用户或计算机密码被批量重置后的紧急恢复

在某些场景下，管理员可能意外大批量重置了用户密码或计算机密码，比如直接删除了只读域控计算机账户且忽略了删除警告（如下图），导致在此RODC上缓存的用户和计算机的密码被重置。

如果是用户，可以手动重置这些用户密码并要求下次登录更改密码来快速解决，但计算机就麻烦了，因为需要退域再加域的方法进行处理，这需要到每台客户端处理，如果有大量计算机密码被重置，这工作量难以想像。

针对这种情况，如果有备份，可以进入目录服务还原模式 (DSRM) 模式下进行相应计算机和用户的权威还原，但这个操作非常繁琐，为了避免其间的误操作导致整个域出现问题，多半你不敢也不会采用这种方式，这里介绍一种已验证过的可以安全应对这种灾难场景的方法，一切都在图形界面下完成，安全没有密码重置盘怎么办，不用担心对域产生二次伤害。

基本思路是利用临时的veeam备份服务器作为摆渡，先把从备份完整恢复的应急隔离DC备份到veeam备份服务器，然后veeam备份服务器与此应急DC断开，接入生产环境，把相应的用户和计算机恢复到生产环境DC。

这种方法的前提要求是：有最近的AD备份或AD虚拟机快照也行，最好是头一天的，不要超过一周，因为默认情况下计算机密码会周期性更新，备份太旧，恢复的密码与客户端的密码也对应不上（除非之前应用了禁止计算机更改密码策略），恢复也没用。

注意：大部分备份软件可以进行AD对象属性级的恢复，比如恢复用户的电话号码，但不能恢复密码，有些号称可以恢复密码的实际是利用AD回收站功能，也就是这些对象删除后才有用，上面我们说的这种情况对象密码重置前该对象并没有被删除没有密码重置盘怎么办，所以恢复无效，不然也用不着veeam来进行摆渡。

这里说的大部分备份软件不包括veeam，如果你碰巧用的veeam备份AD，那直接采用2.4节的方法应急恢复即可。

更多内容请扫描下图。