”。

2. 在命令提示符处，键入ntdsutil，然后按 Enter 键。

3. 键入metadata cleanup，然后按Enter 键。

根据所给出的选项，管理员可以执行删除操作，但在实施删除之前还必须指定另外一些配置参数。

4. 键入connections，然后按 Enter 键。

此菜单用于连接将发生这些更改的具体服务器。

如果当前登录的用户没有管理权限，可以在建立连接之前指定要使用的替代凭据。

为此，请键入set creds DomainNameUserNamePassword，然后按Enter 键。

如果密码为空，则键入null 作为密码参数。

5. 键入connect to server servername，然后按 Enter 键。

然后出现一条确认消息，说明已成功建立该连接。

如果出现错误，则确认连接中所用的域控制器是否可用，以及您提供的凭据对该服务器是否有管理权限。

注意：如果尝试连接的服务器正是要删除的服务器，那么在尝试删除第15 步提到的服务器时，将显示以下错误信息：Error 2094. The DSA Object cannot be deleted0x20946. 键入quit，然后按 Enter 键。

将出现清除元数据菜单。

7. 键入select operation target，然后按 Enter 键。

8. 键入list domains，然后按Enter 键。

将显示一个列出目录林中所有域的列表，每一个域都有一个关联的编号。

9. 键入select domain number，然后按 Enter 键；其中number是与要删除的域相关联的编号。

您选择的域用于确定要删除的服务器是否为该域的最后一个域控制器。

10. 键入list sites，然后按Enter 键。

将显示一个站点列表，每个站点都有一个关联的编号。

用户登录报错/加域报错（1）操作失败,因为向进行添加/修改而提供的SPN值不是全林唯一的。

(1)（2）此工作站和主域间的信任关系失败 (1)（3）服务器上的安全数据库没有此工作站信任关系的计算机帐户 (2)（4）掉域，脱域的原因 (3)（1）操作失败,因为向进行添加/修改而提供的SPN值不是全林唯一的。

原因：要加域的电脑，使用的计算机名称已经存在了。

解决：①在AD用户和计算机工具里面删除这个计算机名称，即可重新使用此计算机名称加域。

（同步的时间可能长一点。

删掉之后，电脑重启，等几分钟，再加域）②直接更换一个新的计算机名称。

（2）此工作站和主域间的信任关系失败问题：已经加域的电脑，有时候用户登录了，显示如上报错。

原因：此电脑掉域，就是此电脑跟公司域控服务器的连接的安全隧道损坏了，要重新建立安全隧道。

（造成掉域的，方式很多，如下标题会有提出掉域的形式）解决方法：方法1：使用此电脑的本地管理员进去，进行退域，再重新加域。

方法2：用本地管理员进去。

用命令修复安全通道。

管理方式打开powershell输入：（快捷方式：win+X 选择管理员方式powershell）Test-ComputerSecureChannel -Credential 域名前缀\账号 -Repair域名前缀\账号：具有加域的账号进行修复。

检测安全隧道有没有修复成功：使用此命令Test-ComputerSecureChannel（即可判断是否加域成功）（3）服务器上的安全数据库没有此工作站信任关系的计算机帐户问题描述：用户锁屏之后，或者登录账号显示服务器上的安全数据库没有此工作站信任关系的计算机帐户。

原因：①在域控服务器中，删除了此计算机对象。

②在域控服务器中，使用netdom命令给计算机重新命名了。

导致计算机与域控的安全通道受损。

（一般重启电脑可以解决）解决方式：进入本地管理员帐号，退域重新加域。

（4）掉域，脱域的原因掉域脱域的原因：一般是由于客户端电脑和域控之间联系的安全通道损坏。

自动化清理AD域中非活动用户当员工离职时，他们的帐户仍会保留在Active Directory（AD域）中，如果不刻意关注则较难发现。

该帐密一直保存，这也成为了潜在危害。

为了安全起见，企业应对不活动或过期用户帐户进行清理。

Microsoft允许管理员使用用户和计算机（ADUC）工具中的查询功能来跟踪不活动用户。

管理员可以创建一个查询，并根据上次登录时间设置该账户闲置情况，如图1所示。

图1. Microsoft查询功能列出非活动用户从非活动用户列表中可以看到，管理员可以为单个用户执行任务，如“禁用帐户”、“重置帐户”和“移动账户”。

但如果要进行批量用户操作则会受到限制，也无法将历史操作数据生成报告通知您。

如图2所示。

图2.可以使用ADUC工具对非活动用户帐户执行操作完美的解决方案可以使管理员做到这些：1、针对特定时间未登录用户生成“非活动用户”报告。

如图3所示。

图3.在ADManager Plus中生成“非活动/休眠用户”报告2、以易用的格式导出报告（CSV/PDF/XLSX/HTML/CSVDE..），方便管理员采取管理操作，包括批量管理、增删改查等。

如图4所示。

图4.在ADManager Plus中对用户帐户执行批量修改3、每天或每周自动生成AD报表，然后将其发送至您邮箱中。

4、自动化日常任务：您可以自己配置一个策略，该策略可以从“不活动用户”报表中获取帐户，并自动移动到单独OU，被禁用后，如果仍处于不活动状态，后续可以自动删除。

如图5所示。

图5.在ADManager Plus中配置自动化策略这就是关键，ADUC无法完成上述所有任务，但是ADManager Plus却可以。

正常情况下，ADUC只能对单个AD账户进行管理，而使用ADManager Plus，管理员可以直接从报表中对多个帐户进行批量操作，如增删改查，还可以为多个用户重置密码，自主配置计划清除不活动用户。

这样不仅大大简化了管理员的工作，也能让管理员专注其它任务。

ad域常用命令AD域常用命令AD域（Active Directory Domain）是Windows操作系统中常用的一种目录服务，用于管理网络中的用户、组、计算机等资源。

在AD 域中，管理员可以使用一系列的命令来管理和配置域中的对象。

本文将介绍AD域常用的一些命令，并对其功能和用法进行详细说明。

一、查询命令1. dsquery：用于查询AD域中的对象。

可以通过指定不同的参数来查询用户、组、计算机等对象。

例如，使用dsquery user命令可以查询AD域中的用户账户。

2. dsget：用于获取AD域中对象的详细信息。

与dsquery命令类似，可以指定不同的参数来获取用户、组、计算机等对象的详细属性。

例如，使用dsget user命令可以获取用户账户的详细信息。

3. net user：用于管理AD域中的用户账户。

可以通过指定不同的参数来创建、删除、修改用户账户的属性。

例如，使用net user命令可以创建新的用户账户。

4. net group：用于管理AD域中的组对象。

可以通过指定不同的参数来创建、删除、修改组对象的属性。

例如，使用net group命令可以创建新的组对象。

5. net computer：用于管理AD域中的计算机对象。

可以通过指定不同的参数来创建、删除、修改计算机对象的属性。

例如，使用net computer命令可以加入计算机到AD域中。

二、配置命令1. dsa.msc：用于打开AD域的管理工具。

可以通过运行dsa.msc命令来打开AD域用户和计算机的管理界面，从而可以进行各种配置和管理操作。

2. dcdiag：用于检测AD域中的域控制器的健康状态。

可以通过运行dcdiag命令来检测域控制器的运行情况，以及是否存在异常或错误。

3. repadmin：用于管理AD域中的复制操作。

可以通过指定不同的参数来查看、配置和监控域控制器之间的复制关系和复制状态。

4. nltest：用于测试AD域中的网络连接和认证。

误删除域用户后提示：过期凭据，避免桌面改变的最佳解决办法症状：
不小心将某个域用户给删除了，用户重新登陆域后弹出提示：“Windows需要您的当前凭据，请锁定这台计算机，然后用最近的密码或智能卡解除锁定。

有关详细信息，请单击图标”
单击图标后，提示：“过期的凭据，Ｗindows需要您的当前凭据以确保网络连接”
解决：
１、在域控制器上重新新建原来的帐户；
２、用域管理员登陆该用户电脑，并取消“隐藏受保护的操作系统文件”和选择“显示所有文件和文件夹”
３、右键“我的电脑”，选择“属性”-“高级”-用户配置文件-设置，选中原来的帐户配置文件，点“复制到”-浏览-选择“Ｄefault User”-确定。

４、复制好后，再用新建的原帐户登陆域，即可加载回起初的配置文件，桌面也不会改变的。

dsrm命令批量删除AD域用户dsrm命令可以批量删除AD域用户，或批量删除禁用的AD域账户一、 dsrm命令删除AD域用户1.dsrm命令详细解释dsrm命令语法：dsrm UDN -noprompt -c其中 UDN 表示用户的识别名称-noprompt 表示删除过程中不提示信息-c 表示删除域账户过程中，遇到警告，错误继续执行命令dsrm不但可以删除域用户，还能删除域里的OU，组，联系人等，只要把UDN换成相应的ObjectDN即可2.dsrm命令删除AD域用户以删除域用户，还能删除域里的OU，组，联系人等，只要把UDN换成相应的ObjectDN即可。

dsrm命令删除AD域用户二、 dsquery user 命令查询AD域账户1.dsquery user 命令详细解释dsquery user 命令语法：dsquery user -name 查询用户的UDN-name 查询用户的UDN2.首先使用dsquery user命令,制作一份要删除账户的名单dsquery user -disabled | Export-CSV "c:\tools\DisabledAccountlist.txt" -NoTypeInformation -Encoding UTF8除了使用表格批量删除域账户外，dsrm还可以从管道获取要删除的域账户，下面分享两个常用的功能…三、批量删除AD域中禁用的账户可以使用下面的命令:dsquery user -disabled | dsrm -noprompt -c四、批量删除长期未登录用户可以使用下面的方法删除。

dsquery user -inactive 120 | dsrm -noprompt -c-inactive 表示多少周没有登录过-inactive 120 就是域用户120周没有登录过以上适用于windows server 2008, server 2012, server 2016/2019等域控服务器上，并以管理员的身份打开CMD界面。

如何在AD 中还原已删除的用户帐户及其组成员身份您可以使用三种方法还原已删除的用户帐户、计算机帐户和安全组。

这些对象统称为安全主体。

在所有这三种方法中，都是先对已删除的对象执行授权还原，然后再还原已删除安全主体的组成员身份信息。

还原已删除对象时，您必须还原受影响安全主体先前的member和memberOf属性值。

这三种方法如下：∙方法1：还原已删除的用户帐户，然后使用Ntdsutil.exe 命令行工具将已还原的用户添加到原来的组中（仅限Microsoft Windows Server 2003 Service Pack 1 [SP1]）∙方法2：还原已删除的用户帐户，然后将已还原用户添加至原来的组中∙方法3：对已删除的用户帐户和已删除的用户所在的安全组执行两次授权还原方法 1 和 2 可为域用户和管理员提供更好的体验，因为它们会保留自上次备份系统状态到发生删除这段时间内向安全组中添加的用户。

方法 3 不对安全主体进行个别调整，而是将安全组成员身份回滚到上次备份时的状态。

如果您不具有有效的系统状态备份，而且发生删除的域包含基于Windows Server 2003 的域控制器，您可以手动或以编程方式恢复已删除的对象。

您也可以使用Repadmin 实用工具来确定删除用户的时间和位置。

多数大规模删除都是意外发生的。

Microsoft 建议您采取一些措施，以防他人批量删除对象。

注意：要避免意外删除或移动对象，可以向每个对象的安全描述符中添加两个Deny 访问控制项(ACE)。

要在Windows 2000 Server 和Windows Server 2003 中执行此操作，请使用―Active Directory 用户和计算机‖、ADSIEdit、LDP 或DSACLS命令行工具。

在Windows Server 2008 中，―Active Directory 用户和计算机‖管理单元的―对象‖选项卡上包括一个―防止对象被意外删除‖复选框。

AD域恢复误删的用户账号在AD域中，有时候管理员误删了用户，而有一些权限或服务需要特定的用户，那么我们怎么恢复误删的用户呢？这时，我们可以使用服务器自带的工具ldap来恢复。

以下的方法只能恢复用户名称和SID号，该用户的其他属性会清空，恢复时时，用户是禁用状态的。

首先我删除了一个用户。

然后在开始运行》输入cmd。

打开命令提示符，输入ldp命令之后回车！再ldp界面上面点击》连接，选择》绑定，如下图：出现如下窗口，点击确定。

如下图：在该窗口选择》选项，点击》控制，如下图：在控制界面的》预定于加载下拉框，选择》Return deleted objects如下图：然后点击》查看，选择》树在树视图中输入自己的ADDS，我这里是：DC=hailin，DC=com，如下图：然后会出现左边的列表，展开列表，双击CN=Deleted Objects，DC=hailin，DC=com；这里存放已经删除的对象，如下图：下面显示所有删除的系统用户；找到自己删除的用户的名字，然后右键，点击修改。

如下图：在弹出的界面的“编辑条目属性”输入isDeleted的属性。

操作选择“删除”，然后点击输入。

这个操作是把已经删除的用户的属性删掉，等于该用户没有删掉。

然后在添加条目，distinguishedName，值：CN=误删用户,CN=Users,DC=hailin,DC=com 这条命令需要看自己的实际情况，用户如果不是在默认的Users里面，而是在其他组织单元里面，需要修改相应的目录，比如该用户在，研发部/测试部里面，那么需要这样填写：CN=用户名,OU=测试部,OU=研发部,DC=hailin,DC=com选择替换，然后点击输入，如下图所示：然后点击界面下面的扩展，再点击运行，如下图所示:这时会看到有边的界面已经显示执行的信息了，如下图：打开Active Directory用户和计算机，这时会看到删除的用户，已经恢复出来了，如下图：默认恢复的用户是禁用的，而且该用户的属性都是清空的，需要手动添加属性。