Active Directory のごみ箱を有効にして使用する

Active Directory のごみ箱を使用すると、誤って削除された Active Directory オブジェクトを保持および回復できます。 Active Directory のごみ箱を有効にすると、削除された Active Directory オブジェクトのすべてのリンク値属性と非リンク値属性が保持されます。 つまり、オブジェクト全体を、削除直前と同じ一貫した論理状態に復元できます。 たとえば、復元されたユーザー アカウントは、削除される直前に保持していた所属するドメイン内外のすべてのグループ メンバーシップと、それに対応するアクセス権を自動的に回復します。

Important

Active Directory のごみ箱は既定で有効になっていません。 Active Directory のごみ箱を有効にするプロセスは元に戻すことができません。 使用している環境で Active Directory のごみ箱を有効にした後で、そのごみ箱を無効にすることはできません。

Prerequisites

Active Directory のごみ箱を有効にする前に、次の前提条件を満たす必要があります。

• フォレストとドメインの機能レベルが Windows Server 2008 R2 以上である必要があります。

• Active Directory のごみ箱を有効にするドメインの Domain Admins グループのメンバーである必要があります。

• 次のいずれかのリモート サーバー管理ツール (RSAT) がインストールされている必要があります。

  • Active Directory 管理センター (ADAC)
  • Windows PowerShell 用 Active Directory モジュール。

Active Directory のごみ箱を有効にする

Active Directory のごみ箱を有効にするには、次の手順を実行します。

Active Directory 管理センター

Active Directory 管理センター (ADAC) を使用して Active Directory のごみ箱を有効化する方法を次に示します。

1. Windows PowerShell 用 Active Directory モジュールがインストールされているコンピューターにサインインします。

2. Open Active Directory Administrative Center, either from the Tools menu of the Server Manager console or by running an elevated PowerShell session and typing dsac.exe.

3. If the appropriate target domain isn't selected, choose Manage, choose Add Navigation Nodes, and select the appropriate target domain in the Add Navigation Nodes dialog box and then choose OK.

4. In the Tasks pane, choose Enable Recycle Bin in the Tasks pane, choose OK on the warning message box, and then choose OK to the refresh ADAC message.

5. ADAC を更新するには、F5 キーを押すか、更新アイコンを選択します。

PowerShell

Here's how to enable Active Directory Recycle Bin using the Enable-ADOptionalFeature cmdlet.

1. Open an elevated PowerShell session, right-click on the Start button, choose Windows PowerShell (Admin).

2. 次のコマンドを実行して、contoso.com ドメインで Active Directory のごみ箱を有効にします。

   Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com' -Scope ForestOrConfigurationSet -Target 'contoso.com'
   

エラーが発生した場合は、スキーマ マスターとドメイン名前付けマスターの両方のロールを、ルート ドメイン内の同じドメイン コントローラーに移動してみることができます。 その後、そのドメイン コントローラーからコマンドレットを実行します。

削除されたオブジェクトを復元する

Active Directory 管理センターを使用して削除されたオブジェクトを復元するには、次の手順を実行します。

Tip

復元できるのは、Active Directory のごみ箱が有効になった後に削除された AD DS アイテムのみです。 Active Directory のごみ箱を使用して、この機能を有効にする前に削除されたアイテムを回復することはできません。

Active Directory 管理センター

Active Directory 管理センターを使用して削除されたオブジェクトを復元する方法を次に示します。

1. Open Active Directory Administrative Center, either from the Tools menu of the Server Manager console or by running an elevated PowerShell session and typing dsac.exe.

2. choose Manage, choose Add Navigation Nodes, and select the appropriate target domain in the Add Navigation Nodes dialog box and then choose OK.

3. Navigate to the Deleted Objects container.

4. Select the users you wish to restore and then choose either Restore in the Tasks pane, or Restore To in the Tasks pane and specify the location to which you wish to restore the deleted objects.

5. オブジェクトが元の場所に復元されたことを確認するために、ターゲット ドメインに移動してユーザー アカウントが表示されていることを確認します。

PowerShell

Here's how to restore deleted objects using the Restore-ADObject cmdlet.

1. Open an elevated PowerShell session, right-click on the Start button, choose Windows PowerShell (Admin).

2. 次のコマンドを使用して、「test」という名前を含むすべての削除済みオブジェクトを復元します。

   Get-ADObject -Filter 'Name -Like "*User*"' -IncludeDeletedObjects | Restore-ADObject
   

3. Restore-ADObject パラメーターを指定して、-TargetPath コマンドレットを使用して、削除されたオブジェクトを別の場所に復元します。 たとえば、「User」という名前を含むすべてのオブジェクトを、Corp ドメインの contoso.com OU に復元するには、次のコマンドを実行します。

   Get-ADObject -Filter 'Name -Like "*User*"' -IncludeDeletedObjects | Restore-ADObject -TargetPath "OU=Corp,DC=contoso,DC=com"