次の方法で共有

Active Directory で削除されたユーザー アカウントとそのグループ メンバーシップを復元する方法

この記事では、Active Directory で削除されたユーザー アカウントとグループ メンバーシップを復元する方法について説明します。

元の KB 番号: 840001

はじめに

削除されたユーザー アカウント、コンピューター アカウント、セキュリティ グループを復元するには、いくつかの方法を使用できます。 これらのオブジェクトは、まとめてセキュリティ プリンシパルと呼ばれます。

最も一般的な方法は、Windows Server 2008 R2 以降に基づいてドメイン コントローラーでサポートされている AD ごみ箱機能を有効にすることです。 有効にしてオブジェクトを復元する方法など、この機能の詳細については、「 Active Directory のごみ箱のステップ バイ ステップ ガイドを参照してください。

このメソッドを使用できない場合は、次の 3 つのメソッドを使用できます。 3 つの方法すべてで、削除されたオブジェクトを権限を持って復元した後、削除されたセキュリティ プリンシパルのグループ メンバーシップ情報を復元します。 削除されたオブジェクトを復元する場合は、影響を受けるセキュリティ プリンシパルの member 属性と memberOf 属性の以前の値を復元する必要があります。

Note

Active Directory で削除されたオブジェクトの回復は、Windows Server 2008 R2 以降に基づいてドメイン コントローラーでサポートされている AD ごみ箱機能を有効にすることで簡略化できます。 有効にしてオブジェクトを復元する方法など、この機能の詳細については、「 Active Directory のごみ箱のステップ バイ ステップ ガイドを参照してください。

詳細

方法 1 と 2 では、ドメイン ユーザーと管理者のエクスペリエンスが向上します。 これらの方法では、最後のシステム状態バックアップから削除が発生した時刻までの間に行われたセキュリティ グループへの追加が保持されます。 方法 3 では、セキュリティ プリンシパルを個別に調整しません。 代わりに、セキュリティ グループメンバーシップを前回のバックアップ時の状態にロールバックします。

ほとんどの大規模な削除は誤って行われます。 他のユーザーがオブジェクトを一括で削除できないようにするには、いくつかの手順を実行することをお勧めします。

Note

オブジェクト (特に組織単位) が誤って削除または移動されないようにするには、各オブジェクトのセキュリティ記述子に 2 つの Deny アクセス制御エントリ (ACE) (DENY DELETE & DELETE TREE) を追加し、1 つの Deny アクセス制御エントリ (ACE) を各オブジェクトの PARENT のセキュリティ記述子 (DENY DELETE CHILD) に追加できます。 これを行うには、Active Directory ユーザーとコンピューター、ADSIEdit、または DSACLS コマンド ライン ツールを使用します。 組織単位の AD スキーマの既定のアクセス許可を変更して、これらの ACE が既定で含まれるようにすることもできます。

たとえば、 CONTOSO.COM と呼ばれる組織単位が、 MyCompany と呼ばれる親組織単位から誤って移動または削除されないように保護するには、次の構成を行います。

MyCompany組織単位の場合は、Everyone の DENY ACE を追加して、DELETE CHILD This オブジェクトのみスコープに追加します。

DSACLS "OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:DC"/

ユーザー組織単位の場合は、deny ACE for Everyone を追加して、 DELETE と DELETE TREE This オブジェクトのみ スコープに追加します。

DSACLS "OU=Users,OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:SDDT"

Windows Server 2008 のActive Directory ユーザーとコンピューター スナップインには、[Object] タブの [Protect object from accidental deletion] チェック ボックスが含まれています。

Note

[Advanced Features]チェック ボックスをオンにして、そのタブを表示する必要があります。

Windows Server 2008 でActive Directory ユーザーとコンピューターを使用して組織単位を作成すると、誤って削除された Protect コンテナー チェック ボックスが表示されます。 既定では、チェック ボックスがオンになっているので、選択を解除できます。

Active Directory のすべてのオブジェクトは、これらの ACE を使用して構成できますが、組織単位に最適です。 すべてのリーフ オブジェクトの削除または移動は、大きな影響を与える可能性があります。 この構成により、このような削除や移動が防止されます。 このような構成を使用してオブジェクトを実際に削除または移動するには、最初に Deny ACE を削除する必要があります。

この記事では、Active Directory から削除されたユーザー アカウント、コンピューター アカウント、およびグループ メンバーシップを復元する方法について説明します。 このシナリオのバリエーションでは、ユーザー アカウント、コンピューター アカウント、またはセキュリティ グループが個別または組み合わせて削除されている可能性があります。 いずれの場合も、同じ初期手順が適用されます。 誤って削除されたオブジェクトを、権限を持って復元 (認証復元) します。 削除されたオブジェクトの中には、復元する必要がある作業が増えるものもあります。 これらのオブジェクトには、他のオブジェクトの属性のバック リンクである属性を含むユーザー アカウントなどのオブジェクトが含まれます。 これらの属性のうち、 managedBymemberOfの 2 つがあります。

ユーザー アカウント、セキュリティ グループ、コンピューター アカウントなどのセキュリティ プリンシパルをセキュリティ グループに追加すると、Active Directory で次の変更が行われます。

  1. セキュリティ プリンシパルの名前が、各セキュリティ グループのメンバー属性に追加されます。
  2. ユーザー、コンピューター、またはセキュリティ グループがメンバーになっているセキュリティ グループごとに、セキュリティ プリンシパルの memberOf 属性にバック リンクが追加されます。

同様に、ユーザー、コンピューター、またはグループが Active Directory から削除されると、次のアクションが発生します。

  1. 削除されたセキュリティ プリンシパルは、削除されたオブジェクト コンテナーに移動されます。
  2. memberOf属性を含むいくつかの属性値は、削除されたセキュリティ プリンシパルから削除されます。
  3. 削除されたセキュリティ プリンシパルは、メンバーであったすべてのセキュリティ グループから削除されます。 つまり、削除されたセキュリティ プリンシパルは、各セキュリティ グループのメンバー属性から削除されます。

削除されたセキュリティ プリンシパルを回復し、そのグループ メンバーシップを復元する場合は、そのグループ メンバーシップを復元する前に、各セキュリティ プリンシパルが Active Directory に存在している必要があります。 メンバーは、ユーザー、コンピューター、または別のセキュリティ グループである可能性があります。 この規則をより広く言い直すには、前方リンクを含むオブジェクトを復元または変更する前に、戻りリンクの値を持つ属性を含むオブジェクトが Active Directory に存在している必要があります。

この記事では、削除されたユーザー アカウントとそのセキュリティ グループのメンバーシップを回復する方法について説明します。 その概念は、他のオブジェクトの削除にも同様に適用されます。 この記事の概念は、Active Directory 内の他のオブジェクトへの前方リンクとバック リンクを使用する属性値を持つ削除されたオブジェクトにも同様に適用されます。

3 つの方法のいずれかを使用して、セキュリティ プリンシパルを回復できます。 方法 1 を使用する場合は、フォレスト全体の任意のセキュリティ グループに追加されたすべてのセキュリティ プリンシパルをそのまま使用します。 また、それぞれのドメインから削除されたセキュリティ プリンシパルのみをセキュリティ グループに追加します。 たとえば、システム状態のバックアップを作成し、セキュリティ グループにユーザーを追加してから、システム状態のバックアップを復元します。 方法 1 または 2 を使用する場合、システム状態バックアップが作成された日付からバックアップが復元された日付までの間に、削除されたユーザーを含むセキュリティ グループに追加されたすべてのユーザーを保持します。 方法 3 を使用する場合は、削除されたユーザーを含むすべてのセキュリティ グループのセキュリティ グループ メンバーシップを、システム状態のバックアップ時にその状態にロールバックします。

方法 1 - 削除されたユーザー アカウントを復元し、Ntdsutil.exeコマンド ライン ツールを使用して復元したユーザーをグループに戻す

Ntdsutil.exeコマンドライン ツールを使用すると、削除されたオブジェクトのバックリンクを復元できます。 権限のある復元操作ごとに 2 つのファイルが生成されます。 1 つのファイルには、権限を持って復元されたオブジェクトの一覧が含まれています。 もう 1 つのファイルは、Ldifde.exe ユーティリティで使用される .ldf ファイルです。 このファイルは、権限を持って復元されたオブジェクトのバックリンクを復元するために使用されます。 ユーザー オブジェクトの権限のある復元では、グループ メンバーシップを持つ LDAP データ交換形式 (LDIF) ファイルも生成されます。 このメソッドは、二重の復元を回避します。

このメソッドを使用する場合は、次の大まかな手順を実行します。

  1. ユーザーのドメイン内のグローバル カタログが削除でレプリケートされていないかどうかを確認します。 その後、そのグローバル カタログがレプリケートされないようにします。 潜在的なグローバル カタログがない場合は、削除されたユーザーのホーム ドメインでグローバル カタログ ドメイン コントローラーの最新のシステム状態バックアップを見つけます。
  2. 削除されたすべてのユーザー アカウントを認証で復元し、それらのユーザー アカウントのエンド ツー エンドレプリケーションを許可します。
  3. 復元されたすべてのユーザーを、削除される前に、そのユーザー アカウントがメンバーであったすべてのドメイン内のすべてのグループに戻します。

方法 1 を使用するには、次の手順に従います。

  1. 削除されたユーザーのホーム ドメインに、削除の一部をレプリケートしていないグローバル カタログ ドメイン コントローラーがあるかどうかを確認します。

    Note

    レプリケーション スケジュールの頻度が最も低いグローバル カタログに焦点を当てます。

    これらのグローバル カタログが 1 つ以上存在する場合は、Repadmin.exe コマンドライン ツールを使用して、次の手順に従って受信レプリケーションをすぐに無効にします。

    1. [スタート] を選択し、 [実行] を選択します。

    2. [開く] ボックスに「cmdを入力し、OKを選択します。

    3. コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

      repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL

      Note

      Repadmin コマンドをすぐに発行できない場合は、Repadminを使用して受信レプリケーションを無効にしてから、すぐにネットワーク接続を返すまで、潜在的なグローバル カタログからすべてのネットワーク接続を削除します。

    このドメイン コントローラーは、回復ドメイン コントローラーと呼ばれます。 このようなグローバル カタログがない場合は、手順 2 に進みます。

  2. 次のステートメントがすべて当てはまる場合は、フォレスト内のセキュリティ グループに対する変更を停止することをお勧めします。

    • 方法 1 を使用して、削除されたユーザーまたはコンピューター アカウントを識別名 (dn) パスで権限を持って復元します。
    • 削除は、潜在的な回復ドメイン コントローラーを除くフォレスト内のすべてのドメイン コントローラーにレプリケートされました。
    • セキュリティ グループまたはその親コンテナーの復元を認証していません。

    セキュリティ グループまたはユーザー アカウントをホストするセキュリティ グループまたは組織単位 (OU) コンテナーの復元を認証する場合は、これらの変更をすべて一時的に停止します。

    これらの変更の停止について、削除が発生したドメイン内のドメイン ユーザーに加えて、適切なドメインの管理者とヘルプ デスク管理者に通知します。

  3. 削除が発生したドメインに新しいシステム状態バックアップを作成します。 変更をロールバックする必要がある場合は、このバックアップを使用できます。

    Note

    システム状態のバックアップが削除時点まで最新の状態である場合は、この手順をスキップして手順 4 に進みます。

    手順 1 で回復ドメイン コントローラーを特定した場合は、ここでシステム状態をバックアップします。

    削除が発生したドメイン内のすべてのグローバル カタログが削除でレプリケートされた場合は、削除が発生したドメイン内のグローバル カタログのシステム状態をバックアップします。

    バックアップを作成すると、回復ドメイン コントローラーを現在の状態に戻すことができます。 最初の試行が成功しなかった場合は、復旧計画をもう一度実行します。

  4. ユーザーの削除が発生したドメインに潜在的なグローバル カタログ ドメイン コントローラーが見つからない場合は、そのドメイン内のグローバル カタログ ドメイン コントローラーの最新のシステム状態バックアップを見つけます。 このシステム状態バックアップには、削除されたオブジェクトが含まれている必要があります。 このドメイン コントローラーを回復ドメイン コントローラーとして使用します。

    ユーザーのドメイン内のグローバル カタログ ドメイン コントローラーの復元にのみ、外部ドメインに存在するセキュリティ グループのグローバル およびユニバーサル グループ メンバーシップ情報が含まれます。 ユーザーが削除されたドメインにグローバル カタログ ドメイン コントローラーのシステム状態バックアップがない場合は、復元されたユーザー アカウントで memberOf 属性を使用して、グローバル またはユニバーサル グループ メンバーシップを決定したり、外部ドメインのメンバーシップを回復したりすることはできません。 さらに、グローバル カタログ以外のドメイン コントローラーの最新のシステム状態バックアップを見つけることをお勧めします。

  5. オフライン管理者アカウントのパスワードがわかっている場合は、回復ドメイン コントローラーを Disrepair モードで起動します。 オフライン管理者アカウントのパスワードがわからない場合は、回復ドメイン コントローラーがまだ通常の Active Directory モードである間、ntdsutil.exeを使用してパスワードをリセットします。

    setpwd コマンド ライン ツールを使用すると、オンライン Active Directory モードの間にドメイン コントローラーのパスワードをリセットできます。

    Note

    Microsoft は Windows 2000 をサポートしなくなりました。

    Windows Server 2003 以降のドメイン コントローラーの管理者は、Ntdsutil コマンド ライン ツールの set dsrm password コマンドを使用して、オフライン管理者アカウントのパスワードをリセットできます。

    ディレクトリ サービス復元モードの管理者アカウントをリセットする方法の詳細については、「 Windows Server でディレクトリ サービス復元モード管理者アカウントのパスワードをリセットする方法を参照してください。

  6. 起動プロセス中に F8 キーを押して、回復ドメイン コントローラーを Disrepair モードで起動します。 オフライン管理者アカウントを使用して、回復ドメイン コントローラーのコンソールにサインインします。 手順 5 でパスワードをリセットする場合は、新しいパスワードを使用します。

    回復ドメイン コントローラーが潜在的なグローバル カタログ ドメイン コントローラーである場合は、システムの状態を復元しないでください。 既に

    システム状態バックアップを使用して回復ドメイン コントローラーを作成する場合は、現在復旧ドメイン コントローラーで行われた最新のシステム状態バックアップを復元します。

  7. 認証は、削除されたユーザー アカウント、削除されたコンピューター アカウント、または削除されたセキュリティ グループを復元します。

    Note

    認証復元認証復元という用語は Ntdsutil コマンド ライン ツールで権限のある復元コマンドを使用して、特定のオブジェクトまたは特定のコンテナーとそのすべての下位オブジェクトのバージョン番号をインクリメントするプロセスを指します。 エンドツーエンドのレプリケーションが発生するとすぐに、回復ドメイン コントローラーの Active Directory のローカル コピー内の対象オブジェクトが、そのパーティションを共有するすべてのドメイン コントローラーで権限を持つ状態になります。 権限のある復元は、システム状態の復元とは異なります。 システム状態の復元では、復元されたドメイン コントローラーの Active Directory のローカル コピーに、システム状態のバックアップが行われた時点のオブジェクトのバージョンが設定されます。

    権限のある復元は Ntdsutil コマンド ライン ツールを使用して実行され、削除されたユーザーまたは削除されたユーザーをホストするコンテナーのドメイン名 (dn) パスを参照します。

    復元を認証するときは、ドメイン ツリー内で必要な数ほど低いドメイン名 (dn) パスを使用します。 目的は、削除に関連しないオブジェクトを元に戻さないようにすることです。 これらのオブジェクトには、システム状態のバックアップが作成された後に変更されたオブジェクトが含まれる場合があります。

    次の順序で、削除されたユーザーを認証復元します。

    1. 認証は、削除された各ユーザー アカウント、コンピューター アカウント、またはセキュリティ グループのドメイン名 (dn) パスを復元します。

      特定のオブジェクトの権限のある復元には時間がかかりますが、サブツリー全体の権限のある復元よりも破壊的ではありません。 認証は、削除されたオブジェクトを保持する最も低い共通の親コンテナーを復元します。

      Ntdsutil では、次の構文を使用します。

      ntdsutil "authoritative restore" "restore object <object DN path>" q q

      たとえば、Contoso.com ドメインの Mayberry OU で削除されたユーザー John Doe を権限を持って復元するには、次のコマンドを使用します。

      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q

      Contoso.com ドメインの Mayberry OU の削除されたセキュリティ グループ ContosoPrintAccessを権限を持って復元するには、次のコマンドを使用します。

      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q

      重要

      引用符の使用が必要です。

      復元するユーザーごとに、少なくとも 2 つのファイルが生成されます。 これらのファイルの形式は次のとおりです。

      ar_YYYYMMDD-HHMMSS_objects.txt
      このファイルには、権限を持って復元されたオブジェクトの一覧が含まれています。 このファイルは、ユーザーがドメイン ローカル グループのメンバーであったフォレスト内の他のドメインの ntdsutil 権限のある復元 create ldif file from コマンドと共に使用します。

      ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
      グローバル カタログで認証復元を実行すると、フォレスト内のすべてのドメインに対してこれらのファイルのいずれかが生成されます。 このファイルには、Ldifde.exe ユーティリティで使用できるスクリプトが含まれています。 スクリプトは、復元されたオブジェクトのバックリンクを復元します。 ユーザーのホーム ドメインでは、スクリプトは復元されたユーザーのすべてのグループ メンバーシップを復元します。 ユーザーがグループ メンバーシップを持つフォレスト内の他のすべてのドメインでは、スクリプトはユニバーサル グループ メンバーシップとグローバル グループ メンバーシップのみを復元します。 このスクリプトでは、ドメイン ローカル グループのメンバーシップは復元されません。 これらのメンバーシップは、グローバル カタログによって追跡されません。

    2. 認証は、削除されたユーザー アカウントまたはグループをホストする OU または共通名 (CN) コンテナーのみを復元します。

      サブツリー全体の権限のある復元は、ntdsutil 権限のある復元コマンドの対象となる OU に、権限を持って復元しようとしているオブジェクトのほとんどが含まれている場合に有効です。 ターゲット OU には、権限を持って復元しようとしているすべてのオブジェクトが含まれているのが理想的です。

      OU サブツリーに対する権限のある復元では、コンテナー内に存在するすべての属性とオブジェクトが復元されます。 システム状態のバックアップが復元された時点まで行われた変更は、バックアップ時にその値にロールバックされます。 ユーザー アカウント、コンピューター アカウント、セキュリティ グループでは、このロールバックは、次に対する最新の変更の損失を意味する可能性があります。

      • パスワード
      • ホーム ディレクトリ
      • プロファイル パス
      • location
      • 連絡先情報
      • グループ メンバーシップ
      • これらのオブジェクトと属性で定義されているセキュリティ記述子。

      Ntdsutil では、次の構文を使用します。

      ntdsutil "authoritative restore" "restore subtree <container DN path>" q q

      たとえば、Contoso.com ドメインの Mayberry OU を権限を持って復元するには、次のコマンドを使用します。

      ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q

      Note

      削除されたユーザーまたはグループをホストするピア OU ごとに、この手順を繰り返します。

      重要

      OU の下位オブジェクトを復元するときは、削除された下位オブジェクトのすべての削除された親コンテナーを明示的に認証復元する必要があります。

      復元する組織単位ごとに、少なくとも 2 つのファイルが生成されます。 これらのファイルの形式は次のとおりです。

      ar_YYYYMMDD-HHMMSS_objects.txt
      このファイルには、権限を持って復元されたオブジェクトの一覧が含まれています。 このファイルは、復元されたユーザーがドメイン ローカル グループのメンバーであったフォレスト内の他のドメインの ntdsutil 権限のある復元 create ldif file from コマンドと共に使用します。

      ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
      このファイルには、Ldifde.exe ユーティリティで使用できるスクリプトが含まれています。 スクリプトは、復元されたオブジェクトのバックリンクを復元します。 ユーザーのホーム ドメインでは、スクリプトは復元されたユーザーのすべてのグループ メンバーシップを復元します。

  8. システム状態の復元のために削除されたオブジェクトが回復ドメイン コントローラーで回復された場合は、フォレスト内の他のすべてのドメイン コントローラーにネットワーク接続を提供するすべてのネットワーク ケーブルを削除します。

  9. 通常の Active Directory モードで回復ドメイン コントローラーを再起動します。

  10. 次のコマンドを入力して、回復ドメイン コントローラーへの受信レプリケーションを無効にします。

    repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL

    システム状態が復元された復旧ドメイン コントローラーへのネットワーク接続を有効にします。

  11. 回復ドメイン コントローラーからドメイン内およびフォレスト内のドメイン コントローラーに、認証復元されたオブジェクトを送信レプリケートします。

    回復ドメイン コントローラーへの受信レプリケーションは無効のままですが、次のコマンドを入力して、認証復元されたオブジェクトをドメイン内のすべてのクロスサイト レプリカ ドメイン コントローラーとフォレスト内のすべてのグローバル カタログにプッシュします。

    repadmin /syncall /d /e /P <recovery dc> <Naming Context>

    次のステートメントがすべて当てはまる場合、グループ メンバーシップ リンクは、削除されたユーザー アカウントの復元とレプリケーションを使用して再構築されます。 手順 14 に進みます。

    Note

    次のステートメントの 1 つ以上が true でない場合は、手順 12 に進みます。

    • フォレストは、Windows Server 2003 以降のフォレスト機能レベルまたは Windows Server 2003 以降の中間フォレスト機能レベルで実行されています。
    • ユーザー アカウントまたはコンピューター アカウントのみが削除され、セキュリティ グループは削除されませんでした。
    • 削除されたユーザーは、フォレストが Windows Server 2003 以降、またはそれ以降のフォレストの機能レベルに移行された後、フォレスト内のすべてのドメインのセキュリティ グループに追加されました。

  12. 回復ドメイン コントローラーのコンソールで、Ldifde.exe ユーティリティと ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf ファイルを使用して、ユーザーのグループ メンバーシップを復元します。 これを行うには、次の手順に従います。

    • Startを選択し、実行を選択し、[開く] ボックスに「cmd」と入力し、OK を選択します。

    • コマンド プロンプトで、次のコマンドを入力して Enter キーを押します。

      ldifde -i -f ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf

  13. 次のコマンドを使用して、回復ドメイン コントローラーへの受信レプリケーションを有効にします。

    repadmin /options <recovery dc name> -DISABLE_INBOUND_REPL

  14. 削除されたユーザーが外部ドメインのローカル グループに追加された場合は、次のいずれかのアクションを実行します。

    • 削除されたユーザーを手動でそれらのグループに追加し直します。
    • システムの状態を復元し、削除されたユーザーを含む各ローカル セキュリティ グループを認証復元します。

  15. 回復ドメイン コントローラーのドメインと、他のドメインのグローバル カタログのグループ メンバーシップを確認します。

  16. 回復ドメイン コントローラーのドメイン内のドメイン コントローラーの新しいシステム状態バックアップを作成します。

  17. フォレストのすべての管理者、委任された管理者、フォレスト内のヘルプ デスク管理者、およびユーザーの復元が完了したことをドメイン内のユーザーに通知します。

    ヘルプ デスク管理者は、復元されたシステムが作成された後にドメイン パスワードが変更された認証復元されたユーザー アカウントとコンピューター アカウントのパスワードをリセットする必要がある場合があります。

    システム状態のバックアップが行われた後にパスワードを変更したユーザーは、最新のパスワードが機能しなくなったことがわかります。 このようなユーザーに、以前のパスワードがわかっている場合は、そのパスワードを使用してログオンを試みるようにします。 それ以外の場合、ヘルプ デスク管理者はパスワードをリセットし、 ユーザーが次回ログオン時にパスワードを変更する必要があります チェック ボックスをオンにする必要があります。 ユーザーが配置されているのと同じ Active Directory サイト内のドメイン コントローラーで行うことをお勧めします。

方法 2 - 削除されたユーザー アカウントを復元し、復元したユーザーをグループに戻す

このメソッドを使用する場合は、次の大まかな手順を実行します。

  1. ユーザーのドメイン内のグローバル カタログが削除でレプリケートされていないかどうかを確認します。 その後、そのグローバル カタログがレプリケートされないようにします。 潜在的なグローバル カタログがない場合は、削除されたユーザーのホーム ドメイン内のグローバル カタログ ドメイン コントローラーの最新のシステム状態バックアップを見つけます。
  2. 削除されたすべてのユーザー アカウントを認証で復元し、それらのユーザー アカウントのエンド ツー エンドレプリケーションを許可します。
  3. 復元されたすべてのユーザーを、削除される前に、そのユーザー アカウントがメンバーであったすべてのドメイン内のすべてのグループに戻します。

方法 2 を使用するには、次の手順に従います。

  1. 削除されたユーザーのホーム ドメインに、削除の一部をレプリケートしていないグローバル カタログ ドメイン コントローラーがあるかどうかを確認します。

    Note

    レプリケーション スケジュールの頻度が最も低いグローバル カタログに焦点を当てます。

    これらのグローバル カタログが 1 つ以上存在する場合は、Repadmin.exe コマンド ライン ツールを使用して、受信レプリケーションをすぐに無効にします。 これを行うには、次の手順に従います。

    1. [スタート] を選択し、 [実行] を選択します。
    2. [開く] ボックスに「cmdを入力し、OKを選択します。
    3. コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
    repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL

    Note

    Repadmin コマンドをすぐに発行できない場合は、Repadmin を使用して受信レプリケーションを無効にしてから、すぐにネットワーク接続を返すことができるまで、潜在的なグローバル カタログからすべてのネットワーク接続を削除します。

    このドメイン コントローラーは、回復ドメイン コントローラーと呼ばれます。 このようなグローバル カタログがない場合は、手順 2 に進みます。

  2. すべての回復手順が完了するまで、ユーザー アカウント、コンピューター アカウント、セキュリティ グループへの追加、削除、変更を一時的に停止する必要があるかどうかを決定します。

    最も柔軟な復旧パスを維持するには、次の項目の変更を一時的に停止します。 変更には、削除されたユーザーのグループ メンバーシップの変更に加えて、削除が発生したドメインのドメイン ユーザー、ヘルプ デスク管理者、および管理者によるパスワードリセットが含まれます。 次の項目への追加、削除、および変更を停止することを検討してください。

    1. ユーザー アカウントのユーザー アカウントと属性
    2. コンピューター アカウントとコンピューター アカウントの属性
    3. サービス アカウント
    4. セキュリティ グループ

    次のステートメントがすべて当てはまる場合は、フォレスト内のセキュリティ グループに対する変更を停止することをお勧めします。

    • 方法 2 を使用して、削除されたユーザーまたはコンピューター アカウントをドメイン名 (dn) パスで権限を持って復元します。
    • 削除は、潜在的な回復ドメイン コントローラーを除くフォレスト内のすべてのドメイン コントローラーにレプリケートされました。
    • セキュリティ グループまたはその親コンテナーの復元を認証していません。

    セキュリティ グループまたはユーザー アカウントをホストするセキュリティ グループまたは組織単位 (OU) コンテナーの復元を認証する場合は、これらの変更をすべて一時的に停止します。

    これらの変更の停止について、削除が発生したドメイン内のドメイン ユーザーに加えて、適切なドメインの管理者とヘルプ デスク管理者に通知します。

  3. 削除が発生したドメインに新しいシステム状態バックアップを作成します。 変更をロールバックする必要がある場合は、このバックアップを使用できます。

    Note

    システム状態のバックアップが削除時点まで最新の状態である場合は、この手順をスキップして手順 4 に進みます。

    手順 1 で回復ドメイン コントローラーを特定した場合は、ここでシステム状態をバックアップします。

    削除が発生したドメイン内のすべてのグローバル カタログが削除でレプリケートされた場合は、削除が発生したドメイン内のグローバル カタログのシステム状態をバックアップします。

    バックアップを作成すると、回復ドメイン コントローラーを現在の状態に戻すことができます。 最初の試行が成功しなかった場合は、復旧計画をもう一度実行します。

  4. ユーザーの削除が発生したドメインに潜在的なグローバル カタログ ドメイン コントローラーが見つからない場合は、そのドメイン内のグローバル カタログ ドメイン コントローラーの最新のシステム状態バックアップを見つけます。 このシステム状態バックアップには、削除されたオブジェクトが含まれている必要があります。 このドメイン コントローラーを回復ドメイン コントローラーとして使用します。

    ユーザーのドメイン内のグローバル カタログ ドメイン コントローラーの復元にのみ、外部ドメインに存在するセキュリティ グループのグローバル およびユニバーサル グループ メンバーシップ情報が含まれます。 ユーザーが削除されたドメインにグローバル カタログ ドメイン コントローラーのシステム状態バックアップがない場合は、復元されたユーザー アカウントで memberOf 属性を使用してグローバル またはユニバーサル グループ メンバーシップを決定したり、外部ドメインのメンバーシップを回復したりすることはできません。 さらに、グローバル カタログ以外のドメイン コントローラーの最新のシステム状態バックアップを見つけることをお勧めします。

  5. オフライン管理者アカウントのパスワードがわかっている場合は、回復ドメイン コントローラーを Disrepair モードで起動します。 オフライン管理者アカウントのパスワードがわからない場合は、回復ドメイン コントローラーがまだ通常の Active Directory モードである間にパスワードをリセットします。

    setpwd コマンド ライン ツールを使用すると、オンライン Active Directory モードの間に Windows 2000 Service Pack 2 (SP2) 以降を実行しているドメイン コントローラーでパスワードをリセットできます。

    Note

    Microsoft は Windows 2000 をサポートしなくなりました。

    Windows Server 2003 以降のドメイン コントローラーの管理者は、Ntdsutil コマンド ライン ツールの set dsrm password コマンドを使用して、オフライン管理者アカウントのパスワードをリセットできます。

    ディレクトリ サービス復元モードの管理者アカウントをリセットする方法の詳細については、「 Windows Server でディレクトリ サービス復元モード管理者アカウントのパスワードをリセットする方法を参照してください。

  6. 起動プロセス中に F8 キーを押して、回復ドメイン コントローラーを Disrepair モードで起動します。 オフライン管理者アカウントを使用して、回復ドメイン コントローラーのコンソールにサインインします。 手順 5 でパスワードをリセットする場合は、新しいパスワードを使用します。

    回復ドメイン コントローラーが潜在的なグローバル カタログ ドメイン コントローラーである場合は、システムの状態を復元しないでください。 既に

    システム状態バックアップを使用して回復ドメイン コントローラーを作成する場合は、現在復旧ドメイン コントローラーで行われた最新のシステム状態バックアップを復元します。

  7. 認証は、削除されたユーザー アカウント、削除されたコンピューター アカウント、または削除されたセキュリティ グループを復元します。

    Note

    認証復元認証復元という用語は Ntdsutil コマンド ライン ツールで権限のある復元コマンドを使用して、特定のオブジェクトまたは特定のコンテナーとそのすべての下位オブジェクトのバージョン番号をインクリメントするプロセスを指します。 エンドツーエンドのレプリケーションが発生するとすぐに、回復ドメイン コントローラーの Active Directory のローカル コピー内の対象オブジェクトが、そのパーティションを共有するすべてのドメイン コントローラーで権限を持つ状態になります。 権限のある復元は、システム状態の復元とは異なります。 システム状態の復元では、復元されたドメイン コントローラーの Active Directory のローカル コピーに、システム状態のバックアップが行われた時点のオブジェクトのバージョンが設定されます。

    権限のある復元は Ntdsutil コマンド ライン ツールを使用して実行され、削除されたユーザーまたは削除されたユーザーをホストするコンテナーのドメイン名 (dn) パスを参照します。

    復元を認証するときは、ドメイン ツリー内で必要な数ほど低いドメイン名 (dn) パスを使用します。 目的は、削除に関連しないオブジェクトを元に戻さないようにすることです。 これらのオブジェクトには、システム状態のバックアップが作成された後に変更されたオブジェクトが含まれる場合があります。

    次の順序で、削除されたユーザーを認証復元します。

    1. 認証は、削除された各ユーザー アカウント、コンピューター アカウント、またはセキュリティ グループのドメイン名 (dn) パスを復元します。

      特定のオブジェクトの権限のある復元には時間がかかりますが、サブツリー全体の権限のある復元よりも破壊的ではありません。 認証は、削除されたオブジェクトを保持する最も低い共通の親コンテナーを復元します。

      Ntdsutil では、次の構文を使用します。

      ntdsutil "authoritative restore" "restore object <object DN path>" q q

      たとえば、Contoso.com ドメインの Mayberry OU で削除されたユーザー John Doe を権限を持って復元するには、次のコマンドを使用します。

      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q

      Contoso.com ドメインの Mayberry OU の削除されたセキュリティ グループ ContosoPrintAccessを権限を持って復元するには、次のコマンドを使用します。

      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q

      重要

      引用符の使用が必要です。

      Note

      この構文は、Windows Server 2003 以降でのみ使用できます。 Windows 2000 の唯一の構文は、次を使用することにあります。

      ntdsutil "authoritative restore" "restore subtree object DN path"

      Note

      識別名パス (DN) に拡張文字またはスペースが含まれている場合、Ntdsutil の権限のある復元操作は成功しません。 スクリプト化された復元を成功させるには、 restore object <DN path> コマンドを 1 つの完全な文字列として渡す必要があります。

      この問題を回避するには、拡張文字とスペースを含む DN をバックスラッシュ二重引用符エスケープ シーケンスでラップします。 例を次に示します。

      ntdsutil "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\"" q q

      Note

      復元されるオブジェクトの DN にコンマが含まれている場合は、コマンドをさらに変更する必要があります。 次の例を参照してください。

      ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\"" q q

      Note

      オブジェクトがテープから復元され、権限がマークされ、復元が予期したとおりに機能せず、NTDS データベースを復元するために同じテープが再度使用される場合、権限を持って復元されるオブジェクトの USN バージョンを既定値の 100000 より高くする必要があります。そうしないと、2 回目の復元後にオブジェクトはレプリケートされません。 次の構文は、100000 より大きいバージョン番号をスクリプト化するために必要です (既定値)。

      ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q

      Note

      復元する各オブジェクトに対して確認を求めるプロンプトがスクリプトに表示された場合は、プロンプトをオフにすることができます。 プロンプトをオフにする構文は次のとおりです。

      ntdsutil "popups off" "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q

    2. 認証は、削除されたユーザー アカウントまたはグループをホストする OU または共通名 (CN) コンテナーのみを復元します。

      サブツリー全体の権限のある復元は、ntdsutil 権限のある復元コマンドの対象となる OU に、権限を持って復元しようとしているオブジェクトのほとんどが含まれている場合に有効です。 ターゲット OU には、権限を持って復元しようとしているすべてのオブジェクトが含まれているのが理想的です。

      OU サブツリーに対する権限のある復元では、コンテナー内に存在するすべての属性とオブジェクトが復元されます。 システム状態のバックアップが復元された時点まで行われた変更は、バックアップ時にその値にロールバックされます。 ユーザー アカウント、コンピューター アカウント、セキュリティ グループの場合、このロールバックは、パスワード、ホーム ディレクトリ、プロファイル パス、場所と連絡先情報、グループ メンバーシップ、およびそれらのオブジェクトと属性に定義されているセキュリティ記述子に対する最新の変更を失う可能性があります。

      Ntdsutil では、次の構文を使用します。

      ntdsutil "authoritative restore" "restore subtree <container DN path>" q q

      たとえば、Contoso.com ドメインの Mayberry OU を権限を持って復元するには、次のコマンドを使用します。

      ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q

      Note

      削除されたユーザーまたはグループをホストするピア OU ごとに、この手順を繰り返します。

      重要

      OU の下位オブジェクトを復元するときは、削除された下位オブジェクトのすべての削除された親コンテナーを明示的に認証復元する必要があります。

  8. システム状態の復元のために削除されたオブジェクトが回復ドメイン コントローラーで回復された場合は、フォレスト内の他のすべてのドメイン コントローラーにネットワーク接続を提供するすべてのネットワーク ケーブルを削除します。

  9. 通常の Active Directory モードで回復ドメイン コントローラーを再起動します。

  10. 次のコマンドを入力して、回復ドメイン コントローラーへの受信レプリケーションを無効にします。

    repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL

    システム状態が復元された復旧ドメイン コントローラーへのネットワーク接続を有効にします。

  11. 回復ドメイン コントローラーからドメイン内およびフォレスト内のドメイン コントローラーに、認証復元されたオブジェクトを送信レプリケートします。

    回復ドメイン コントローラーへの受信レプリケーションは無効のままですが、次のコマンドを入力して、認証復元されたオブジェクトをドメイン内のすべてのクロスサイト レプリカ ドメイン コントローラーとフォレスト内のすべてのグローバル カタログにプッシュします。

    repadmin /syncall /d /e /P <recovery dc> <Naming Context>

    次のステートメントがすべて当てはまる場合、グループ メンバーシップ リンクは、削除されたユーザー アカウントの復元とレプリケーションを使用して再構築されます。 手順 14 に進みます。

    Note

    次のステートメントの 1 つ以上が true でない場合は、手順 12 に進みます。

    • フォレストは、Windows Server 2003 以降のフォレスト機能レベル、または Windows Server 2003 以降の中間フォレスト機能レベルで実行されています。
    • ユーザー アカウントまたはコンピューター アカウントのみが削除され、セキュリティ グループは削除されませんでした。
    • 削除されたユーザーは、フォレストが Windows Server 2003 以降のフォレスト機能レベルに移行された後、フォレスト内のすべてのドメインのセキュリティ グループに追加されました。

  12. 削除されたユーザーがメンバーだったセキュリティ グループを特定し、それらのグループに追加します。

    Note

    ユーザーをグループに追加する前に、手順 7 で復元した認証を行ったユーザーと、手順 11 で送信レプリケートしたユーザーが、参照先のドメイン コントローラーのドメイン コントローラーと、フォレスト内のすべてのグローバル カタログ ドメイン コントローラーにレプリケートされている必要があります。

    グループ プロビジョニング ユーティリティを展開してセキュリティ グループのメンバーシップを再設定した場合は、そのユーティリティを使用して、削除されたユーザーを削除前のメンバーであるセキュリティ グループに復元します。 フォレストのドメインおよびグローバル カタログ サーバー内のすべての直接および推移的なドメイン コントローラーが、認証で復元されたユーザーと復元されたコンテナーを受信レプリケートした後に行います。

    ユーティリティがない場合は、 Ldifde.exe および Groupadd.exe コマンドライン ツールを使用して、回復ドメイン コントローラーで実行するときにこのタスクを自動化できます。 これらのツールは、Microsoft 製品サポート サービスから入手できます。 このシナリオでは、Ldifde.exeは、ユーザー アカウントとそのセキュリティ グループの名前を含む LDAP データ交換形式 (LDIF) 情報ファイルを作成します。 管理者が指定する OU コンテナーから開始します。 Groupadd.exe.ldf ファイルに一覧表示されている各ユーザー アカウントの memberOf 属性を読み取ります。 次に、フォレスト内のドメインごとに個別の一意の LDIF 情報を生成します。 この LDIF 情報には、削除されたユーザーに関連付けられているセキュリティ グループの名前が含まれます。 グループ メンバーシップを復元できるように、LDIF 情報を使用して情報をユーザーに追加し直します。 復旧のこのフェーズでは、次の手順に従います。

    1. ドメイン管理者のセキュリティ グループのメンバーであるユーザー アカウントを使用して、回復ドメイン コントローラーのコンソールにサインインします。

    2. Ldifde コマンドを使用して、削除が発生した一番上の OU コンテナーから始まる、以前に削除されたユーザー アカウントの名前とその memberOf 属性をダンプします。 Ldifde コマンドは、次の構文を使用します。

      ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=user)" -l memberof -p subtree -f user_membership_after_restore.ldf

      削除されたコンピューター アカウントがセキュリティ グループに追加された場合は、次の構文を使用します。

      ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=computer)" -l memberof -p subtree -f computer_membership_after_restore.ldf

    3. Groupadd コマンドを実行して、ドメインの名前と、削除されたユーザーがメンバーであったグローバルおよびユニバーサル セキュリティ グループの名前を含む.ldf ファイルをさらにビルドします。 Groupadd コマンドでは、次の構文を使用します。

      Groupadd / after_restore users_membership_after_restore.ldf

      削除されたコンピューター アカウントがセキュリティ グループに追加された場合は、このコマンドを繰り返します。

    4. 手順 12c で作成した各 Groupadd_fully.qualified.domain.name.ldf ファイルを、各ドメインの .ldf ファイルに対応する 1 つのグローバル カタログ ドメイン コントローラーにインポートします。 次の Ldifde 構文を使用します。

      Ldifde -i -k -f Groupadd_<fully.qualified.domain.name>.ldf

      回復ドメイン コントローラーを除く任意のドメイン コントローラーで、ユーザーが削除されたドメインの .ldf ファイルを実行します。

    5. 特定のドメインの Groupadd_<fully.qualified.domain.name>.ldf ファイルをインポートするために使用される各ドメイン コントローラーのコンソールで、グループ メンバーシップの追加をドメイン内の他のドメイン コントローラーとフォレスト内のグローバル カタログ ドメイン コントローラーに送信レプリケートします。 これを行うには、次のコマンドを使用します。

      repadmin /syncall /d /e /P <recovery dc> <Naming Context>

  13. 送信レプリケーションを無効にするには、次のテキストを入力し、Enter キーを押します。

    repadmin /options +DISABLE_OUTBOUND_REPL

    Note

    送信レプリケーションを再度有効にするには、次のテキストを入力し、Enter キーを押します。

    repadmin /options -DISABLE_OUTBOUND_REPL

  14. 削除されたユーザーが外部ドメインのローカル グループに追加された場合は、次のいずれかのアクションを実行します。

    • 削除されたユーザーを手動でそれらのグループに追加し直します。
    • システムの状態を復元し、削除されたユーザーを含む各ローカル セキュリティ グループを認証復元します。

  15. 回復ドメイン コントローラーのドメインと、他のドメインのグローバル カタログのグループ メンバーシップを確認します。

  16. 回復ドメイン コントローラーのドメイン内のドメイン コントローラーの新しいシステム状態バックアップを作成します。

  17. フォレストのすべての管理者、委任された管理者、フォレスト内のヘルプ デスク管理者、およびユーザーの復元が完了したことをドメイン内のユーザーに通知します。

    ヘルプ デスク管理者は、復元されたシステムが作成された後にドメイン パスワードが変更された認証復元されたユーザー アカウントとコンピューター アカウントのパスワードをリセットする必要がある場合があります。

    システム状態のバックアップが行われた後にパスワードを変更したユーザーは、最新のパスワードが機能しなくなったことがわかります。 このようなユーザーに、以前のパスワードがわかっている場合は、そのパスワードを使用してログオンを試みるようにします。 それ以外の場合、ヘルプ デスク管理者はパスワードをリセットし、 ユーザーが次回ログオン時にパスワードを変更する必要があります チェック ボックスをオンにする必要があります。 ユーザーが配置されているのと同じ Active Directory サイト内のドメイン コントローラーで行うことをお勧めします。

方法 3 - 削除されたユーザーと削除されたユーザーのセキュリティ グループを 2 回権限を持って復元する

このメソッドを使用する場合は、次の大まかな手順を実行します。

  1. ユーザーのドメイン内のグローバル カタログが削除でレプリケートされていないかどうかを確認します。 その後、そのドメイン コントローラーが削除を受信レプリケートしないようにします。 潜在的なグローバル カタログがない場合は、削除されたユーザーのホーム ドメイン内のグローバル カタログ ドメイン コントローラーの最新のシステム状態バックアップを見つけます。
  2. 削除されたすべてのユーザー アカウントと、削除されたユーザーのドメイン内のすべてのセキュリティ グループを権限を持って復元します。
  3. 復元されたユーザーとセキュリティ グループが、削除されたユーザーのドメイン内のすべてのドメイン コントローラーとフォレストのグローバル カタログ ドメイン コントローラーにエンドツーエンドでレプリケーションされるまで待ちます。
  4. 手順 2 と 3 を繰り返して、削除されたユーザーとセキュリティ グループを権限を持って復元します。 (システム状態は 1 回だけ復元します)。
  5. 削除されたユーザーが他のドメインのセキュリティ グループのメンバーである場合は、削除されたユーザーがそれらのドメインのメンバーであったすべてのセキュリティ グループを権限を持って復元します。 または、システム状態のバックアップが最新の場合は、それらのドメイン内のすべてのセキュリティ グループを権限を持って復元します。 グループ メンバーシップ リンクを修正するためにセキュリティ グループの前に削除されたグループ メンバーを復元する必要がある要件を満たすには、このメソッドで両方のオブジェクトの種類を 2 回復元します。 最初の復元では、すべてのユーザー アカウントとグループ アカウントが配置されます。 2 番目の復元では、削除されたグループが復元され、入れ子になったグループのメンバーシップ情報を含むグループ メンバーシップ情報が修復されます。

方法 3 を使用するには、次の手順に従います。

  1. グローバル カタログ ドメイン コントローラーが削除されたユーザーのホーム ドメインに存在し、削除のどの部分にもレプリケートされていないかどうかを確認します。

    Note

    レプリケーション スケジュールの頻度が最も低いドメイン内のグローバル カタログに焦点を当てます。 これらのドメイン コントローラーが存在する場合は、Repadmin.exe コマンド ライン ツールを使用して、受信レプリケーションをすぐに無効にします。 これを行うには、次の手順に従います。

    1. [スタート] を選択し、 [実行] を選択します。
    2. [開く] ボックスに「cmdを入力し、OKを選択します。
    3. コマンド プロンプトで「 repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL 」と入力し、Enter キーを押します。

    Note

    Repadmin コマンドをすぐに発行できない場合は、Repadmin を使用して受信レプリケーションを無効にし、ネットワーク接続をすぐに返すまで、ドメイン コントローラーからすべてのネットワーク接続を削除します。

    このドメイン コントローラーは、回復ドメイン コントローラーと呼ばれます。

  2. すべての回復手順が完了するまで、次の項目の追加、削除、変更は行わないでください。 変更には、削除されたユーザーのグループ メンバーシップの変更に加えて、削除が発生したドメインのドメイン ユーザー、ヘルプ デスク管理者、および管理者によるパスワードリセットが含まれます。

    1. ユーザー アカウントのユーザー アカウントと属性

    2. コンピューター アカウントとコンピューター アカウントの属性

    3. サービス アカウント

    4. セキュリティ グループ

      Note

      特に、削除が発生したフォレスト内のユーザー、コンピューター、グループ、およびサービス アカウントのグループ メンバーシップの変更は避けてください。

    5. 一時的なスタンドダウンのフォレスト内のすべてのフォレスト管理者、委任された管理者、およびヘルプ デスク管理者に通知します。 削除されたすべてのユーザーのセキュリティ グループを権限を持って復元するため、方法 2 ではこのスタンドダウンが必要です。 そのため、システム状態のバックアップの日以降にグループに加えられた変更は失われます。

  3. 削除が発生したドメインに新しいシステム状態バックアップを作成します。 変更をロールバックする必要がある場合は、このバックアップを使用できます。

    Note

    削除が発生した時点までのシステム状態バックアップが最新の場合は、この手順をスキップして手順 4 に進みます。

    手順 1 で回復ドメイン コントローラーを特定した場合は、ここでシステム状態をバックアップします。

    削除が発生したドメイン内のすべてのグローバル カタログが削除をレプリケートした場合は、削除が発生したドメイン内のグローバル カタログのシステム状態をバックアップします。

    バックアップを作成すると、回復ドメイン コントローラーを現在の状態に戻すことができます。 最初の試行が成功しなかった場合は、復旧計画をもう一度実行します。

  4. ユーザーの削除が発生したドメインに潜在的なグローバル カタログ ドメイン コントローラーが見つからない場合は、そのドメイン内のグローバル カタログ ドメイン コントローラーの最新のシステム状態バックアップを見つけます。 このシステム状態バックアップには、削除されたオブジェクトが含まれている必要があります。 このドメイン コントローラーを回復ドメイン コントローラーとして使用します。

    ユーザーのドメイン内のグローバル カタログ ドメイン コントローラーのデータベースにのみ、フォレスト内の外部ドメインのグループ メンバーシップ情報が含まれています。 ユーザーが削除されたドメインにグローバル カタログ ドメイン コントローラーのシステム状態バックアップがない場合は、復元されたユーザー アカウントで memberOf 属性を使用してグローバル またはユニバーサル グループ メンバーシップを決定したり、外部ドメインのメンバーシップを回復したりすることはできません。 次の手順に進みます。 外部ドメインにグループ メンバーシップの外部レコードがある場合は、ユーザー アカウントが復元された後、それらのドメインのセキュリティ グループに復元されたユーザーを追加します。

  5. オフライン管理者アカウントのパスワードがわかっている場合は、回復ドメイン コントローラーを Disrepair モードで起動します。 オフライン管理者アカウントのパスワードがわからない場合は、回復ドメイン コントローラーがまだ通常の Active Directory モードである間にパスワードをリセットします。

    setpwd コマンド ライン ツールを使用すると、オンライン Active Directory モードの間に Windows 2000 SP2 以降を実行しているドメイン コントローラーでパスワードをリセットできます。

    Note

    Microsoft は Windows 2000 をサポートしなくなりました。

    Windows Server 2003 以降のドメイン コントローラーの管理者は、Ntdsutil コマンド ライン ツールの set dsrm password コマンドを使用して、オフライン管理者アカウントのパスワードをリセットできます。

    ディレクトリ サービス復元モードの管理者アカウントをリセットする方法の詳細については、「 Windows Server でディレクトリ サービス復元モード管理者アカウントのパスワードをリセットする方法を参照してください。

  6. 起動プロセス中に F8 キーを押して、回復ドメイン コントローラーを Disrepair モードで起動します。 オフライン管理者アカウントを使用して、回復ドメイン コントローラーのコンソールにログオンします。 手順 5 でパスワードをリセットする場合は、新しいパスワードを使用します。

    回復ドメイン コントローラーが潜在的なグローバル カタログ ドメイン コントローラーである場合は、システムの状態を復元しないでください。 手順 7 に直接進みます。

    システム状態バックアップを使用して回復ドメイン コントローラーを作成する場合は、削除されたオブジェクトが含まれている復旧ドメイン コントローラーで行われた最新のシステム状態バックアップを復元します。

  7. 認証は、削除されたユーザー アカウント、削除されたコンピューター アカウント、または削除されたセキュリティ グループを復元します。

    Note

    認証復元認証復元という用語は Ntdsutil コマンド ライン ツールで権限のある復元コマンドを使用して、特定のオブジェクトまたは特定のコンテナーとそのすべての下位オブジェクトのバージョン番号をインクリメントするプロセスを指します。 エンドツーエンドのレプリケーションが発生するとすぐに、回復ドメイン コントローラーの Active Directory のローカル コピー内の対象オブジェクトが、そのパーティションを共有するすべてのドメイン コントローラーで権限を持つ状態になります。 権限のある復元は、システム状態の復元とは異なります。 システム状態の復元では、復元されたドメイン コントローラーの Active Directory のローカル コピーに、システム状態のバックアップが行われた時点のオブジェクトのバージョンが設定されます。

    権限のある復元は、削除されたユーザーのドメイン名 (dn) パス、または削除されたユーザーをホストするコンテナーを参照することによって、Ntdsutil コマンド ライン ツールを使用して実行されます。

    復元を認証する場合は、必要なドメイン ツリー内で低いドメイン名パスを使用します。 目的は、削除に関連しないオブジェクトを元に戻さないようにすることです。 これらのオブジェクトには、システム状態のバックアップが作成された後に変更されたオブジェクトが含まれる場合があります。

    次の順序で、削除されたユーザーを認証復元します。

    1. 認証は、削除された各ユーザー アカウント、コンピューター アカウント、または削除されたセキュリティ グループのドメイン名 (dn) パスを復元します。

      特定のオブジェクトの権限のある復元には時間がかかりますが、サブツリー全体の権限のある復元よりも破壊的ではありません。 認証は、削除されたオブジェクトを保持する最も低い共通の親コンテナーを復元します。

      Ntdsutil では、次の構文を使用します。

      ntdsutil "authoritative restore" "restore object <object DN path>" q q

      たとえば、Contoso.com ドメインの Mayberry OU で削除されたユーザー John Doe を権限を持って復元するには、次のコマンドを使用します。

      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q

      Contoso.com ドメインの Mayberry OU の削除されたセキュリティ グループ ContosoPrintAccessを権限を持って復元するには、次のコマンドを使用します。

      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q

      重要

      引用符の使用が必要です。

      この Ntdsutil 形式を使用すると、バッチ ファイルまたはスクリプト内の多数のオブジェクトの権限のある復元を自動化することもできます。

      Note

      この構文は、Windows Server 2003 以降でのみ使用できます。 Windows 2000 の唯一の構文は、 ntdsutil "authoritative restore" "restore subtree object DN path"を使用することだけです。

    2. 認証は、削除されたユーザー アカウントまたはグループをホストする OU または共通名 (CN) コンテナーのみを復元します。

      サブツリー全体の権限のある復元は、Ntdsutil の権限のある復元コマンドの対象となる OU に、権限を持って復元しようとしているオブジェクトのほとんどが含まれている場合に有効です。 ターゲット OU には、権限を持って復元しようとしているすべてのオブジェクトが含まれているのが理想的です。

      OU サブツリーに対する権限のある復元では、コンテナー内に存在するすべての属性とオブジェクトが復元されます。 システム状態のバックアップが復元された時点まで行われた変更は、バックアップ時にその値にロールバックされます。 ユーザー アカウント、コンピューター アカウント、セキュリティ グループの場合、このロールバックは、パスワード、ホーム ディレクトリ、プロファイル パス、場所と連絡先情報、グループ メンバーシップ、およびそれらのオブジェクトと属性に定義されているセキュリティ記述子に対する最新の変更を失う可能性があります。

      Ntdsutil では、次の構文を使用します。

      ntdsutil "authoritative restore" "restore subtree <container DN path>" q q

      たとえば、Contoso.com ドメインの Mayberry OU を権限を持って復元するには、次のコマンドを使用します。

      ntdsutil "authoritative restore" "restore subtree ou=Mayberry,dc=contoso,dc=com" q q

      Note

      削除されたユーザーまたはグループをホストするピア OU ごとに、この手順を繰り返します。

      重要

      OU の下位オブジェクトを復元するときは、削除された下位オブジェクトのすべての親コンテナーを明示的に認証復元する必要があります。

  8. 通常の Active Directory モードで回復ドメイン コントローラーを再起動します。

  9. 回復ドメイン コントローラーからドメイン内およびフォレスト内のドメイン コントローラーに、権限を持って復元されたオブジェクトを送信レプリケートします。

    回復ドメイン コントローラーへの受信レプリケーションは無効のままですが、次のコマンドを入力して、権限のある復元されたオブジェクトをドメイン内のすべてのクロスサイト レプリカ ドメイン コントローラーとフォレスト内のグローバル カタログにプッシュします。

    repadmin /syncall /d /e /P <recovery dc> <Naming Context>

    フォレストのドメインおよびグローバル カタログ サーバー内のすべての直接および推移的なドメイン コントローラーが、権限を持って復元されたユーザーと復元されたコンテナーにレプリケートされたら、手順 11 に進みます。

    次のステートメントがすべて当てはまる場合、グループ メンバーシップ リンクは削除されたユーザー アカウントを復元して再構築されます。 手順 13 に進みます。

    • フォレストは、Windows Server 2003 以降のフォレスト機能レベル、または Windows Server 2003 以降の中間フォレスト機能レベルで実行されています。
    • セキュリティ グループのみが削除されませんでした。
    • 削除されたすべてのユーザーが、フォレスト内のすべてのドメイン内のすべてのセキュリティ グループに追加されました。

    Repadmin コマンドを使用して、復元されたドメイン コントローラーからのユーザーの送信レプリケーションを高速化することを検討してください。

    グループも削除された場合、または Windows Server 2003 以降の中間またはフォレストの機能レベルへの移行後に、削除されたすべてのユーザーがすべてのセキュリティ グループに追加されたことを保証できない場合は、手順 12 に進みます。

  10. システム状態を復元せずに手順 7、8、9 を繰り返し、手順 11 に進みます。

  11. 削除されたユーザーが外部ドメインのローカル グループに追加された場合は、次のいずれかのアクションを実行します。

    • 削除されたユーザーを手動でそれらのグループに追加し直します。
    • システムの状態を復元し、削除されたユーザーを含む各ローカル セキュリティ グループを認証復元します。

  12. 回復ドメイン コントローラーのドメインと、他のドメインのグローバル カタログのグループ メンバーシップを確認します。

  13. 次のコマンドを使用して、回復ドメイン コントローラーへの受信レプリケーションを有効にします。

    repadmin /options recovery dc name -DISABLE_INBOUND_REPL

  14. 回復ドメイン コントローラーのドメイン コントローラーと、フォレスト内の他のドメインのグローバル カタログの新しいシステム状態バックアップを作成します。

  15. すべてのフォレスト管理者、委任された管理者、フォレスト内のヘルプ デスク管理者、およびユーザーの復元が完了したことをドメイン内のユーザーに通知します。

    ヘルプ デスク管理者は、復元されたシステムが作成された後にドメイン パスワードが変更された認証復元されたユーザー アカウントとコンピューター アカウントのパスワードをリセットする必要がある場合があります。

    システム状態のバックアップが行われた後にパスワードを変更したユーザーは、最新のパスワードが機能しなくなったことがわかります。 このようなユーザーに、以前のパスワードがわかっている場合は、そのパスワードを使用してログオンを試みるようにします。 それ以外の場合、ヘルプ デスク管理者は、 ユーザーが次回ログオン時にパスワードを変更する必要があります チェック ボックスをオンにしてパスワードをリセットする必要があります。 ユーザーが配置されているのと同じ Active Directory サイト内のドメイン コントローラーで行うことをお勧めします。

有効なシステム状態バックアップがない場合にドメイン コントローラーで削除されたユーザーを回復する方法

ユーザー アカウントまたはセキュリティ グループが削除されたドメインに現在のシステム状態バックアップがなく、Windows Server 2003 以降のドメイン コントローラーを含むドメインで削除が発生した場合は、次の手順に従って、削除されたオブジェクト コンテナーから削除されたオブジェクトを手動で再アニメーション化します。

  1. 削除されたユーザー、コンピューター、グループ、またはそのすべてを再アニメーション化するには、次のセクションの手順に従います。
    削除されたオブジェクト コンテナー内のオブジェクトの削除を手動で取り消す方法
  2. Active Directory ユーザーとコンピューターを使用して、アカウントを無効から有効に変更します。 (アカウントは元の OU に表示されます)。
  3. Windows Server 2003 以降のバージョンのActive Directory ユーザーとコンピューターの一括リセット機能を使用して、password で一括リセットを実行するには、次のログオン ポリシー設定、ホーム ディレクトリ、プロファイル パス、および削除されたアカウントのグループ メンバーシップを必要に応じて変更する必要があります。 これらの機能に相当するプログラムを使用することもできます。
  4. Microsoft Exchange 2000 以降を使用した場合は、削除されたユーザーの Exchange メールボックスを修復します。
  5. Exchange 2000 以降を使用した場合は、削除されたユーザーを Exchange メールボックスに再関連付けます。
  6. 回復されたユーザーがログオンし、ローカル ディレクトリ、共有ディレクトリ、ファイルにアクセスできることを確認します。

次の方法を使用して、これらの復旧手順の一部またはすべてを自動化できます。

  • 手順 1 に記載されている手動回復手順を自動化するスクリプトを記述します。 このようなスクリプトを記述する場合は、日付、時刻、および最後の既知の親コンテナーによって削除されたオブジェクトのスコープを設定し、削除されたオブジェクトの再アニメーションを自動化することを検討してください。 再アニメーションを自動化するには、 isDeleted 属性を TRUE から FALSE に変更し、相対識別名を、 lastKnownParent 属性または管理者によって指定された新しい OU または共通名 (CN) コンテナーで定義されている値に変更します。 (相対識別名は RDN とも呼ばれます)。
  • Windows Server 2003 以降のドメイン コントローラーで削除されたオブジェクトの再アニメーションをサポートする Microsoft 以外のプログラムを取得します。 そのようなユーティリティの 1 つが AdRestore です。 AdRestore では、Windows Server 2003 以降の削除解除プリミティブを使用して、オブジェクトを個別に削除解除します。 Aelita Software Corporation と Commvault Systems では、Windows Server 2003 以降のドメイン コントローラーで削除取り消し機能をサポートする製品も提供しています。

AdRestore を取得するには、 AdRestore v1.1を参照してください。

Microsoft からは、テクニカル サポートを検索するのに役立つサード パーティの連絡先情報が提供されています。 この連絡先情報は、予告なしに変更される可能性があります。 Microsoft は、このサードパーティの連絡先情報の正確性を保証するものではありません。

削除されたオブジェクトのコンテナー内のオブジェクトの削除を手動で取り消す方法

削除されたオブジェクトのコンテナー内のオブジェクトの削除を手動で取り消すには、次の手順に従います。

  1. Start を選択し、Run を選択し、「ldp.exe」と入力します。

    ldp.exeを使用できます。

    • ドメイン コントローラーの役割がインストールされているコンピューター。
    • リモート サーバー管理ツール (RSAT) がインストールされているコンピューター。

  2. Windows Server 2003 以降のドメイン コントローラーに接続操作とバインド操作を実行するには、 Connection メニューを使用します。

    バインド操作中にドメイン管理者の資格情報を指定します。

  3. [オプション] メニューの [コントロール] を選択します。

  4. [定義済みの を読み込む ] ボックスの一覧で、[削除されたオブジェクト 戻すを選択します。

    Note

    1.2.840.113556.1.4.417 コントロールが Active Controls ウィンドウに移動します。

  5. [ Control TypeServer を選択し、 OK を選択します。

  6. View メニューの Tree を選択し、削除が発生したドメイン内の削除されたオブジェクト コンテナーの識別名パスを入力し、OK を選択します。

    Note

    識別名パスは、DN パスとも呼ばれます。 たとえば、 contoso.com ドメインで削除が発生した場合、DN パスは次のパスになります。
    cn=deleted Objects,dc=contoso,dc=com

  7. ウィンドウの左側のウィンドウで、 Deleted オブジェクト コンテナーをダブルクリックします。

    Note

    Idap クエリの検索結果として、既定では 1,000 個のオブジェクトのみが返されます。 たとえば、削除済みオブジェクト コンテナーに 1,000 を超えるオブジェクトが存在する場合、このコンテナーにすべてのオブジェクトが表示されるわけではありません。 ターゲット オブジェクトが表示されない場合は、 ntdsutil を使用し、 maxpagesize を使用して最大数を設定して検索結果を取得します。

  8. 削除または再アニメーション化するオブジェクトをダブルクリックします。

  9. 再アニメーション化するオブジェクトを右クリックし、 Modifyを選択します。

    単一のライトウェイト ディレクトリ アクセス プロトコル (LDAP) 変更操作で、 isDeleted 属性と DN パスの値を変更します。 Modify ダイアログを構成するには、次の手順に従います。

    1. [ Edit Entry Attribute ボックスに「 isDeleted」と入力します。 Value ボックスは空白のままにします。

    2. Delete オプション ボタンを選択し、Enter を選択して、Entry List ダイアログボックスで 2 つのエントリの最初のエントリを作成します。

      重要

      Run を選択しないでください。

    3. Attribute ボックスに「distinguishedName」と入力します。

    4. [ Values ボックスに、再アニメーション化されたオブジェクトの新しい DN パスを入力します。

      たとえば、 JohnDoe ユーザー アカウントを Mayberry OU に再アニメーション化するには、cn= JohnDoe,ou= Mayberry,dc= contoso,dc= com の DN パスを使用します。

      Note

      削除されたオブジェクトを元のコンテナーに再アニメーション化する場合は、削除されたオブジェクトの lastKnownParent 属性の値を CN 値に追加し、完全な DN パスを Values ボックスに貼り付けます。

    5. [ Operation ボックスで、 REPLACE を選択します。

    6. ENTER を選択します。

    7. Synchronous チェック ボックスをオンにします。

    8. [ Extended ] チェック ボックスをオンにします。

    9. [実行] を選択します。

  10. オブジェクトを再アニメーション化した後、Options メニューの Controls を選択し、チェック アウト ボタンを選択して、Active Controls ボックスの一覧から (1.2.840.113556.1.4.417) を削除します。

  11. 削除されたユーザーのユーザー アカウント パスワード、プロファイル、ホーム ディレクトリ、およびグループ メンバーシップをリセットします。

    オブジェクトが削除されると、 SIDObjectGUIDLastKnownParentSAMAccountName を除くすべての属性値が削除されました。

  12. Active Directory ユーザーとコンピューターで再アニメーション化されたアカウントを有効にします。

    Note

    再アニメーション化されたオブジェクトは、削除前と同じプライマリ SID を持ちますが、リソースへの同じレベルのアクセス権を持つには、オブジェクトを同じセキュリティ グループに再度追加する必要があります。 Windows Server 2003 以降の最初のリリースでは、再アニメーション化されたユーザー アカウント、コンピューター アカウント、セキュリティ グループの sIDHistory 属性は保持されません。 Windows Server 2003 以降の Service Pack 1 では、削除されたオブジェクトの sIDHistory 属性が保持されます。

  13. Microsoft Exchange 属性を削除し、ユーザーを Exchange メールボックスに再接続します。

    Note

    削除されたオブジェクトの再アニメーションは、Windows Server 2003 以降のドメイン コントローラーで削除が行われるときにサポートされます。 削除されたオブジェクトの再アニメーションは、その後 Windows Server 2003 以降にアップグレードされた Windows 2000 ドメイン コントローラーで削除が行われる場合はサポートされません。

    Note

    ドメイン内の Windows 2000 ドメイン コントローラーで削除が発生した場合、 lastParentOf 属性は Windows Server 2003 以降のドメイン コントローラーには設定されません。

削除が発生したタイミングと場所を確認する方法

一括削除のためにユーザーが削除された場合は、削除の発生元を確認できます。 そのためには、次の手順に従います。

  1. 削除されたセキュリティ プリンシパルを見つけるには、「 削除されたオブジェクトのコンテナー内のオブジェクトを手動で削除する方法 」セクションの手順 1 から 7 に従います。 ツリーが削除された場合は、次の手順に従って、削除されたオブジェクトの親コンテナーを見つけます。

  2. objectGUID属性の値を Windows クリップボードにコピーします。 この値は、手順 4 で Repadmin コマンドを入力するときに貼り付けることができます。

  3. コマンド ラインで次のコマンドを実行します。

    repadmin /showmeta GUID=<objectGUID> <FQDN>

    たとえば、削除されたオブジェクトまたはコンテナーの objectGUID が 791273b2-eba7-4285-a117-aa804ea76e95 で、完全修飾ドメイン名 (FQDN) が dc.contoso.com場合は、次のコマンドを実行します。

    repadmin /showmeta GUID=791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com

    このコマンドの構文には、削除されたオブジェクトまたはコンテナーの GUID と、ソースとなるサーバーの FQDN を含める必要があります。

  4. Repadmin コマンドの出力で、isDeleted属性の元の日付、時刻、およびドメイン コントローラーを検索します。 たとえば、 isDeleted 属性の情報は、次のサンプル出力の 5 行目に表示されます。

    Loc.USN 送信元 DC Org.USN Org.Time/Date Ver Attribute
    134759 Default-First-Site-Name\NA-DC1 134759 DateTime 1 objectClass
    134760 Default-First-Site-Name\NA-DC1 134760 DateTime 2 ou
    134759 Default-First-Site-Name\NA-DC1 134759 DateTime 1 instanceType
    134759 Default-First-Site-Name\NA-DC1 134759 DateTime 1 whenCreated
    134760 Default-First-Site-Name\NA-DC1 134760 DateTime 1 isDeleted
    134759 Default-First-Site-Name\NA-DC1 134759 DateTime 1 nTSecurityDescriptor
    134760 Default-First-Site-Name\NA-DC1 134760 DateTime 2 name
    134760 Default-First-Site-Name\NA-DC1 134760 DateTime 1 lastKnownParent
    134760 Default-First-Site-Name\NA-DC1 134760 DateTime 2 objectCategory

  5. 送信元ドメイン コントローラーの名前が 32 文字の英数字 GUID として表示される場合は、Ping コマンドを使用して、削除元のドメイン コントローラーの名前と IP アドレスに GUID を解決します。 Ping コマンドは、次の構文を使用します。

    ping -a <originating DC GUID>._msdomain controllers.<fully qualified path for forest root domain>

    Note

    -a オプションでは大文字と小文字が区別されます。 元のドメイン コントローラーが存在するドメインに関係なく、フォレスト ルート ドメインの完全修飾ドメイン名を使用します。

    たとえば、元のドメイン コントローラーが Contoso.com フォレスト内の任意のドメインに存在し、GUID が 644eb7e7-1566-4f29-a778-4b487637564b の場合は、次のコマンドを実行します。

    ping -a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com

    このコマンドによって返される出力は、次のようになります。

    Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:

Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128

今後の一括削除の影響を最小限に抑える方法

ユーザー、コンピューター、およびセキュリティ グループの一括削除の影響を最小限に抑えるためのキーは次のとおりです。

  • 最新のシステム状態バックアップがあることを確認します。
  • 特権ユーザー アカウントへのアクセスを厳密に制御します。
  • これらのアカウントで実行できる操作を厳密に制御します。
  • 一括削除からの復旧を実践する。

システム状態の変更は毎日行われます。 これらの変更には、次のものが含まれます。

  • ユーザー アカウントとコンピューター アカウントのパスワード リセット
  • グループ メンバーシップの変更
  • ユーザー アカウント、コンピューター アカウント、およびセキュリティ グループに対するその他の属性の変更。

ハードウェアまたはソフトウェアに障害が発生した場合、またはサイトで別の障害が発生した場合は、フォレスト内の各 Active Directory ドメインとサイトで重要な変更の各セットの後に行われたバックアップを復元する必要があります。 現在のバックアップを保持していない場合は、データが失われるか、復元されたオブジェクトをロールバックしなければならない可能性があります。

一括削除を防ぐために、次の手順を実行することをお勧めします。

  1. 組み込みの管理者アカウントのパスワードを共有したり、共通の管理ユーザー アカウントの共有を許可したりしないでください。 組み込みの管理者アカウントのパスワードがわかっている場合は、パスワードを変更し、使用を妨げる内部プロセスを定義します。 共有ユーザー アカウントの監査イベントにより、Active Directory で変更を加えているユーザーの ID を特定できなくなります。 そのため、共有ユーザー アカウントの使用はお勧めしません。

  2. ユーザー アカウント、コンピューター アカウント、セキュリティ グループが意図的に削除されることはまれです。 特にツリーの削除に当てはまります。 サービス管理者と委任された管理者が、ユーザー アカウント、コンピューター アカウント、セキュリティ グループ、OU コンテナー、およびその属性を作成および管理する機能からこれらのオブジェクトを削除する機能の関連付けを解除します。 ツリーの削除を実行する権限は、最も特権のあるユーザー アカウントまたはセキュリティ グループにのみ付与します。 これらの特権ユーザー アカウントには、エンタープライズ管理者が含まれる場合があります。

  3. 委任された管理者に、それらの管理者が管理を許可されているオブジェクトのクラスへのアクセス権のみを付与します。 たとえば、ヘルプ デスク管理者の主なジョブは、ユーザー アカウントのプロパティを変更することです。 コンピューター アカウント、セキュリティ グループ、または OU コンテナーを作成および削除するためのアクセス許可がありません。 この制限は、他の特定のオブジェクト クラスの管理者の削除アクセス許可にも適用されます。

  4. 監査設定を試して、ラボ ドメインの削除操作を追跡します。 結果に慣れた後、運用ドメインに最適なソリューションを適用します。

  5. 数万個のオブジェクトをホストするコンテナーに対する卸売アクセス制御と監査の変更により、特に Windows 2000 ドメインで Active Directory データベースが大幅に拡張される可能性があります。 実稼働ドメインをミラー化するテスト ドメインを使用して、空きディスク領域に対する潜在的な変更を評価します。 Ntds.dit ファイルをホストするハード ディスク ドライブ ボリュームと、実稼働ドメイン内のドメイン コントローラーのログ ファイルで空きディスク領域を確認します。 ドメイン ネットワーク コントローラー ヘッドでアクセス制御と監査の変更を設定しないでください。 これらの変更を行うと、パーティション内のすべてのコンテナー内のすべてのクラスのすべてのオブジェクトに不必要に適用されます。 たとえば、ドメイン パーティションの CN=SYSTEM フォルダーで、ドメイン ネーム システム (DNS) と分散リンク追跡 (DLT) レコードの登録を変更しないようにします。

  6. ベスト プラクティスの OU 構造を使用して、ユーザー アカウント、コンピューター アカウント、セキュリティ グループ、サービス アカウントを独自の組織単位で分離します。 この構造を使用すると、委任された管理のために、1 つのクラスのオブジェクトに随意アクセス制御リスト (DACL) を適用できます。 また、オブジェクトを復元する必要がある場合は、オブジェクト クラスに従ってオブジェクトを復元できるようにします。 ベスト プラクティスの OU 構造については、次の記事の「 組織単位の設計の作成 」セクションで説明します。
    Windows ネットワークを管理するためのベスト プラクティス Active Directory 設計

  7. 運用ドメインをミラー化するラボ環境で一括削除をテストします。 自分に合った回復方法を選択し、組織に合わせてカスタマイズします。 次の情報を特定できます。

    • 定期的にバックアップされる各ドメイン内のドメイン コントローラーの名前
    • バックアップ イメージが格納される場所
      理想的には、これらのイメージは、フォレスト内の各ドメインのグローバル カタログにローカルな追加のハード ディスクに格納されます。
    • 問い合わせるヘルプ デスク組織のメンバー
    • その連絡先を作成するための最良の方法

  8. ユーザー アカウント、コンピューター アカウント、および Microsoft が見るセキュリティ グループの一括削除のほとんどは、誤って行われます。 このシナリオについて IT スタッフと話し合い、内部アクション プランを作成します。 早期検出に重点を置きます。 また、可能な限り迅速にドメイン ユーザーとビジネスに機能を戻します。 組織単位のアクセス制御リスト (ACL) を編集して、誤って一括削除が発生しないようにする手順を実行することもできます。

    Windows インターフェイス ツールを使用して誤って一括削除を防ぐ方法の詳細については、「 Active Directory での偶発的な一括削除に対する保護を参照してください。

一括削除からの回復に役立つ可能性のあるツールとスクリプト

Groupadd.exeコマンド ライン ユーティリティは、OU 内のユーザーのコレクションの memberOf 属性を読み取り、復元された各ユーザー アカウントをフォレスト内の各ドメインのセキュリティ グループに追加する .ldf ファイルをビルドします。

Groupadd.exeは、削除されたユーザーがメンバーであったドメインとセキュリティ グループを自動的に検出し、それらのグループに追加し直します。 この処理について、方法1のステップ11でさらに詳しく説明する。

Groupadd.exeは、Windows Server 2003 以降のドメイン コントローラーで実行されます。

Groupadd.exeでは、次の構文を使用します。

groupadd / after_restore ldf_file [/ before_restore ldf_file ]

ここで、 ldf_file は前の引数で使用する .ldf ファイルの名前を表し、 after_restore はユーザー ファイルのデータ ソースを表し、 before_restore は運用環境のユーザー データを表します。 (ユーザー ファイルのデータ ソースが適切なユーザー データです)。

Groupadd.exeを取得するには、Microsoft 製品サポート サービスにお問い合わせください。

この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。 明示的か黙示的かにかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。

関連情報

Windows Server 2008 R2 に含まれる AD ごみ箱機能の使用方法の詳細については、「 Active Directory のごみ箱のステップ バイ ステップ ガイドを参照してください。