文章編號: 298450 - 上次校閱: 2007年12月3日 - 版次: 5.2

刪除 Windows 2000 和 Windows Server 2003 中 Active Directory 的關鍵物件

檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

結論

本文將告訴您, 刪除 Active Directory 中的關鍵物件可能造成哪些問題和影響,以及 Microsoft 如何解決這些問題。凡是使用 Windows 2000、Windows Server 2003 和 Active Directory 的所有客戶,都會受到這個問題的影響。「Microsoft 技術支援處」陸續接到許多客戶打來的電話,表示他們不小心或刻意刪除了 Active Directory 中的關鍵物件。
回此頁最上方

其他相關資訊

Microsoft Windows NT 4.0 有個常見的疑難排解程序,可以用來刪除伺服器管理員 (Server Manager) 中的特定物件,以試圖讓備份網域控制站 (BDC,Backup Domain Controller) 和網域主控制站 (PDC,Primary Domain Controller) 同步化。然而,此程序會對 Windows 2000 和 Windows Server 2003 造成不利的影響。

下列說明會將重點放在兩個特定物件上:電腦帳戶 (最常用來進行兩個網域控制站之間的驗證工作) 以及 NTDS 設定物件 (用來找出其他網域控制站的位置,並判定企業級 Active Directory 的複寫拓撲)。 上述兩個物件是最常因為遭到刪除而引發問題的物件,但是刪除其他關鍵物件所造成的問題則比較嚴重。這些關鍵物件包括:動態主機設定通訊協定 (DHCP,Dynamic Host Configuration Protocol) 授權物件、檔案複寫服務 (FRS,File Replication Service) 訂閱物件、受信任網域物件,以及系統組織單位中的任何物件等等。

除非網域控制站永遠處於離線狀態,否則請勿手動刪除網域控制站的電腦帳戶 (位於「Active Directory 使用者和電腦」中),或是與網域控制站有關的 NTDS 設定物件 (位於「Active Directory 站台及服務」中)。如果要查看在電腦永遠處於離線的狀態下,可以使用 Ntdsutil 公用程式移除 NTDS 設定物件的程序,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
216498? (http://support.microsoft.com/kb/216498/ ) HOW TO:在網域控制站降級失敗後,移除 Active Directory 中的資料
移除 NTDS 設定物件之後,您就可以放心地刪除電腦帳戶。
回此頁最上方

影響

如果您刪除關鍵物件,網域控制站可能會從企業複寫拓撲中孤立出來。因此,Active Directory 的變更也會連同網域控制站一併遭到孤立,進而導致用戶端登入失敗。

請注意下列技術詳細資料: 一般而言,如果系統管理員試圖刪除某個網域控制站上的 NTDS 設定物件,而該網域控制站又套用了這些 NTDS 設定物件,則本機電腦會拒絕系統管理員的要求,且系統管理員會收到訊息。然而,其他網域控制站會允許這項操作。當這項變更複寫至套用 NTDS 設定物件的伺服器時,如果伺服器在網路上仍處於「作用中」(Alive) 狀態,伺服器就不會讓物件被刪除。一般而言,程序會自己開始反向執行,而物件也會重新啟動。 然而,其他網域控制站可能再也無法採納這項變更,造成 KCC 將電腦擱置於拓樸之外,最終會導致電腦遭到孤立。 對電腦帳戶來說,失敗情況可能會以網域控制站之間的驗證失敗,以及網域控制站和用戶端之間的驗證失敗的方式發生。相互驗證、網域名稱系統 (DNS) 和網域特定資料會保存在網域控制站的電腦帳戶中。對於 Active Directory 複寫等操作而言,這資料都是必要的。
回此頁最上方

暫時應因措施

如果您刪除了 NTDS 設定物件,可以依照下列「Microsoft 知識庫」文件中的程序,以手動方式建立介於兩部網域控制站之間的複寫連結,以便將網域控制站重新導入拓樸中:
232538? (http://support.microsoft.com/kb/232538/ ) Unsuccessful Replication Without Partner Listed
這篇「Microsoft 知識庫」文件中的程序會在孤立的網域控制站和另一部網域控制站之間,以手動方式建立複寫連結,藉以觸發複寫作業,如此就能將關鍵物件複寫至一部以上的其他電腦;此程序必須使用 Active Directory 的複寫功能,才能該物件傳播至其他網域控制站上。隨著時間流逝,其他網域控制站上的 KCC 都可以判定出現新的伺服器物件,並且隨著調整複寫拓樸。

如果「Active Directory 使用者和電腦」中網域控制站的電腦帳戶被刪除,就無法輕易地復原電腦帳戶。特定的驗證資料會寫入這個物件中,而除非是透過備份加以還原,否則將無法恢復此物件。 下列「Microsoft 知識庫」文件將告訴您,如何還原已刪除的電腦帳戶:
257288? (http://support.microsoft.com/kb/257288/ ) How to Recover from a Deleted Domain Controller Machine Account in Windows 2000
然而,在大部份的情況下,如果要還原已刪除的電腦帳戶,您必須將伺服器降級並重新升級,才能確保所有資料均正確無誤地重新寫入帳戶中。

如果有備份,最好只為您需要的物件執行授權還原作業。如需有關如何執行授權還原作業的詳細資訊,請參閱 Microsoft Windows 2000 Resource Kit 中的《Distributed Systems Guide》第 9 章,第 451 頁。
回此頁最上方

長期修正

系統管理工具 (「Active Directory 使用者和電腦」和「Active Directory 站台與服務」) 已有所修改,當系統管理員試圖刪除代表網域控制站的電腦帳戶物件,或是當代表伺服器的 NTDS 設定物件 (以單一網域控制站的身分面對其他所有的網域控制站) 被刪除時,系統管理員就會收到提示。在上述任何一種情況下,使用者介面不是將系統管理員導向適當的程序 (伺服器尚未離線時),就是將電腦降級 (伺服器處於連線狀態,且系統管理員想要將伺服器從網路中移除時)。

但是請注意,這項修改不會限制 ADSI Edit 和 LDP 等其他系統管理工具,也不會限制您以程式撰設計式來移除這些物件。
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
回此頁最上方
關鍵字:?
kbinfo kbperformance kbenv kbactivedirectoryrepl KB298450
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。