系統授權還原群組的跨網域控制站會導致不一致的成員資格資訊

文章翻譯 文章翻譯
文章編號: 280079 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

徵狀

已還原的群組中執行的使用者和群組、 成員資格系統授權還原之後可能不一致跨網域控制站。

如果群組是空的已還原的網域] 控制站上,但是在複本網域控制站上然後時填入使用者新增至已還原的網域控制站上的群組,使用者會從複本網域控制站上群組中移除。

可能在系統授權還原之後是空的 [ManagedBy] 屬性可能會發生相同的行為。

如需有關這類問題的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
840001如何還原已刪除使用者帳戶,並在 Active Directory 中的其群組成員資格


附註知識庫文件 840001 會取代本文。

發生的原因

因為群組成員資格儲存為 成員 屬性群組物件上,就會發生這個問題。(當安全性主體使用者、 群組或電腦) 被新增到一個群組是 backlink 新增到主體的物件上的 [隸屬] 屬性。系統授權還原期間如果之前使用者] 物件還原群組物件然後 Active Directory 移除值 成員 屬性的群組上因為使用者不存在具有相符 backlink。

授權的還原之後還原群組的 成員 屬性上的版本資訊是在每個網域控制站上一致的即使在該屬性值不是。每當修改群組成員資格遞增版本號碼,該群組的內容會出複寫到所有網域控制站。如果在具有有效的群組成員資格的網域控制站上修改群組,然後會複寫群組的完整內容,而且不遺失資料。 不過,如果群組上修改在還原的網域控制站再只新增的使用者會被複寫,從複本網域控制站上群組移除的使用者。

附註即使系統授權還原使用者,該群組並非,可能會發生這個問題。如果系統狀態還原已完成,而且只有使用者標示為系統授權還原已完成 (因為正向連結物件就已還原系統狀態中的群組中還原) 的網域控制站上還原其群組成員資格。如果該群組的成員資格尚未變更,因為系統狀態備份已完成,群組沒有複寫會完成還原之後。這會導致網域控制站之間的不一致的群組成員資格。變更到上一個網域控制站群組的成員資格會複寫到其他網域控制站目前在該網域控制站上該群組的內容。

解決方案

警告: 執行本節所述的程序之前,先仔細地讀取下列資訊。使用者和群組資訊可能會遺失 irretrievably 如果沒有完全遵循此程序。請記得要進行,並在您繼續之前,請確認 Active Directory 的授權網域控制站上的備份檔案。

如果要解決這個問題,所有安全性主體物件 (使用者、 群組及電腦) 必須是系統授權還原出複寫到所有網域控制站,然後群組的所有物件必須是系統授權還原及複寫出到所有網域控制站一次。當您使用此程序、 所有潛在的群組成員 (使用者、 群組及電腦) 是在第二個還原之前資料庫中,反向連結都會被保留。

當您以系統授權方式還原使用者帳戶和其群組成員資格時,尋找網域控制站具有足夠的資訊,被標示為授權,並與網路中斷連線的網域控制站。此伺服器成為授權的網域控制站。

如果要解決這個問題:
  1. 執行完整備份的電腦狀態?備份的 Active Directory 這個授權複本,以防在此程序期間發生錯誤。
  2. 停用這兩種內部網站和 inter-site 拓樸產生。 如需有關如何的詳細資訊停用站台內及站台間拓樸,,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
    242780如何停用 「 知識一致性 Checker 從自動建立複寫拓樸
  3. 啟動 「 Active Directory 站台及服務] 嵌入式管理單元,然後刪除授權的網域控制站的 「 NTDS 設定 」 物件下的所有連線物件。

    當您完成 [此步驟時網域控制站就無法在此程序期間複寫的任何變更。授權的網域控制站的複寫協力電腦仍然有連線物件,並指向該伺服器,可讓他們能夠從伺服器提取授權資料。
  4. 為使用中目錄還原模式重新啟動電腦。
  5. 系統授權個別還原每個必要的帳戶。 為了讓範例還原解決詹姆斯 Smith 使用者帳戶在 「 會計中 NWTRADERS.MSFT,組織單位使用下列語法:
    系統授權還原: 還原樹狀子目錄 「 cn = 解決詹姆斯 Smith ou = 會計 dc = nwtraders,dc = msft"
    附註: 因為可以編寫 Ntdsutil 工具,您可以產生還原並接著將所傳遞至您的指令碼的使用者帳戶的清單。在本文 < 其他相關資訊 > 一節中說明一個範例指令碼。

    如果大部分是含有使用者和群組,您也可以還原一整個的組織單位。
  6. 進入正常模式重新啟動電腦。
  7. 讓通常複寫已還原的使用者。

    若要強制從授權的網域控制站複寫協力電腦,使用 [不論是 ReplMon] 工具或 Active Directory 網站和服務] 嵌入式管理單元]。
  8. 當使用者會被複寫到所有網域控制站時,重新啟動電腦,成使用中目錄還原模式。
  9. 系統授權還原每個包含先前還原的物件的群組帳戶。為了讓範例還原 Web 系統管理員在 ITG 組織單位中 NWTRADERS.MSFT 分組,請使用下列語法:
    系統授權還原: 還原樹狀子目錄 「 cn = Web 管理員 ou = ITG,dc = nwtraders,dc = msft"
    附註: 由於 Ntdsutil 工具可以被編寫指令碼,您可以產生一份群組,以進行還原,然後將,給您的指令碼。在本文 < 其他相關資訊 > 一節中說明一個範例指令碼。
  10. 進入正常模式重新啟動電腦。
  11. 允許一般複寫已還原的群組。

    若要強制從授權的網域控制站複寫協力電腦,使用 [不論是 ReplMon] 工具或 Active Directory 網站和服務] 嵌入式管理單元]。
  12. 復原所做的變更您在中所做的站台物件上逐步此程序的兩個。

狀況說明

Microsoft 已確認<適用於>一節所列之 Microsoft 產品確實有此問題。

其他相關資訊

授權網域控制站已拔出網路之後您可以執行下列指令碼之前在電腦啟動成使用中目錄還原模式] 取得使用者的清單,:
List.vbs
--------
Set strOU = GetObject("LDAP://localhost/ou=layer two,ou=layer one,ou=test,dc=i,dc=j,dc=com")
strOU.Filter = Array("user")

For Each Member in strOU 
  Wscript.Echo Chr(92) & Chr(34) & member.distinguishedname & Chr(92) & Chr(34)
Next
					
附註: 請確定您變更組織單位路徑在第一行以指向包含使用者和群組?還原的路徑。而且,您可以使用此相同的指令碼來建立的使用者或群組清單。

清單群組中,變更至第二行中的篩選條件:
oU.Filter=Array("group")
					
若要執行此指令碼,並取得輸出至文字檔案,請在命令提示字元 (在同一個資料夾做為指令碼中執行此命令) 中輸入下列命令:
cscript //nologo list.vbs > users.txt
在建立使用者的清單和群組的清單之後您可以使用 Ntdsutil 以系統授權還原每個項目:
Authrest.cmd
------------
@echo off
ntdsutil "popups off" "authoritative restore" "restore subtree %1" quit quit
					
在使用者或群組清單中執行此指令碼的每個項目,使用 [] 指令讀取清單中的項目和傳遞至稍早所述的批次檔。在命令列中輸入下列命令 (這些檔案在同一個資料夾中建立與您稍早建立兩個文字檔案資料夾):
/f 」 語彙基元 (Token) = *"(users.txt) 中的 %i 做 authrest %i
這個命令文字檔案的每一行中迴圈,並以系統授權方式還原使用者。

屬性

文章編號: 280079 - 上次校閱: 2007年12月3日 - 版次: 11.4
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
關鍵字:?
kbmt kbprb KB280079 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:280079
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com