Obnovení odstraněné uživatelské účty a členství ve skupinách ve službě Active Directory

Překlady článku Překlady článku
ID článku: 840001 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Můžete použít tři metody obnovení odstraněných uživatelských účtů, účtů počítačů a skupin zabezpečení. Tyto objekty jsou souhrnně označovány jako zaregistrované objekty zabezpečení. Všechny tři metody vynucené obnovení odstraněných objektů a obnovte informace členství pro komitenty zabezpečení odstraněny. Při obnovení odstraněného objektu, je nutné obnovit bývalé hodnoty atributů člen a člen v ohroženém zaregistrovaný objekt zabezpečení. Tři metody. jsou:
  • Metoda 1: Obnovení odstraněných uživatelské účty a pak přidejte obnovené uživatele zpět na jejich skupin pomocí nástroje příkazového řádku Ntdsutil.exe (Microsoft Windows Server 2003 Service Pack 1 [SP1] pouze)
  • Metoda 2: Obnovení odstraněných uživatelské účty a přidat zpět do jejich skupin obnovené uživatele
  • Metoda 3: Vynuceně obnovte odstraněné uživatelských účtů a skupin zabezpečení odstranění uživatelé dvakrát
Poznámka: Tento článek KB nezahrnuje podrobnosti Koš AD funkce systému Windows Server 2008 R2; Zkontrolujte části odkazy Další informace o této funkci.

Metody 1 a 2 poskytnout lepší domény uživatelům a správcům, protože mohou zachovat dodatky skupin zabezpečení, které byly provedeny od posledního stavu systému zálohování a čas, kdy došlo k odstranění. V metodě 3, namísto jednotlivých úprav zaregistrované objekty zabezpečení můžete vrátit zpět zabezpečení členství ve skupině do stavu v době posledního zálohování.

Pokud nemáte platnou zálohu stavu systému a kde došlo k odstranění doména obsahuje řadiče domény se systémem Windows Server 2003, můžete ručně nebo programově obnovit odstraněné objekty. Nástroj Repadmin můžete také určit, kdy a kde byl odstraněn uživatelem.

Většina rozsáhlých odstranění jsou náhodné. Společnost Microsoft doporučuje podniknout několik kroků chcete ostatním uživatelům zabránit v odstranění objektů volně ložené.

Poznámka: Zabránit náhodnému odstranění nebo přesunu objektů (zejména organizační jednotky), dva odepřít položky řízení přístupu (ACE) mohou být přidány do popisovače zabezpečení každého objektu (ODEPŘÍT "DELETE" & "Odstranění STROMU") a jeden odepřít položky řízení přístupu (ACE) lze přidat do popisovače zabezpečení nadřazeného každého objektu (ODEPŘÍT "Odstranit dítě"). To provedete v systému Windows 2000 Server a Windows Server 2003 používají uživatelé služby Active Directory a počítačů, ADSIEdit, nástroje LDP nebo nástroj příkazového řádku DSACLS. Můžete také změnit výchozí oprávnění v AD schématu pro organizační jednotky tak, že ve výchozím nastavení jsou zahrnuty tyto položky řízení přístupu.

Například chránit organizační jednotce, která se nazývá uživatelé v doméně CONTOSO.COM se nazývá náhodnému přesunutí nebo odstranění z nadřazené organizační jednotky, se nazývá spolecnost AD, proveďte následující konfiguraci:

Pro organizační jednotku spolecnost ODEPŘÍT ACE pro přidání Everyone Chcete-li ODSTRAŇOVAT PODŘÍZENÉ OBJEKTY s Pouze tento objekt obor:
DSACLS "OU = Spolecnost, DC = CONTOSO, DC = COM" /D "EVERYONE: DC"

Organizační jednotce uživatele přidáte ODEPŘÍT ACE pro Everyone Chcete-li ODSTRANIT a odstranění STROMU s Pouze tento objekt obor:
DSACLS "OU = Uživatelé, OU = Spolecnost, DC = CONTOSO, DC = COM" /D "EVERYONE: SDDT"

Windows Server 2008 snap-in Active Directory Users and Computers obsahuje Chránit před nechtěným odstraněním objektu políčko Objekt na kartě.

Poznámka: Na Rozšířené funkce políčko musí být povoleno zobrazení dané karty.

Když vytvoříte organizační jednotky pomocí systému Windows Server 2008 Active Directory Users and Computers Chránit kontejner před náhodným odstraněním Zobrazí se zaškrtávací políčko. Ve výchozím nastavení políčko zaškrtnuto a může být vypnutá.

Ačkoli každý objekt služby Active Directory můžete nakonfigurovat pomocí těchto ACE, toto je nejvhodnější pro organizační jednotky. Odstranění nebo pohyby všechny objekty v listu mohou mít významný vliv. Tato konfigurace zabrání takové odstranění nebo pohybu. Opravdu odstranit nebo přesunout objekt pomocí takové konfigurace, musí být nejprve odstraněny odepření přístupu.

Další informace

Tento podrobný článek popisuje, jak obnovit uživatele účty, účty počítače a členství ve skupinách byli odstranit ze služby Active Directory. Ve variantách tento scénář uživatelské účty účty počítače nebo skupiny zabezpečení byl odstraněn jednotlivě nebo v Některé kombinace. V těchto případech použít stejné počáteční kroky – můžete Vynucené obnovení nebo obnovení auth, ty objekty, které byly omylem odstraněny. Některé odstraněny objekty vyžadovat další práci obnovit. Mezi tyto objekty patří například objekty uživatelské účty, které obsahují atributy, které jsou atributy zpětné odkazy jiné objekty. Dvě z těchto atributů jsou managedBy a memberOf.

Pokud přidáte objekty zabezpečení například uživatele účet, skupina zabezpečení nebo účet počítače do skupiny zabezpečení, aby ve službě Active Directory následující změny:
  1. Jméno komitenta zabezpečení vkládá členský atribut každé skupiny zabezpečení.
  2. Pro každý zabezpečení skupiny, uživatele, počítače, nebo zaregistrovaný objekt zabezpečení skupiny zabezpečení je členem, je přidán odkaz zpět atribut memberOf .
Podobně pokud uživatel, počítač nebo skupinu odstraněn z Služba Active Directory dojde k následujícím akcím:
  1. Zaregistrovaný objekt zabezpečení odstraněné je přesunut do odstraněným kontejner objektů.
  2. Počet hodnot atributů, včetně atributu memberOf jsou odstraněny z odstraněné zabezpečení hlavní povinný.
  3. Zaregistrované objekty zabezpečení odstraněné odebrány žádné zabezpečení skupiny, které byly členem. Jinými slovy odstraněné zabezpečení objekty jsou odebrány z každé skupiny zabezpečení člen atributu.
Při obnovení odstraněných zaregistrované objekty zabezpečení a obnovení jejich členství ve skupinách, nejdůležitější nezapomeňte komitenta zabezpečení, je musí existovat ve službě Active Directory před obnovením jeho členství ve skupině. (Na člen může být uživatel, počítač nebo jiné skupiny zabezpečení.) To lépe formulovat Obecněji, pravidlo objekt obsahující atributy, jejichž hodnoty jsou zpět odkazy musí existovat ve službě Active Directory před objekt, který obsahuje dopředný odkaz můžete obnovit nebo změněn.

Přestože v tomto článku je zaměřena na Obnovit odstraněnou uživatelských účtů a jejich členství v skupiny zabezpečení jeho koncepce použije rovněž pro ostatní odstranění objektu. To koncepce tohoto článku se použije rovněž pro odstraněných objektů, jejichž atribut hodnoty použití odkazy vpřed a zpět odkazy na jiné objekty ve službě Active Directory.

Jste můžete použít buď tři metody obnovení zaregistrované objekty zabezpečení. Pokud jste použít metodu 1, ponechat na místě zabezpečení všech objektů, které byly přidány žádné skupiny zabezpečení v rámci doménové struktury a přidat pouze objekty zabezpečení, byly odstraněny ze svých doménách zpět na jejich skupin zabezpečení. Pro například vytvořit zálohu stavu systému do skupiny zabezpečení přidat uživatele a Obnovte zálohu stavu systému. Při použití metody 1 nebo 2 zachovat všichni uživatelé, kteří byly přidány do skupiny zabezpečení obsahující odstraněné uživatelů mezi data, která byla vytvořena záloha stavu systému a data, zálohování byla obnovena. Při použití metody 3 můžete vrátit zpět zabezpečení členství ve skupinách na zabezpečení skupiny obsahující odstraněné uživatelům jejich stavu čas byla vytvořena záloha stavu systému.

Metoda 1: Obnovení odstraněných uživatelské účty a pak přidejte obnovené uživatele zpět na jejich skupin pomocí nástroje příkazového řádku Ntdsutil.exe (Microsoft Windows Server 2003 Service Pack 1 [SP1] pouze)

Poznámka: Tato metoda je platný pouze v řadičích domény se systémem Windows Server 2003 s aktualizací SP1. Pokud nebyla nainstalována aktualizace Windows Server 2003 SP1 v řadičích domény, použijte pro zotavení použijte metodu 2.

V Windows Server 2003 SP1, funkce byla přidána do Ntdsutil.exe Nástroj příkazového řádku správcům snadno více obnovení zpětná propojení z odstraněné objekty. Dva soubory jsou generovány pro každý autoritativní obnovení operace. Obsahuje jednoho souboru seznamu autoritativně obnovených objektů. Na druhý soubor je soubor LDF, který se používá s nástroji Ldifde.exe. Tento soubor slouží k zpětná propojení pro objekty, které jsou autoritativní obnovení obnovit. V systému Windows Server 2003 SP1, autoritativní obnovení uživatele objekt také vytvoří soubory LDIF pomocí členství ve skupině. Tímto způsobem se vyhnete dvojité obnovení.

Při použití této metody můžete provést následující hlavních kroků:
  1. Zkontrolujte, zda má globálního katalogu v doméně uživatele replikované k odstranění a potom zabránit této globální katalog z replikace. Pokud není žádný latentní globální katalog, vyhledejte nejaktuálnější zálohy stavu systému řadiče domény globálního katalogu v odstraněný uživatelský domovské doméně.
  2. Auth obnovit odstraněný uživatelský účet a poté povolit konec konec replikace těchto uživatelských účtů.
  3. Přidat všechny skupiny ve všech obnovených uživatelů domény, které uživatelské účty byly členem před byly odstranit.
Použít metodu 1, postupujte takto:
  1. Zkontrolujte, zda je domény globálního katalogu řadič domény domácí Odstraněný uživatel, který nereplikoval jakékoli části odstranění.

    Poznámka: Zaměřit na globální katalogy, které mají nejméně časté plány replikace.

    Pokud jeden nebo více těchto globálních katalogů, pomocí nástroje příkazového řádku Repadmin.exe okamžitě zakázat příchozí replikace. Postupujte takto:
    1. Klepněte na tlačítko Spustita klepněte na tlačítko Spustit.
    2. Typ cmd v Otevřít pole a klepněte na tlačítko OK.
    3. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
      repadmin/options <recovery dc="" name=""></recovery> + DISABLE_INBOUND_REPL
      Poznámka:Pokud nelze příkaz Repadmin okamžitě, odeberte všechny připojení k síti z latentní globálního katalogu, dokud nepoužijete Repadmin zakázat příchozí replikace a ihned vrátit sítě připojení.
    Tento řadič domény bude označována jako obnovení řadič domény. Pokud neexistuje žádný globální katalog, přejděte ke kroku 2.
  2. Je vhodné zastavit skupiny zabezpečení v provádění změn doménové struktury, pokud jsou splněny všechny následující příkazy:
    • Použití metody 1 auth uživatelům obnovení odstraněných nebo účty počítačů pomocí jejich cesty rozlišující název (dn).
    • Odstranění byla replikována na všechny domény v doménové struktuře kromě latentní obnovení domény řadiče řadič.
    • Nejsou auth obnovení skupiny zabezpečení nebo jejich nadřazených kontejnerů.
    Pokud jsou ověření obnovení skupiny zabezpečení nebo organizační jednotku (OU) kontejnerů, které jsou dočasně hostitele zabezpečení skupiny nebo uživatelské účty Zastavte všechny změny.

    Oznámí správci a odbornou pomoc Správci v příslušných doménách kromě uživatelů domény v domény, kde došlo k odstranění o zastavení těchto změn.
  3. Vytvořit novou zálohu stavu systému v doméně, kde došlo k odstranění. Zálohu můžete využít, pokud máte vrátit zpět do změny.

    Poznámka: Pokud jsou aktuální až do bodu zálohování stavu systému odstranění, tento krok přeskočit a přejděte ke kroku 4.

    Pokud jste určili obnovení řadiče domény v kroku 1, zálohování stavu systému nyní.

    Pokud globální katalog umístěn v doméně, kde došlo k odstranění replikované k odstranění, zálohování stavu systému do globálního katalogu domény, kde došlo k odstranění.

    Při vytváření zálohy lze vrátit zpět do aktuálního stavu obnovení řadiče domény a provedení vaše zotavení plánu znovu, pokud první pokus neproběhne úspěšně.
  4. Pokud nemůžete najít doménu latentní globálního katalogu najít nejnovější řadič v doméně, kde došlo k odstranění uživatele, zálohy stavu systému v dané doméně řadič domény globálního katalogu. To zálohy stavu systému by měl obsahovat odstraněných objektů. Pomocí této domény Řadič jako řadič domény pro obnovení.

    Obnovení pouze z řadiče domény globálního katalogu v doméně uživatele obsahovat globální a informace o členství v univerzální skupině pro skupiny zabezpečení, které se nacházejí v externí domény. Pokud není k dispozici žádná záloha stavu systému domény globálního katalogu Řadič v doméně, kde byly odstraněny uživatelů, nelze použít atribut memberOf na obnovené uživatelské účty určit globální nebo členství v univerzální skupině nebo k obnovení členství v externích doménách. Kromě toho je vhodné vyhledat nejnovější zálohy stavu systému z řadič domény bez globálního katalogu.
  5. Pokud znáte heslo správce režimu offline účet, spusťte obnovení řadiče domény v režimu Dsrepair. Jestliže nebude heslo pro účet správce v režimu offline, obnovení hesla Při obnovení řadiče domény je stále v běžné služby Active Directory režim.

    Nástroj setpwd příkazového řádku můžete použít k obnovení hesla v řadiči domény se systémem Microsoft Windows 2000 Service Pack 2 (SP2) a novější při jsou v online režimu služby Active Directory.

    Poznámka: Společnost Microsoft již nepodporuje systém Windows 2000.

    Další informace Změna hesla správce konzoly pro zotavení, klepněte na následující článek znalostní báze Microsoft Knowledge Base:
    239803Změna hesla správce konzoly pro zotavení v řadiči domény
    Správci domény Windows Server 2003 řadiče můžete použít příkaz nastavit heslo dsrm v nástroji příkazového řádku Ntdsutil resetovat heslo režimu offline účet správce.

    Další informace o obnovení Správce režimu obnovení služby Directory účtu, klepněte na následující článek znalostní báze Microsoft Knowledge Base:
    322672Obnovení hesla účtu správce režimu obnovení adresářových služeb systému Windows Server 2003
  6. Stiskněte klávesu F8 během procesu spouštění spustit obnovení řadič domény v režimu Dsrepair. Přihlášení ke konzole pro zotavení řadič domény offline správce účtu. Pokud obnovíte heslo v kroku 5, pomocí nového hesla.

    Pokud obnovení domény řadič domény latentní globální katalog je řadič, neobnovujte Stav systému. Přejděte ke kroku 7.

    Pokud vytváříte obnovení domény Řadič pomocí zálohy stavu systému obnovit aktuální systém Stav zálohy vytvořené v řadiči domény, obnovení nyní.
  7. Odstraněný uživatelský účet odstraněným obnovit ověřování účty počítačů nebo skupin zabezpečení odstraněny.

    Poznámka: Podmínky obnovení auth a autoritativní obnovení odkazovat pomocí příkaz authoritative restore v nástroji příkazového řádku Ntdsutil přibývá konkrétní čísla verzí objekty nebo zvláštní kontejnery a jejich podřízené objekty. Co nejdříve konec konec replikaci cílené objekty v doméně pro obnovení stát autoritativní pro všechny místní kopie řadiče služby Active Directory řadiče domény, které sdílejí oddílu. Autoritativní obnovení odlišné od obnovení stavu systému. Obnovení stavu systému naplní místní kopie řadiče obnovené domény služby Active Directory se verze objektů v době byla záloha stavu systému provedeny.

    Další informace o ověření obnovení řadiče domény klepněte na následující číslo článku zobrazení článku znalostní báze Microsoft Knowledge Base:
    241594Jak provést vynucené obnovení řadiče domény systému Windows 2000


    Autoritativní obnovení jsou prováděny. pomocí nástroje Ntdsutil příkazového řádku nástroje a cesta název (dn) domény naleznete Odstranit uživatele nebo kontejnerů, které jsou hostiteli odstraněného uživatele.

    Při jste auth obnovení, použití domény název (dn) cesty, které jsou ve stromu domény nejnižší mají být zabránit vrácení objektů, které nesouvisejí s odstranění. Tyto objekty mohou zahrnovat objekty, které byly upraveny po systému Stav zálohy.

    Ověření uživatelé obnovení odstraněných v následujících pořadí:
    1. Obnovení ověření cesta a název (dn) pro každou odstraněny uživatelský účet, účet počítače nebo skupiny zabezpečení.

      Autoritativní Obnovení konkrétních objektů trvat déle, ale jsou destruktivní menší než autoritativní obnovení celého podstromu. Obnovit ověřování nejnižší společný nadřazený kontejner, který obsahuje odstraněných objektů.

      Nástroj Ntdsutil používá následující syntaxi:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovení objektu <object dn="" path=""></object>"q q
      Například auth obnovení odstraněného uživatele Petrnovak v MayberryOrganizační jednotky, které Contoso.com domény, použijte následující příkaz:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovit objekt cn = petrnovak, ou = Mayberry, dc = contoso, dc = com" q q
      K ověření obnovit odstraněné zabezpečení skupiny ContosoPrintAccess v Mayberry Organizační jednotky, které Contoso.com domény, použijte následující příkaz:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovit objekt cn = ContosoPrintAccess, ou = Mayberry, dc = contoso, dc = com" q q


      Důležité Je požadováno použití uvozovek.

      Pro každého uživatele, obnovit, jsou generovány alespoň dva soubory. Tyto soubory mají následující formát:

      ar_RRRRMMDD HHMMSS_objects.txt
      Tento soubor obsahuje seznamu autoritativně obnovených objekty. Tento soubor pomocí příkazu ntdsutil authoritatative obnovení "vytvořit soubor ldif z" v jiné doméně v doménové struktuře, kde byl uživatel člen domény místní skupiny.

      ar_RRRRMMDD HHMMSS_links_usn.loc.ldf
      Pokud provádíte obnovení auth na globální katalog, jeden z Tyto soubory je generována pro všechny domény v doménové struktuře. Tento soubor obsahuje skript, který lze použít s nástroji Ldifde.exe. Obnoví skript zpětná propojení pro obnovené objekty. V domovské doméně uživatele, skript Obnoví všechny členství obnovené uživatelů. V jiných doménách v doménové struktuře, kde má členství ve skupině obnoví pouze skript členství v globální a univerzální skupiny. Skript nedojde k obnovení všech domén Členství v místních skupinách. Tato členství nejsou sledovány jako globální katalog.
    2. Obnovit ověřování pouze kontejnery organizační jednotku nebo běžný název (CN) které jsou hostiteli odstraněny uživatelské účty nebo skupiny.

      Autoritativní obnovení celého podstromu jsou platné při OU určený v příkazu ntdsutil "autoritativní obnovení" obsahuje naprostou většinu objektů, Pokoušíte se obnovit ověřování. V ideálním případě cílové organizační jednotky obsahuje všechny objekty, které se pokoušíte obnovit ověřování.

      Autoritativní obnovení v podstromu OU obnoví všechny atributy a objektů jsou umístěny v kontejneru. Všechny změny provedené do okamžiku, který obnovení zálohy stavu systému jsou vráceny zpět na hodnoty v době zálohování. Uživatelské účty, účty počítače a skupiny zabezpečení Tato vrácení změn může znamenat ztrátu poslední změny hesla k domácí adresář na cestu k profilu, umístění a kontaktní informace do skupiny členství a popisovače zabezpečení, které jsou definovány na tyto objekty a atributy.

      Nástroj Ntdsutil používá následující syntaxi:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovit podstrom <container dn="" path=""></container>"q q
      Například k obnovení ověření Mayberry Organizační jednotky, které Contoso.com domény, použijte následující příkaz:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovit podstrom ou = Mayberry, dc = contoso, dc = com" q q
    Poznámka: Tento krok opakovat pro každý z partnerů OU, který je hostitelem odstranit uživatele nebo skupiny.

    Důležité Při obnovení podřízeného objektu organizační, všechny odstraněným odstranění podřízených objektů nadřazených kontejnerů musí být explicitně auth obnovit.

    Pro každé organizační jednotce, která obnovíte, nejméně dva soubory jsou generovány. Tyto soubory mají následující formát:

    ar_RRRRMMDD HHMMSS_objects.txt

    Tento soubor obsahuje seznam autoritativně Obnovené objekty. Tento soubor pomocí příkazu ntdsutil authoritatative obnovení "vytvořit soubor ldif z" v jiné doméně v doménové struktuře kde obnovené uživatelé byli členy skupiny místní domény.

    Další informace naleznete na Následující Web společnosti Microsoft:
    http://technet2.microsoft.com/windowsserver/en/library/5ec3a3b1-c4b2-4c74-9d8a-61f7cb555f821033.mspx?mfr=true
    ar_RRRRMMDD HHMMSS_links_usn.loc.ldf
    Tento soubor obsahuje skript, který lze použít Ldifde.exe nástroj. Skript obnoví zpětná propojení pro obnovené objekty. V domovské doméně uživatele skript obnoví všechny členství ve skupinách pro Obnovené uživatelé.
  8. Pokud byly odstraněné objekty obnoveny na obnovení domény vzhledem k obnovení stavu systému, řadič odebrat všechny síťové kabely které poskytují připojení k síti do všech ostatních řadičů domény v doménové struktury.
  9. Restartujte řadič domény pro obnovení v normální aktivní Režim adresáře.
  10. Zadejte následující příkaz zakázat příchozí replikace obnovení řadiče domény:
    repadmin/options <recovery dc="" name=""></recovery> + DISABLE_INBOUND_REPL
    Povolit síťové připojení zpět k obnovení řadiče domény jehož stav systému byla obnovena.
  11. Odchozí replikaci auth obnovit objekty obnovení řadiče domény na řadiče domény v doméně a doménové struktury.

    Během příchozí replikace na řadič domény, obnovení zůstane zakázán, zadejte následující příkaz Posunout objekty obnoveny auth všechny řadiče domény více webů repliku v doméně a všech globální katalogy v doménové struktuře:
    repadmin /syncall /d /e /P <recovery dc=""> <Naming context=""></Naming></recovery>
    Pokud všechny následující příkazy jsou odkazy na hodnotu true, skupina členství byly znovu sestaveny obnovení a replikace odstraněný uživatelský účty. Přejděte ke kroku 14.

    Poznámka: Pokud jeden nebo více z následujících tvrzení není pravdivé, přejdete na kroku 12.
    • Doménové struktuře se systémem Windows Server 2003 doménové struktury funkční úrovni nebo na funkčnosti doménové struktury systému Windows Server 2003-provizorní úroveň.
    • Byly odstraněny pouze uživatelské účty nebo účty počítačů, a nikoli skupiny zabezpečení.
    • Odstranění uživatelé byly přidány do skupiny zabezpečení ve všech domény v doménové struktuře po byla příznivou doménové struktury systému Windows Server úroveň funkčnosti doménové struktury 2003.
  12. Pomocí konzoly pro zotavení řadiče domény Ldifde.exe nástroje a ar_RRRRMMDD HHMMSSsoubor _links_usn.loc.ldf členství ve skupinách uživatele obnovte. Postupujte takto:
    • Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, typ cmd v Otevřít pole a klepněte na tlačítko OK.
    • Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
      ldifde -i -f ar_RRRRMMDD HHMMSS_links_usn.loc.ldf
    LDIFDE import může selhat a může se zobrazit následující chybová zpráva:
    Na řádkuxxx>: Neplatná syntaxe Chyba na straně serveru je názvem parametru je nesprávný.
    Pokud číslo řádku problematické v ODKAZECH.Soubor LDF odkazuje na tři atributy cestovního pověření msPKIDPAPIMasterKeys, msPKIAccountCredentials nebo msPKIRoamingTimeStamp, naleznete v následujícím článku znalostní báze Microsoft Knowledge Base (KB):
    2014074 Chyba "parametr je nesprávný" pokusu o Import souboru LDF autoritativní obnovení
    Poznámka:Tento článek popisuje změny, které jsou vyžadovány úspěšně importovat soubor LDF odkazy.
  13. Povolit příchozí replikace do domény pro obnovení řadiče pomocí následujícího příkazu:
    repadmin/options <recovery dc="" name=""></recovery> -DISABLE_INBOUND_REPL
  14. Pokud odstraněné uživatelů bylo přidáno do místních skupin v externích domény, proveďte jeden z následujících:
    • Odstranění uživatelé ručně přidat na ty skupiny.
    • Obnovení stavu systému a obnovení auth, každý místním skupinám zabezpečení, které obsahuje odstraněného uživatele.
  15. Ověření členství v obnovení řadiče domény domény a globální katalogy v jiných doménách.
  16. Vytvořte zálohu řadiče domény v nové stav systému obnovení domény řadiče domény.
  17. Oznámit všechny doménové struktury správci, přidělena Správci, help desk správci v doménové struktuře a uživatelé v doméně že uživatel obnovení je dokončeno.

    Help desk, který mohou správci obnovení hesla obnovit ověření uživatelských účtů a účtů počítačů Po obnovení systému byl změněn jejichž hesla domény provedeny.

    Uživatelé, kteří změnit svá hesla po zálohy stavu systému byla provedena bude najít, že jejich poslední heslo již pracuje. Mít takové uživatelé pokusí přihlásit pomocí svých předchozích hesel, pokud vědí, že je. Jinak musí správci stůl nápovědy obnovení hesla a vyberteuživatel musí změnit heslo při příštím přihlášení Zaškrtněte políčko, pokud možno v řadiči domény ve stejné lokalitě služby Active Directory jako uživatel je umístěn v.

Metoda 2: Obnovení odstraněných uživatelské účty a přidat zpět do jejich skupin obnovené uživatele

Při použití této metody provádět následující vysoké úrovně kroky:
  1. Zkontrolujte, zda má globálního katalogu v doméně uživatele replikované k odstranění a potom zabránit této globální katalog z replikace. Pokud není žádný latentní globální katalog, vyhledejte nejaktuálnější zálohy stavu systému řadiče domény globálního katalogu v odstraněný uživatelský domovské doméně.
  2. Auth obnovit odstraněný uživatelský účet a poté povolit konec konec replikace těchto uživatelských účtů.
  3. Přidat všechny skupiny ve všech obnovených uživatelů domény, které uživatelské účty byly členem před byly odstranit.
Pomocí metody 2, postupujte takto:
  1. Zkontrolujte, zda je domény globálního katalogu řadič domény domácí Odstraněný uživatel, který nereplikoval jakékoli části odstranění.

    Poznámka: Zaměřit na globální katalogy, které mají nejméně časté plány replikace.

    Pokud jeden nebo více těchto globálních katalogů, pomocí nástroje příkazového řádku Repadmin.exe okamžitě zakázat příchozí replikace. Postupujte takto:
    1. Klepněte na tlačítko Spustita klepněte na tlačítko Spustit.
    2. Typ cmd v Otevřít pole a klepněte na tlačítko OK.
    3. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
      repadmin/options <recovery dc="" name=""></recovery> + DISABLE_INBOUND_REPL
      Poznámka:Pokud nelze příkaz Repadmin okamžitě, odeberte všechny připojení k síti z latentní globálního katalogu, dokud nepoužijete Repadmin zakázat příchozí replikace a ihned vrátit sítě připojení.
    Tento řadič domény bude označována jako obnovení řadič domény. Pokud neexistuje žádný globální katalog, přejděte ke kroku 2.
  2. Rozhodnout, zda přidání, odstranění a změny uživatele účty, účty počítače a skupiny zabezpečení musí být dočasně zastaven dokud obnovovací kroky byly dokončeny.

    Chcete-li zachovat co nejvíce pružné obnovení cesta, dočasně zastavit provádění změn následující položky. Změny zahrnují obnovení hesla uživatelů v doméně, správcům stůl a správce v doméně, kde odstranění došlo kromě skupiny změny členství ve skupinách odstraněného uživatele. Zvažte zastavení dodatky, odstranění a změn následujících položek:
    1. Atributy uživatele a uživatelské účty účty
    2. Atributy počítače a účty počítače účty
    3. Účty služeb
    4. Skupiny zabezpečení
    Je vhodné zastavit skupiny zabezpečení v provádění změn doménové struktury, pokud jsou splněny všechny následující příkazy:
    • Použití metody 2 auth uživatelům obnovení odstraněných nebo účty počítačů podle jejich cesta a název (dn).
    • Odstranění byla replikována na všechny domény v doménové struktuře kromě latentní obnovení domény řadiče řadič.
    • Nejsou auth obnovení skupiny zabezpečení nebo jejich nadřazených kontejnerů.
    Pokud jsou ověření obnovení skupiny zabezpečení nebo organizační jednotku (OU) kontejnerů, které jsou dočasně hostitele zabezpečení skupiny nebo uživatelské účty Zastavte všechny změny.

    Oznámí správci a odbornou pomoc Správci v příslušných doménách kromě uživatelů domény v domény, kde došlo k odstranění o zastavení těchto změn.
  3. Vytvořit novou zálohu stavu systému v doméně, kde došlo k odstranění. Zálohu můžete využít, pokud máte vrátit zpět do změny.

    Poznámka: Pokud jsou aktuální až do bodu zálohování stavu systému odstranění, tento krok přeskočit a přejděte ke kroku 4.

    Pokud jste určili obnovení řadiče domény v kroku 1, zálohování stavu systému nyní.

    Pokud globální katalog umístěn v doméně, kde došlo k odstranění replikované k odstranění, zálohování stavu systému do globálního katalogu domény, kde došlo k odstranění.

    Při vytváření zálohy lze vrátit zpět do aktuálního stavu obnovení řadiče domény a provedení vaše zotavení plánu znovu, pokud první pokus neproběhne úspěšně.
  4. Pokud nemůžete najít doménu latentní globálního katalogu najít nejnovější řadič v doméně, kde došlo k odstranění uživatele, zálohy stavu systému v dané doméně řadič domény globálního katalogu. To zálohy stavu systému by měl obsahovat odstraněných objektů. Pomocí této domény Řadič jako řadič domény pro obnovení.

    Obnovení pouze z řadiče domény globálního katalogu v doméně uživatele obsahovat globální a informace o členství v univerzální skupině pro skupiny zabezpečení, které se nacházejí v externí domény. Pokud není k dispozici žádná záloha stavu systému domény globálního katalogu Řadič v doméně, kde byly odstraněny uživatelů, nelze použít atribut memberOf na obnovené uživatelské účty určit globální nebo členství v univerzální skupině nebo k obnovení členství v externích doménách. Kromě toho je vhodné vyhledat nejnovější zálohy stavu systému z řadič domény bez globálního katalogu.
  5. Pokud znáte heslo správce režimu offline účet, spusťte obnovení řadiče domény v režimu Dsrepair. Jestliže nebude heslo pro účet správce v režimu offline, obnovení hesla Při obnovení řadiče domény je stále v běžné služby Active Directory režim.

    Nástroj setpwd příkazového řádku můžete použít k obnovení hesla v řadiči domény se systémem Microsoft Windows 2000 Service Pack 2 (SP2) a novější při jsou v online režimu služby Active Directory.

    Poznámka: Společnost Microsoft již nepodporuje systém Windows 2000.

    Další informace Změna hesla správce konzoly pro zotavení, klepněte na následující článek znalostní báze Microsoft Knowledge Base:
    239803Změna hesla správce konzoly pro zotavení v řadiči domény
    Správci domény Windows Server 2003 řadiče můžete použít příkaz nastavit heslo dsrm v nástroji příkazového řádku Ntdsutil resetovat heslo režimu offline účet správce.

    Další informace o obnovení Správce režimu obnovení služby Directory účtu, klepněte na následující článek znalostní báze Microsoft Knowledge Base:
    322672Obnovení hesla účtu správce režimu obnovení adresářových služeb systému Windows Server 2003
  6. Stiskněte klávesu F8 během procesu spouštění spustit obnovení řadič domény v režimu Dsrepair. Přihlášení ke konzole pro zotavení řadič domény offline správce účtu. Pokud obnovíte heslo v kroku 5, pomocí nového hesla.

    Pokud obnovení domény řadič domény latentní globální katalog je řadič, neobnovujte Stav systému. Přejděte ke kroku 7.

    Pokud vytváříte obnovení domény Řadič pomocí zálohy stavu systému obnovit aktuální systém Stav zálohy vytvořené v řadiči domény, obnovení nyní.
  7. Odstraněný uživatelský účet odstraněným obnovit ověřování účty počítačů nebo skupin zabezpečení odstraněny.

    Poznámka: Podmínky obnovení auth a autoritativní obnovení odkazovat pomocí příkaz authoritative restore v nástroji příkazového řádku Ntdsutil přibývá konkrétní čísla verzí objekty nebo zvláštní kontejnery a jejich podřízené objekty. Co nejdříve konec konec replikaci cílené objekty v doméně pro obnovení stát autoritativní pro všechny místní kopie řadiče služby Active Directory řadiče domény, které sdílejí oddílu. Autoritativní obnovení odlišné od obnovení stavu systému. Obnovení stavu systému naplní místní kopie řadiče obnovené domény služby Active Directory se verze objektů v době byla záloha stavu systému provedeny.

    Další informace o ověření obnovení řadiče domény klepněte na následující číslo článku zobrazení článku znalostní báze Microsoft Knowledge Base:
    241594Jak provést vynucené obnovení řadiče domény systému Windows 2000


    Autoritativní obnovení jsou prováděny. pomocí nástroje Ntdsutil příkazového řádku nástroje a cesta název (dn) domény naleznete Odstranit uživatele nebo kontejnerů, které jsou hostiteli odstraněného uživatele.

    Při jste auth obnovení, použití domény název (dn) cesty, které jsou ve stromu domény nejnižší mají být zabránit vrácení objektů, které nesouvisejí s odstranění. Tyto objekty mohou zahrnovat objekty, které byly upraveny po systému Stav zálohy.

    Ověření uživatelé obnovení odstraněných v následujících pořadí:
    1. Obnovení ověření cesta a název (dn) pro každou odstraněny uživatelský účet, účet počítače nebo skupiny zabezpečení.

      Autoritativní Obnovení konkrétních objektů trvat déle, ale jsou destruktivní menší než autoritativní obnovení celého podstromu. Obnovit ověřování nejnižší společný nadřazený kontejner, který obsahuje odstraněných objektů.

      Nástroj Ntdsutil používá následující syntaxi:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovení objektu <object dn="" path=""></object>"q q
      Například auth obnovení odstraněného uživatele Petrnovak v MayberryOrganizační jednotky, které Contoso.com domény, použijte následující příkaz:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovit objekt cn = petrnovak, ou = Mayberry, dc = contoso, dc = com" q q
      K ověření obnovit odstraněné zabezpečení skupiny ContosoPrintAccess v Mayberry Organizační jednotky, které Contoso.com domény, použijte následující příkaz:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovit objekt cn = ContosoPrintAccess, ou = Mayberry, dc = contoso, dc = com" q q


      Důležité Je požadováno použití uvozovek.

      Poznámka:Tato syntaxe je k dispozici pouze v systému Windows Server 2003. Pouze syntaxe v systému Windows 2000 je následující:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovit podstrom Cesta k objektu DN"
      Poznámka: Ntdsutil autoritativní obnovení není úspěšné Pokud Cesta rozlišující název (DN) obsahuje rozšířené znaky nebo mezery. V pořadí pro skriptované obnovení úspěšné obnovení objektu" <DN path=""></DN>"příkaz musí být předány jako jeden Úplný řetězec.
      Chcete-li tento problém vyřešit, obtékání DN obsahující znaky s diakritikou a prostory s escape zpětného lomítka dvojité nabídky značek sekvence. Zde je příklad:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovení objekt \"CN=John Novák, OU = NC Mayberry, DC = contoso, DC = com\" "q q

      Poznámka:Příkaz musí změnit další objekty názvu domény, je-li obnovit obsahovat čárky. Viz následující příklad:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovit objekt \"CN=Doe\ Jan, OU = Mayberry NC, DC = contoso, DC = com\ "" q q

      Poznámka:Pokud objekty byly obnoveny z pásky, označeny autoritativní a obnovení nefunguje podle očekávání a je použito stejné pásku obnovení databáze NTDS znovu USN verze obnovit objekty Vynuceně musí zvýšit vyšší než výchozí 100000 nebo objekty nebudou replikovány mimo po druhé obnovení. Následující syntaxe je potřebné skripty číslo vyšší verze, která je vyšší než 100 000 (výchozí): Nástroj Ntdsutil "autoritativní obnovení" "obnovit objekt \"CN=Doe\ Jan, OU = Mayberry NC, DC = contoso, DC = com\ "verinc 150000\" "q q

      Poznámka:Pokud skript zobrazí výzvu k potvrzení na každý objekt je obnovení lze vypnout výzvy. Chcete-li vypnout dotazování syntaxe je: Nástroj Ntdsutil "překryvná okna Vypnout" "autoritativní obnovení" "obnovení objektu \"CN=John Novák, OU = NC Mayberry, DC = contoso, DC = com\ "verinc 150000\" "q q
    2. Obnovit ověřování pouze kontejnery organizační jednotku nebo běžný název (CN) které jsou hostiteli odstraněny uživatelské účty nebo skupiny.

      Autoritativní obnovení celého podstromu jsou platné při OU určený v příkazu ntdsutil "autoritativní obnovení" obsahuje naprostou většinu objektů, Pokoušíte se obnovit ověřování. V ideálním případě cílové organizační jednotky obsahuje všechny objekty, které se pokoušíte obnovit ověřování.

      Autoritativní obnovení v podstromu OU obnoví všechny atributy a objektů jsou umístěny v kontejneru. Všechny změny provedené do okamžiku, který obnovení zálohy stavu systému jsou vráceny zpět na hodnoty v době zálohování. Uživatelské účty, účty počítače a skupiny zabezpečení Tato vrácení změn může znamenat ztrátu poslední změny hesla k domácí adresář na cestu k profilu, umístění a kontaktní informace do skupiny členství a popisovače zabezpečení, které jsou definovány na tyto objekty a atributy.

      Nástroj Ntdsutil používá následující syntaxi:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovit podstrom <container dn="" path=""></container>"q q
      Například k obnovení ověření Mayberry Organizační jednotky, které Contoso.com domény, použijte následující příkaz:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovit podstrom ou = Mayberry, dc = contoso, dc = com" q q
    Poznámka: Tento krok opakovat pro každý z partnerů OU, který je hostitelem odstranit uživatele nebo skupiny.

    Důležité Při obnovení podřízeného objektu organizační, všechny odstraněným odstranění podřízených objektů nadřazených kontejnerů musí být explicitně auth obnovit.
  8. Pokud byly odstraněné objekty obnoveny na obnovení domény vzhledem k obnovení stavu systému, řadič odebrat všechny síťové kabely které poskytují připojení k síti do všech ostatních řadičů domény v doménové struktury.
  9. Restartujte řadič domény pro obnovení v normální aktivní Režim adresáře.
  10. Zadejte následující příkaz zakázat příchozí replikace obnovení řadiče domény:
    repadmin/options <recovery dc="" name=""></recovery> + DISABLE_INBOUND_REPL
    Povolit síťové připojení zpět k obnovení řadiče domény jehož stav systému byla obnovena.
  11. Odchozí replikaci auth obnovit objekty obnovení řadiče domény na řadiče domény v doméně a doménové struktury.

    Během příchozí replikace na řadič domény, obnovení zůstane zakázán, zadejte následující příkaz Posunout objekty obnoveny auth všechny řadiče domény více webů repliku v doméně a všech globální katalogy v doménové struktuře:
    repadmin /syncall /d /e /P <recovery dc=""> <Naming context=""></Naming></recovery>
    Pokud všechny následující příkazy jsou odkazy na hodnotu true, skupina členství byly znovu sestaveny obnovení a replikace odstraněný uživatelský účty. Přejděte ke kroku 14.

    Poznámka: Pokud jeden nebo více z následujících tvrzení není pravdivé, přejdete na kroku 12.
    • Doménové struktuře se systémem Windows Server 2003 doménové struktury funkční úrovni nebo na funkčnosti doménové struktury systému Windows Server 2003-provizorní úroveň.
    • Byly odstraněny pouze uživatelské účty nebo účty počítačů, a nikoli skupiny zabezpečení.
    • Odstranění uživatelé byly přidány do skupiny zabezpečení ve všech domény v doménové struktuře po byla příznivou doménové struktury systému Windows Server úroveň funkčnosti doménové struktury 2003.
  12. Určení skupiny zabezpečení, které byly odstraněny uživatelé členy a přidat je do těchto skupin.

    Poznámka: Před přidáním uživatelů do skupin uživatelů kdo jste auth obnovit v kroku 7 a kdo je odchozí replikované v kroku 11 musí mít replikace řadiče domény v řadiči odkazované domény domény a všechny řadiče domény globálního katalogu v doménové struktury.

    Pokud jste nástroj pro vytváření skupin členství ve skupinách zabezpečení RE-Populate, obnovení pomocí nástroje nyní Uživatelé skupiny zabezpečení, které byly členy před byly odstraněny odstranit. Tak učinit po všech řadičů domény přímé a přenositelné domény a servery globálního katalogu v doménové struktuře příchozí replikovány Obnovit ověřování uživatelů a jakékoli obnoveny kontejnerů.

    Pokud nemáte takové nástroje, nástroje příkazového řádku programu Ldifde.exe a Groupadd.exe Nástroj příkazového řádku můžete automatizovat úkol můžete při spuštění na obnovení řadiče domény. Tyto nástroje jsou dostupné z produktu společnosti Microsoft Služby podpory. V tomto scénáři Ldifde.exe vytvoří výměny dat LDAP Formát (LDIF) soubor obsahující názvy uživatelských účtů, a skupiny zabezpečení, počínaje kontejnerem OU, správce Určuje. Groupadd.exe potom čte memberOf atribut pro každý uživatelský účet, který je uveden v souboru LDF a potom generuje zvláštní a jedinečné informace LDIF pro každou doménu v doménové struktury. Tyto informace LDIF obsahuje názvy skupin zabezpečení Odstranění uživatelé nutné přidat zpět tak, aby členství ve skupinách můžete obnovit. V této fázi zotavení postupujte takto:
    1. Přihlášení ke konzole pro zotavení řadiče domény pomocí pomocí uživatelského účtu, který je členem domény správce zabezpečení skupina.
    2. Použití příkazu Ldifde vypsat názvy účtů dříve odstraněný uživatelský atributy memberOf , počínaje vrchní kontejner organizační jednotky a kde došlo k odstranění. Ldifde , příkaz používá následující syntaxi:
      ldifde -d <dn path="" of="" container="" that="" hosts="" deleted="" users=""></dn> -r "(objectClass=user)" -l memberof -p subtree -f user_membership_after_restore.ldf
      Byly přidány pomocí následující syntaxe odstranění účty počítače u skupin zabezpečení:
      ldifde -d <dn path="" of="" container="" that="" hosts="" deleted="" users=""></dn> -r "(objectClass=computer)" -l memberof -p subtree -f computer_membership_after_restore.ldf
    3. Groupadd příkaz vytvořit další soubory LDF, které obsahují názvy domény a názvy zabezpečení, globální a univerzální skupiny odstraněným uživatelé byli členem. Příkaz Groupadd používá následující syntaxi:
      Groupadd /after_restore users_membership_after_restore.ldf
      Opakujte tento příkaz odstranit účty byly přidány do počítače skupiny zabezpečení.
    4. Importovat každý Groupadd_Fully.qualified.domainnameSoubor LDF, které vytvořené v kroku 12 c na řadič domény jeden globální katalog, odpovídá soubor ldf v každé doméně. Pomocí nástroje Ldifde následující syntaxi:
      Ldifde –i –k –f Groupadd_<fully.qualified.domain.name></fully.qualified.domain.name>LDF
      Spusťte soubor LDF pro odstranění uživatelů z domény v libovolném řadiči domény kromě řadiče domény pro obnovení.
    5. V konzole každý řadič domény, který se používá Import Groupadd_<fully.qualified.domain.name></fully.qualified.domain.name>LDF soubor pro určitou doménu, odchozí replikaci dodatky členství ve skupině do jiných řadičů domény a domény globálního katalogu řadiče v doménové struktuře pomocí následujícího příkazu:
      repadmin /syncall /d /e /P <recovery dc=""> <Naming context=""></Naming></recovery>
  13. Zakázat odchozí replikaci, zadejte následující text a stiskněte klávesu ENTER:
    repadmin/options + DISABLE_OUTBOUND_REPL
    Poznámka: Chcete-li znovu povolit odchozí replikace, zadejte následující text a stiskněte klávesu ENTER:
    repadmin/možnosti - DISABLE_OUTBOUND_REPL
  14. Pokud odstraněné uživatelů bylo přidáno do místních skupin v externích domény, proveďte jeden z následujících:
    • Odstranění uživatelé ručně přidat na ty skupiny.
    • Obnovení stavu systému a obnovení auth, každý místním skupinám zabezpečení, které obsahuje odstraněného uživatele.
  15. Ověření členství v obnovení řadiče domény domény a globální katalogy v jiných doménách.
  16. Vytvořte zálohu řadiče domény v nové stav systému obnovení domény řadiče domény.
  17. Oznámit všechny doménové struktury správci, přidělena Správci, help desk správci v doménové struktuře a uživatelé v doméně že uživatel obnovení je dokončeno.

    Help desk, který mohou správci obnovení hesla obnovit ověření uživatelských účtů a účtů počítačů Po obnovení systému byl změněn jejichž hesla domény provedeny.

    Uživatelé, kteří změnit svá hesla po zálohy stavu systému byla provedena bude najít, že jejich poslední heslo již pracuje. Mít takové uživatelé pokusí přihlásit pomocí svých předchozích hesel, pokud vědí, že je. Jinak musí správci stůl nápovědy obnovení hesla a vyberteuživatel musí změnit heslo při příštím přihlášení Zaškrtněte políčko, pokud možno v řadiči domény ve stejné lokalitě služby Active Directory jako uživatel je umístěn v.

Metoda 3: Vynucené obnovení odstraněného uživatele a skupiny zabezpečení odstranění uživatelé dvakrát

Při použití této metody provádět následující vysoké úrovně kroky:
  1. Zkontrolujte, zda má globálního katalogu v doméně uživatele replikované k odstranění a potom zabránit řadič domény z příchozí replikovat odstranění. Pokud není žádný latentní globální katalog, vyhledejte aktuální zálohy stavu systému řadiče domény globálního katalogu v odstraněný uživatelský domovské doméně.
  2. Vynuceně obnovit odstraněné účty a všechny skupiny zabezpečení odstraněného uživatele domény.
  3. Počkejte na replikaci obnovených uživatelů a do všech řadičů domény v odstraněný uživatelský skupin zabezpečení domény a řadiče domény globálního katalogu v doménové struktuře.
  4. Opakujte kroky 2 a 3 vynucené obnovení odstraněných Uživatelé a skupiny zabezpečení. (Obnovení stavu systému pouze jednou.)
  5. Pokud odstranění uživatelé byli členy skupiny zabezpečení v jiných domén autoritativně obnovit všechny zabezpečení skupin odstraněným uživatelé byli členy v těchto doménách. Nebo, pokud jsou zálohy stavu systému aktuální, vynucené obnovení skupin zabezpečení v těchto domény.
Splňovat požadavek na odstranění členů skupiny musí být obnovena před skupin zabezpečení oprava propojení členství ve skupině, obnovení oba typy objektu dvakrát v této metodě. Vloží první obnovení všech uživatelské účty a účty skupin v místě a druhý obnoví obnovení Odstranění skupiny a opraví informace o členství ve skupině včetně informace o členství ve vnořených skupinách.

Použijte metodu 3, postupujte tímto Postup:
  1. Zkontrolujte, zda je řadič domény globálního katalogu existuje v domovské doméně uživatele odstraněné a nebyl replikován v jakékoli části odstranění.

    Poznámka: Zaměřit na globální katalogy v doméně, která má nejméně časté replikační plány. Pokud existují tyto řadiče domény, použijte Nástroj příkazového řádku Repadmin.exe okamžitě zakázat příchozí replikace. Chcete-li to provést, postupujte takto:
    1. Klepněte na tlačítko Spustita klepněte na tlačítko Spustit.
    2. Typ příkaz v Otevřít pole a klepněte na tlačítko OK.
    3. Typ repadmin/options <recovery dc="" name=""></recovery>+ DISABLE_INBOUND_REPL na příkazovém řádku a stisknutí klávesy ZADEJTE.

      Poznámka:Pokud nelze příkaz Repadmin okamžitě, odeberte všechny připojení k síti z řadiče domény, dokud nepoužijete k Repadmin zakázat příchozí replikace a ihned vrátit připojení k síti.
    Tento řadič domény bude označována jako obnovení řadič domény.
  2. Vyvarujte se přidání, odstranění a změny následující položky, dokud obnovovací kroky. Změny zahrnout obnovení hesla uživatelů v doméně, správcům stůl a správce v doméně, kde odstranění došlo kromě skupiny změny členství ve skupinách odstraněného uživatele.
    1. Atributy uživatele a uživatelské účty účty
    2. Atributy počítače a účty počítače účty
    3. Účty služeb
    4. Skupiny zabezpečení

      Poznámka:Zejména vyhnout se změny členství ve skupině uživatelů, počítačů, skupiny a účty služeb v doménové struktuře kde odstranění došlo k chybě.
    5. Oznámit všechny doménové struktury administrators, delegované Správci a správci stůl nápovědy v doménové struktuře dočasného Stand-DOWN.
    Tento stand-down je požadováno v metoda 2, protože jste Vynucené obnovení všech odstraněných uživatelů, skupin zabezpečení. Proto jsou všechny změny provedené do skupin po datu stavu systému zálohování ztracené.
  3. Vytvořit novou zálohu stavu systému v doméně, kde došlo k odstranění. Zálohu můžete využít, pokud máte vrátit zpět do změny.

    Poznámka:Pokud jsou zálohy stavu systému aktuální až do doby, došlo k odstranění, tento krok přeskočit a přejděte ke kroku 4.

    Pokud jste určili obnovení řadiče domény v kroku 1, zálohování stavu systému nyní.

    Pokud všechny globální katalogy jsou umístěny v doméně, kde došlo k odstranění, odstranění replikovány, zálohování stavu systému globální katalog v doméně, kde došlo k odstranění.

    Pokud jste vytvoření zálohy se můžete vrátit zpět obnovení řadiče domény na jeho aktuální státu a první pokus, není-li znovu provést ozdravný plán úspěšná.
  4. Pokud nemůžete najít doménu latentní globálního katalogu najít nejnovější řadič v doméně, kde došlo k odstranění uživatele, zálohy stavu systému v dané doméně řadič domény globálního katalogu. To zálohy stavu systému by měl obsahovat odstraněných objektů. Pomocí této domény Řadič jako řadič domény pro obnovení.

    Pouze databáze členství ve skupině obsahují řadiče domény globálního katalogu v doméně uživatele informace o externích doménách v doménové struktuře. Pokud není žádný stav systému záložní řadiče domény globálního katalogu v doméně, kde byly uživatelům odstranění nelze použít atribut memberOf na obnovené uživatelské účty určit globální nebo členství v univerzální skupině nebo k obnovení členství v externích doménách. Přejít na Další krok. Pokud není externí záznam členství skupiny v externích domény, přidání obnovené uživatelů do skupin zabezpečení v těchto doménách po uživatelské účty byly obnoveny.
  5. Pokud znáte heslo správce režimu offline účet, spusťte obnovení řadiče domény v režimu Dsrepair. Jestliže nebude heslo pro účet správce v režimu offline, obnovení hesla Při obnovení řadiče domény je stále v běžné služby Active Directory režim.

    Nástroj setpwd příkazového řádku můžete použít k obnovení hesla v řadiči domény se systémem Microsoft Windows 2000 Service Pack 2 (SP2) a novější při jsou v online režimu služby Active Directory.

    Poznámka: Společnost Microsoft již nepodporuje systém Windows 2000.

    Další informace Změna hesla správce konzoly pro zotavení, klepněte na následující článek znalostní báze Microsoft Knowledge Base:
    239803Změna hesla správce konzoly pro zotavení v řadiči domény
    Správci domény Windows Server 2003 řadiče můžete použít příkaz nastavit heslo dsrm v nástroji příkazového řádku Ntdsutil resetovat heslo režimu offline účet správce.

    Další informace o obnovení Správce režimu obnovení služby Directory účtu, klepněte na následující článek znalostní báze Microsoft Knowledge Base:
    322672Obnovení adresářové služby heslo režimu obnovení správce účtu v systému Windows Server 2003
  6. Stiskněte klávesu F8 během procesu spouštění spustit obnovení řadič domény v režimu Dsrepair.Přihlášení ke konzole pro zotavení domény řadič s účtem správce v režimu offline. Pokud nové heslo v Krok 5, zadejte nové heslo.

    Pokud je řadič domény pro obnovení řadič domény globálního katalogu latentní, obnovení stavu systému. Přejít přímo ke kroku 7.

    Pokud vytváříte obnovení řadiče domény pomocí zálohy stavu systému obnovte aktuální zálohy stavu systému která byla provedena na obnovení řadiče domény, který obsahuje odstraněným nyní objekty.
  7. Odstraněný uživatelský účet odstraněným obnovit ověřování účty počítačů nebo skupin zabezpečení odstraněny.

    Poznámka: Podmínky obnovení auth a autoritativní obnovení odkazovat pomocí příkaz authoritative restore v nástroji příkazového řádku Ntdsutil přibývá konkrétní čísla verzí objekty nebo zvláštní kontejnery a jejich podřízené objekty. Co nejdříve konec konec replikaci cílené objekty v doméně pro obnovení stát autoritativní pro všechny místní kopie řadiče služby Active Directory řadiče domény, které sdílejí oddílu. Autoritativní obnovení odlišné od obnovení stavu systému. Obnovení stavu systému naplní místní kopie řadiče obnovené domény služby Active Directory se verze objektů v době byla záloha stavu systému provedeny.

    Další informace o ověření obnovení řadiče domény klepněte na následující číslo článku zobrazení článku znalostní báze Microsoft Knowledge Base:
    241594Jak provést vynucené obnovení řadiče domény systému Windows 2000


    Autoritativní obnovení jsou prováděny. pomocí nástroje příkazového řádku Ntdsutil cesta a název (dn) s odkazem Odstranit uživatele nebo kontejnerů, které jsou hostiteli odstraněného uživatele.

    Při jste auth obnovení, použití domény název (dn) cesty, které jsou ve stromu domény nejnižší mají být zabránit vrácení objektů, které nesouvisejí s odstranění. Tyto objekty mohou zahrnovat objekty, které byly upraveny po systému Stav zálohy.

    Ověření uživatelé obnovení odstraněných v následujících pořadí:
    1. Obnovení ověření cesta a název (dn) pro každou odstraněny uživatelský účet, účet počítače nebo odstraněné zabezpečení skupina.

      Autoritativní obnovení určité objekty trvat déle, ale jsou méně destruktivní než autoritativní obnovení celého podstromu. Ověření nejnižší společný nadřazený kontejner obsahující odstraněným objekty.

      Nástroj Ntdsutil používá následující syntaxi:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovení objektu <object dn="" path=""></object>"q q
      Například auth obnovení odstraněného uživatele Petrnovak v MayberryOrganizační jednotky, které Contoso.com domény, použijte následující příkaz:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovit objekt cn = petrnovak, ou = Mayberry, dc = contoso, dc = com" q q
      K ověření obnovit odstraněné zabezpečení skupiny ContosoPrintAccess v Mayberry Organizační jednotky, které Contoso.com domény, použijte následující příkaz:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovit objekt cn = ContosoPrintAccess, ou = Mayberry, dc = contoso, dc = com" q q


      Důležité Je požadováno použití uvozovek.

      Pomocí tohoto nástroje Ntdsutil formát, můžete také automatizovat autoritativní obnovení mnoho objektů v dávkový soubor nebo skript.
      Poznámka:Tato syntaxe je k dispozici pouze v systému Windows Server 2003. Pouze syntaxe v systému Windows 2000 je použití: ntdsutil "autoritativní obnovení" "obnovení podstrom Cesta k objektu DN".
    2. Obnovit ověřování pouze kontejnery organizační jednotku nebo běžný název (CN) které jsou hostiteli odstraněny uživatelské účty nebo skupiny.

      Autoritativní obnovení celého podstromu jsou platné při OU cílový příkazu Ntdsutil autoritativní obnovení obsahuje naprostou většinu objektů, Pokoušíte se obnovit ověřování. V ideálním případě cílové organizační jednotky obsahuje všechny objekty, které se pokoušíte obnovit ověřování.

      Autoritativní obnovení v organizační jednotce podstrom obnoví všechny atributy a objekty, které se nacházejí v kontejner. Všechny změny provedené na čas, že systém státu zálohování obnovení jsou vráceny zpět na hodnoty v době zálohování. S uživatelské účty, účty počítače a skupiny zabezpečení může znamenat toto vrácení zpět ztráta nejnovější změny hesel do domovského adresáře do Cesta k profilu na místo a kontaktní informace, členství ve skupinách a žádné popisovače zabezpečení, které jsou definovány na tyto objekty a atributy.

      Nástroj Ntdsutil používá následující syntaxi:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovit podstrom <container dn="" path=""></container>"q q
      Například k obnovení ověření Mayberry Organizační jednotky, které Contoso.com domény, použijte následující příkaz:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovit podstrom ou = Mayberry, dc = contoso, dc = com" q q
    Poznámka: Tento krok opakovat pro každý z partnerů OU, který je hostitelem odstranit uživatele nebo skupiny.

    Důležité Po obnovení podřízeného objektu organizační všechny nadřazené kontejnery podřízených odstraněných objektů musí být explicitně auth obnovit.
  8. Restartujte řadič domény pro obnovení v normální aktivní Režim adresáře.
  9. Odchozí replikaci autoritativně obnovených objektů obnovení řadiče domény na řadiče domény v doméně a v doménové struktuře.

    Během příchozí replikace do domény pro obnovení Řadič zůstane zakázán, zadejte následující příkaz Posunout objekty autoritativně obnovit v doméně replik více webů řadiče domény a globálních katalogů v doménové struktuře:
    repadmin /syncall /d /e /P <recovery dc=""> <Naming context=""></Naming></recovery>
    Po všechny řadiče domény přímé a přenositelné v domény a servery globálního katalogu v doménové struktuře replikovány v Uživatelé autoritativně obnovených a všechny obnovené kontejnerů, přejděte ke kroku 11.

    Pokud všechny následující příkazy jsou odkazy na hodnotu true, skupina členství jsou znovu vytvořeny s obnovení odstraněných uživatelské účty. Přejděte ke kroku 13.
    • Doménové struktuře se systémem Windows Server 2003 doménové struktury funkční úrovni nebo v systému Windows Server 2003 prozatímní funkčnosti doménové struktury úroveň.
    • Pouze skupiny zabezpečení nebyly odstraněny.
    • Odstranění uživatelé byly přidány na bezpečnost skupiny ve všech doménách v doménové struktuře.
    Zvažte použití příkazu Repadmin urychlit odchozí replikace uživatelů z řadiče domény obnovené.

    Pokud skupiny byly také odstraněny, nebo pokud je nelze zaručit, že odstranění uživatelé byly přidány na skupiny zabezpečení po přechodu na Windows Prozatímní nebo doménové struktuře úroveň funkčnosti Server 2003, přejděte ke kroku 12.
  10. Opakujte kroky 7, 8 a 9 bez obnovení systému stát a potom přejděte ke kroku 11.
  11. Pokud odstraněné uživatelů bylo přidáno do místních skupin v externích domény, proveďte jeden z následujících:
    • Odstranění uživatelé ručně přidat na ty skupiny.
    • Obnovení stavu systému a obnovení auth, každý místním skupinám zabezpečení, které obsahuje odstraněného uživatele.
  12. Ověření členství v obnovení řadiče domény domény a globální katalogy v jiných doménách.
  13. Pomocí následujícího příkazu Povolit příchozí replikace obnovení řadiče domény:
    repadmin/options název řadiče domény pro obnovení -DISABLE_INBOUND_REPL
  14. Vytvořte zálohu řadiče domény v nové stav systému řadič domény pro obnovení domény a globální katalogy v ostatních doménách doménové struktury.
  15. Oznámit všechny doménové struktury administrators, delegované Správci, správci stůl nápovědy v doménové struktuře a uživatelé v dokončení obnovení uživatele domény.

    Správcům stůl obnovení hesla auth obnovení uživatelských účtů a počítač pravděpodobně Po obnovení systému byl změněn jejichž hesla domény účtů provedeny.

    Uživatelé, kteří změnit svá hesla po zálohy stavu systému byla provedena bude najít, že jejich poslední heslo již pracuje. Mít takové uživatelé pokusí přihlásit pomocí svých předchozích hesel, pokud vědí, že je. Jinak musí správci stůl nápovědy obnovení hesla suživatel musí změnit heslo při příštím přihlášení Zaškrtávací políčko zaškrtnuto, nejlépe na řadiči domény ve stejné lokalitě služby Active Directory jako uživatel je umístěn v.

Obnovení odstraněného uživatele v řadiči domény systému Windows Server 2003, pokud nemáte zálohu stavu systému platný

Pokud nemáte aktuální zálohy stavu systému v doméně, kde uživatel účty nebo skupiny zabezpečení byly odstraněny a domén došlo k odstranění která obsahují řadiče domény systému Windows Server 2003, postupujte podle následujících kroků ručně obnovit položky odstraněné objekty z odstraněných objektů kontejneru:
  1. Postupujte podle pokynů "jak ručně obnovit objekty uživatelům reanimate odstranit oddíl v kontejneru odstraněných objektů" počítačů, skupin nebo všechny tyto.
  2. Pomocí služby Active Directory Users and Computers změnit účet ze zakázaného na povolený. (Účet se zobrazí v původním OU.)
  3. Použití hromadného obnovení funkce v systému Windows Server 2003 Obnoví verze uživatelé služby Active Directory a počítače provést hromadně na "při dalším přihlášení musí změnit heslo" nastavení zásady, domovský adresář na Cesta profilu a členství ve skupině odstraněného účtu podle potřeby. Můžete také použít programový ekvivalent těchto funkcí.
  4. Pokud byl Microsoft Exchange 2000 nebo novější, opravit Odstraněný uživatel poštovní schránky serveru Exchange.
  5. Pokud byl server Exchange 2000 nebo novější, opětovné přiřazení odstraněným uživatel s poštovní schránky serveru Exchange.
  6. Ověřit obnovené uživatele přihlásit a získat přístup k místním adresářů sdílených adresářů a souborů.
Některé nebo všechny tyto kroky pro obnovení lze automatizovat pomocí následující metody:
  • Skript, který automatizuje kroky ruční obnovení uvedené v kroku 1. Při psaní skriptu zvažte oborů datum, čas a poslední známý nadřazený kontejner odstraněn objekt a poté automatizace reanimation odstraněného objektu. Reanimation, automatizace změnit atribut isDeleted z True na FALSE a relativní rozlišující název na hodnotu, která je definována v atributu lastKnownParent nebo v nové organizační jednotky nebo běžné název (CN) kontejneru, který je určené správcem. (Relativní rozlišující název je také známo jako RDN.)
  • Získat program společnosti Microsoft, který podporuje reanimation odstraněných objektů v řadičích domény systému Windows Server 2003. Jeden Tyto nástroje je AdRestore. Undelete AdRestore používá systém Windows Server 2003 primitivní jednotlivě zrušení odstranění objektů. Přestat Software Corporation a CommVault systémy nabízejí také produkty, které podporují funkce obnovit na Řadiče domény Server 2003 pro systém Windows.

    Získání AdRestore, navštivte následující Web společnosti:
    http://technet.microsoft.com/en-us/Sysinternals/bb963906.aspx
Microsoft poskytuje informací o technické podpory. Tyto kontaktní informace se mohou bez upozornění změnit. Společnost Microsoft nepodporuje zaručit přesnost kontaktních informací.

Jak ručně obnovit objekty v kontejneru odstraněných objektů

Chcete-li ručně obnovit objekty v kontejneru odstraněného objektu postupujte takto:
  1. Klepněte na tlačítko Spustit, klepněte na tlačítko Spustit, a zadejte Nástroj Ldp.exe.

    Poznámka: Pokud není nainstalován nástroj Ldp, nainstalujte nástroje podpory z disku CD systému Windows Server 2003.
  2. Použít Připojení nabídka Ldp provádět připojit operace a operace vazbu k doméně systému Windows Server 2003 řadič.

    Zadat pověření správce domény během vazby operace.
  3. V Možnosti nabídky, klepněte na tlačítkoOvládací prvky.
  4. V Předdefinované zatížení Klepněte na položkuVrátit odstraněných objektů.

    Poznámka:1.2.840.113556.1.4.417 Řízení se přesune Aktivní ovládací prvkyokno.
  5. Ve skupinovém rámečku Typ ovládacího prvku, klepněte na tlačítkoServera potom OK.
  6. V Zobrazení nabídky, klepněte na tlačítkoStrom, zadejte cestu k rozlišujícímu názvu odstraněných objektů kontejner v doméně, kde došlo k odstranění a poté klepněte naOK.

    Poznámka: Cesta k rozlišenému názvu je známé také jako cesta DN. Pro cesta DN by například pokud došlo k odstranění v doméně contoso.com být následující cestu:
    CN = odstraněných objektů, dc = contoso, dc = com
  7. V levém podokně okna poklepáním Odstraněný objekt kontejneru.

    Poznámka: Jako výsledek hledání dotazu Idap pouze 1000 objektů ve výchozím nastavení. Například bylo možné vznést, pokud existují více než 1000 objektů v kontejneru objektů odstraněny všechny objekty se zobrazují v tomto kontejneru. Pokud se nezobrazí cílový objekt, použijte Nástroj Ntdsutila nastavte maximální počet pomocí maxpagesize Chcete-li získat výsledky hledání.
  8. Poklepejte na objekt, který chcete obnovit nebo obnovit položky.
  9. Klepněte pravým tlačítkem myši na objekt, který chcete obnovit položky, a poté Klepněte na tlačítko změnit.

    Změňte hodnotu pro atribut isDeleted a cesta DN v jednom adresáři lehký Operace změny Access Protocol (LDAP). KonfiguraceUpravit Dialogové okno, postupujte takto:
    1. V Upravit položku atribut Napište: isDeleted.

      Ponechat Hodnota pole prázdné.
    2. Klepněte Odstranit tlačítko volby a Klepněte na tlačítko Zadejte provést první dvě položky v Položka seznamu Dialogové okno.

      Důležité Neklepejte na tlačítko Spustit.
    3. V Atribut Napište: distinguishedName.
    4. V Hodnoty Zadejte název nové domény Cesta reanimated objektu.

      Například obnovit položky petrnovak Mayberry OU uživatelský účet použijte následující cesta DN:
      CN =Petrnovak, ou =Mayberry, dc =contoso, dc =com
      Poznámka: Pokud chcete obnovit odstraněný objekt na původní položky kontejner, přidat hodnotu atributu lastKnownParent odstraněného objektu na hodnotu KN a vložte celou cestu DN v Hodnoty pole.
    5. V Operace Klepněte na tlačítko NAHRADIT.
    6. Klepněte na tlačítko ZADEJTE.
    7. Klepnutím vyberte Synchronní Kontrola pole.
    8. Klepnutím vyberte Extended Kontrola pole.
    9. Klepněte na tlačítko SPUSTIT.
  10. Po můžete obnovit položky objekty, klepněte na tlačítkoOvládací prvky v Možnosti nabídky, klepněte Rezervovat tlačítko Odebrat z (1.2.840.113556.1.4.417) Aktivní ovládací prvky pole seznamu.
  11. Resetování hesel uživatelských účtů, profily, domovské adresáře a členství ve skupinách pro odstranění uživatelé.

    Pokud byl objekt odstraněny, byly hodnoty atributů s výjimkou SID, ObjectGUID, LastKnownParent a SAMAccountName odstraněno.
  12. Povolit účet reanimated v Active Directory Users a počítače.

    Poznámka: Reanimated objekt má stejný SID primární stejně jako před odstranění, ale objekt musí být přidán znovu do stejné skupiny zabezpečení mají stejnou úroveň přístupu k prostředkům. První vydání systému Windows Server 2003 nezachová atribut sIDHistory na reanimated uživatelské účty, účty počítače a skupiny zabezpečení. Windows Server 2003 s aktualizací Service Pack 1, zachovat atribut sIDHistory odstraněných objektů.
  13. Odebrat atributy serveru Microsoft Exchange a připojit uživatele do poštovní schránky serveru Exchange.

    Poznámka: Reanimation odstraněných objektů je podporován při odstranění Vyvolá se v řadiči domény systému Windows Server 2003. Reanimation o odstranění objekty není podporována v doméně systému Windows 2000 dojde k odstranění řadič, který je následně upgradován na systém Windows Server 2003.

    Poznámka: Pokud dojde k odstranění v řadiči domény systému Windows 2000 v domény, atribut lastParentOf není naplněna v doméně systému Windows Server 2003 řadiče.

Jak lze zjistit, kdy a kde došlo k odstranění.

Když uživatelé jsou odstraněny z hromadné odstranění, můžete chtít Zjistěte, kde vznikla odstranění. Postupujte takto:
  1. Pokud je auditování byl správně nakonfigurován pro sledování Odstranění organizační jednotky (OU) kontejnerů nebo podřízených objektů, použití Nástroj pro vyhledávání řadičů domény v protokolu událostí zabezpečení, který domény, kde došlo k odstranění. Jeden takový nástroj, který prohledá protokoly událostí v oboru sadu řadičů domény je nástroj EventCombMT. EventCombMT je součástí sady Windows Server 2003 Resource Kit Tools nástroje.

    Pro Další informace o získání nástroje systému Windows Server 2003 Resource Kit Nástroje pro nastavení, naleznete na následujícím webu společnosti Microsoft:
    http://technet.microsoft.com/en-us/windowsserver/bb693323.aspx
  2. Podle kroků 1 až 7 "jak ručně obnovit. Vyhledejte odstraněný zabezpečení části objektů v kontejneru odstraněných objektů" objekty. Pokud byl odstraněn strom, postupujte následujícím způsobem najít nadřazený kontejner odstraněného objektu.
  3. Hodnota atributu objectGUID zkopírujte do schránky systému Windows.

    Můžete vložit Hodnota při zadání příkazu Repadmin v kroku 4.
  4. Zadejte následující příkaz:
    repadmin /showmeta GUID =objectGUID>FQDN>
    Například pokud objectGUID odstraněného objektu nebo kontejneru je 791273b2-eba7-4285-a117-aa804ea76e95 a úplný doménový název. (FQDN) je dc.contoso.com, zadejte následující příkaz:
    repadmin /showmeta GUID = 791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com
    Syntaxe tohoto příkazu musí obsahovat identifikátor GUID odstraněným objekt nebo kontejneru a úplný název domény serveru, který chcete ze zdroje.
  5. Ve výstupu příkazu Repadmin Najděte původní datum řadič domény a čas pro atribut isDeleted . Například se v pátém řádku v následujícím příkladu zobrazí informace pro atribut isDeleted výstup:
    Loc.USN  Originating DC                  Org.USN  Org.Time/Date       Ver  Attribute
    -----------------------------------------------------------------------------------------------
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  objectClass
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  ou
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  instanceType
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  whenCreated
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   1  isDeleted
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  nTSecurityDescriptor
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  name
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   1  lastKnownParent
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  objectCategory
  6. Pokud název původní řadič domény druhý sloupec výstup se zobrazí jako 32znakový alfanumerický identifikátor GUID použijte příkaz Ping přeložit na adresu IP a název identifikátoru GUID řadič domény, který pochází odstranění. Příkaz Ping používá následující syntaxe:
    ping –a <originating dc="" guid=""></originating>._msdomain řadiče.<fully qualified="" path="" for="" forest="" root=""></fully>>
    Poznámka: "-" Možnost je velká a malá písmena. Pomocí úplného názvu domény název kořenové domény doménové struktury bez ohledu na doménu, původem řadič domény nachází v.

    Například pokud původní doménu Řadič bydliště v libovolné domény v doménové struktuře Contoso.com a bylo identifikátor GUID 644eb7e7-1566-4f29-a778-4b487637564b, zadejte následující příkaz:
    ping –a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com
    Výstup vrácen tento příkaz je podobný následujícímu:
    Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:
    
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
  7. Zobrazení protokolu zabezpečení řadiče domény, který odstranění nebo na dobu uvedenou ve výstupu pochází příkazu Repadmin v kroku 5.

    Věnovat pozornost zkosí čas a mezi počítači, které byly použity v této změně časového pásma bod. Jestliže odstranění je povoleno auditování pro kontejnery organizační jednotky nebo odstraněným objekty zřetel na příslušné auditovat události. Pokud není auditování povoleno, věnujte pozornost uživatelům, kteří měl oprávnění k odstranění kontejnerů organizační jednotky nebo podřízené objekty v nich a který také měl ověřován čas před odstranění pocházející z řadiče domény.

Jak minimalizovat dopad hromadné odstranění v budoucnosti

Klíče k minimalizaci dopadu hromadné odstranění uživatelů počítačů a zabezpečení se ujistěte, že máte aktuální skupiny zálohování stavu systému těsně k řízení přístupu k privilegované uživatelské účty řízeno, co můžete dělat tyto účty a nakonec k obnovení praxe z hromadné odstranění.

Každý den dojde ke změně stavu systému. Tyto změny mohou zahrnovat Resetuje hesla uživatelských účtů a účtů počítačů Kromě změn členství ve skupinách a další změny atributů na uživatele účty, účty počítače a skupiny zabezpečení. Pokud dojde k selhání hardwaru, software selže nebo webu dojde jinou katastrofou, můžete obnovení zálohy, které byly provedeny po každé významné změny v sady každé domény služby Active Directory a serveru v doménové struktuře. Pokud chcete zachovat není aktuální zálohy, může dojít ke ztrátě dat nebo může být návrat Obnovené objekty.

Společnost Microsoft doporučuje podniknout následující kroky k zabránění hromadné odstranění:
  1. Nesdílet heslo správce vestavěné účty nebo povolení sdílení společné pro správu uživatelských účtů. Pokud je znám heslo pro předdefinovaný účet správce, změna hesla a definovat vnitřní proces, který odrazuje od jeho použití. Auditovat události pro sdílené uživatelské účty znemožňují zjistit identitu uživatele kdo je provedení změn ve službě Active Directory. Proto používání sdíleného uživatelského účty musí být typu nedoporučujeme.
  2. Jen velmi zřídka dané uživatelské účty, účty počítače a skupiny zabezpečení jsou záměrně odstraněn. To platí zejména stromu odstranění. Služby a delegované správcům možnost zrušení přiřazení Tyto objekty odstraníte z schopnost vytvářet a spravovat uživatelské účty účty skupin zabezpečení, OU kontejnerů a jejich atributy. Grant pouze nejčastěji privilegované uživatelské účty nebo zabezpečení skupiny právo provádět odstraní strom. Tyto účty privilegovaný uživatel může zahrnovat organizace Členové skupiny Administrators.
  3. Delegovaný správce udělit přístup pouze pro třídy objekt, který mohou správci spravovat. Je například lépe, pokud se správcem systému nápovědy stůl, jejichž primární úlohy je upravit vlastnosti u uživatelských účtů nemá oprávnění k vytvoření a odstranění počítače účty, skupiny zabezpečení nebo kontejnery organizační jednotky. Toto omezení platí také pro oprávnění pro správce Další objekt třídy.
  4. Vyzkoušet nastavení auditování sledovat operace odstranění v doméně lab. Po jste obeznámeni s výsledky, platí, co roztok do domény výroby.
  5. Velkoobchod řízení přístupu a auditování změn v kontejnerech hostující desítky tisíc objektů můžete vytvořit databázi služby Active Directory růst, zejména v doménách systému Windows 2000. Pomocí testu domény, Zrcadlí v provozním vyhodnotit potenciální změny místa na disku. Kontrola pevného disku svazků, které jsou hostiteli soubory Ntds.dit a protokol soubory řadiče domény v doméně výroby na disku volného místa. Vyhnout se nastavení řízení přístupu a auditování změn hlavy řadič domény sítě. Tyto změny by zbytečně aplikovat na objekty všech třídy do nádob v oddílu. Nepoužívejte například provedení změny v systému DNS (Domain Name) a (DLT) záznam sledování distribuovaných propojení registrace v CN = SYSTÉMOVÁ složka oddílu domény.
  6. Oddělit uživatele pomocí struktury doporučené OU účty, účty počítačů, skupin zabezpečení a účty služeb v jejich vlastní organizační jednotky. Při použití takové struktury můžete použít volitelný seznamech řízení přístupu (DACL) do jediné třídy objektů pro delegované správu a umožňují objektů bylo obnoveno podle objekt třídy, pokud mají být obnoveny. Struktura OU nejlepších postupů. popsaných v části "Vytváření organizační jednotka návrhu" Nejlepší praxe návrhu služby Active Directory pro správu sítí Windows bílého papíru. Tento dokument white paper získáte následující Web společnosti Microsoft:
    http://technet.microsoft.com/en-us/library/Bb727085.aspx
  7. Hromadné odstranění otestovat v testovacím prostředí, která odráží váš Výroba domény. Zvolte způsob obnovení, který vám vyhovuje, a pak Upravte pro vaši organizaci. Chcete určit následující:
    • Názvy řadičů domény v každé doméně, pravidelně zálohovány
    • Uložení záložní bitové kopie

      V ideálním případě by tyto obrázky jsou uloženy na další pevný disk, který je místní do globálního katalogu Každá doména v doménové struktuře.
    • Které členy organizace stůl nápovědy kontakt
    • Nejlepší způsob, jak vytvořit kontakt
  8. Většina hromadné odstranění uživatelských účtů počítače účty a skupiny zabezpečení, které vidí Microsoft jsou náhodné. Diskuse Tento scénář s oddělení IT a rozvíjet vnitřní akční plán. Na první, fokus na včasné detekce a vrácením funkčnost domény Uživatelé a váš podnik co nejrychleji. Můžete také provést kroky k zabránění náhodnému hromadné odstranění p?edejít úpravou seznamy řízení přístupu (ACL) organizační jednotky. Další informace o použití nástroje rozhraní systému Windows zabránit náhodnému hromadné odstranění navštivte "Ochrana proti náhodnému hromadné odstranění v adresáři Active Directory" následujícím webu společnosti Microsoft:
    http://technet.microsoft.com/en-us/library/cc773347 (WS.10) .aspx
    Další informace o tom, jak zabránit náhodnému hromadné odstranění pomocí Dsacls.exe na příkazovém řádku nebo pomocí skriptu naleznete na "Skript chránit organizační jednotky (OU) před nechtěným odstraněním" následujícím webu společnosti Microsoft:
    http://go.microsoft.com/fwlink/?linkid=162623

Nástroje a skripty, které mohou pomoci při obnovení z hromadné odstranění

Nástroj příkazového řádku Groupadd.exe přečte memberOf atributu kolekce uživatele v organizační jednotce a vytvoří ldf obnovit soubor, který přidá každý uživatelský účet skupinám zabezpečení v každé doméně v doménové struktuře.

Groupadd.exe automaticky vyhledá domén a skupiny zabezpečení, které jsou odstraněny uživatelé byli členy a přidá je do těch skupiny. Tento proces je podrobně vysvětleny v další krok 11 metoda 1.

Groupadd.exe spuštěn v řadiči domény:
  • Řadiče domény systému Windows Server 2003
  • Řadiče domény systému Windows 2000, které mají 1.1 rozhraní. rozhraním.
Groupadd.exe používá následující syntaxi:
groupadd /after_restore ldf_file [/before_restore ldf_file]
Zde ldf_file představuje název soubor ldf s předchozí argument after_restore představuje uživatelský zdroj dat souboru a before_restore představuje data od uživatele výrobní prostředí. (Souborový zdroj dat uživatele je vhodné uživatele data.)

Získat Groupadd.exe, obraťte se na odbornou pomoc společnosti Microsoft Služby.

Na produkty třetích stran popisované v tomto článku vyrábějí společnosti které jsou nezávislé na společnosti Microsoft. Společnost Microsoft neposkytuje žádné záruky, předpokládané nebo jinak o výkonu nebo spolehlivosti těchto produkty.

Odkazy

Další informace o obnovení objekt obsahující rozšířené znaky získáte v článcích báze Microsoft Knowledge Base:
886689Ntdsutil autoritativní obnovení není úspěšné rozlišující název cesty obsahuje znaky s diakritikou v systému Windows Server 2003 a Windows 2000
Další informace získáte v článcích báze Microsoft Knowledge Base:
824684Popis standardní terminologie používané při popisu aktualizací softwaru společnosti Microsoft
910823 Při importu souborů LDF v počítači se systémem Windows Server 2003 s aktualizací Service Pack 1 zobrazí chybová zpráva: "na řádku LineNumber: takový objekt"
937855 Po obnovení odstraněných objektů provedením autoritativní obnovení v řadiči domény se systémem Windows Server 2003 propojených atributů některé objekty nejsou replikovány do ostatních řadičů domény

Další informace o použití funkce koše AD součástí Windows Server 2008 R2 prosím odkaz aktivní adresář koše přihrádky podrobné příručce k dispozici z tohoto webu společnosti Microsoft:http://technet.microsoft.com/en-us/library/dd392261 (WS.10) .aspx

Vlastnosti

ID článku: 840001 - Poslední aktualizace: 18. srpna 2012 - Revize: 17.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
Klíčová slova: 
kbhowto kbwinservds kbactivedirectory kbmt KB840001 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku: 840001

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com