Τρόπος επαναφοράς διαγραμμένων λογαριασμών χρήστη και των συμμετοχών ομάδας τους στην υπηρεσία καταλόγου Active Directory

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 840001 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Περίληψη

Μπορείτε να χρησιμοποιήσετε τρεις μέθοδοι επαναφοράς διαγραμμένων λογαριασμών χρήστη, λογαριασμούς υπολογιστή και ομάδες ασφαλείας. Τα αντικείμενα αυτά ονομάζονται συνολικά αρχές ασφαλείας. Σε όλες τις τρεις μεθόδους επιτακτική επαναφορά διαγραμμένων αντικειμένων και στη συνέχεια επαναφέρετε πληροφοριών μελών ομάδας για αρχές ασφαλείας διαγράφηκε. Κατά την Επαναφορά διαγραμμένου αντικειμένου, πρέπει να επαναφέρετε τις τιμές πρώην το μέλος και Μέλος χαρακτηριστικά της αρχής ασφαλείας που επηρεάζονται. Οι τρεις μέθοδοι είναι οι εξής:
  • Μέθοδος 1: Επαναφορά λογαριασμών χρήστη Διαγραμμένα και στη συνέχεια προσθέστε χρηστών που έχουν επαναφερθεί ξανά στις ομάδες τους, χρησιμοποιώντας το εργαλείο γραμμής εντολών Ntdsutil.exe (Microsoft Windows Server 2003 με Service Pack 1 [SP1] μόνο)
  • Μέθοδος 2: Επαναφέρετε το διαγραμμένων λογαριασμών χρήστη και στη συνέχεια προσθέστε χρηστών που έχουν επαναφερθεί ξανά στις ομάδες τους
  • Μέθοδος 3: Επιτακτική επαναφορά λογαριασμών διαγραμμένου χρήστη και ομάδες ασφαλείας Διαγραμμένα χρήστες δύο φορές
Σημείωση: Αυτό το άρθρο KB καλύπτει λεπτομέρειες δυνατότητα AD Κάδο Ανακύκλωσης περιλαμβάνεται στον Windows Server 2008 R2. Εξετάστε την ενότητα αναφορές για περισσότερες λεπτομέρειες σχετικά με αυτήν τη δυνατότητα.

Μεθόδους 1 και 2 παρέχουν καλύτερη εμπειρία για τους χρήστες του τομέα και οι διαχειριστές, επειδή η διατήρηση της προσθήκες σε ομάδες ασφαλείας που έγιναν μεταξύ του χρόνου στην τελευταία κατάσταση συστήματος αντιγράφων ασφαλείας και την ώρα που παρουσιάστηκε κατά τη διαγραφή. Στη μέθοδο 3, αντί για μεμονωμένα προσαρμογές αρχές ασφαλείας να επανέλθει ασφαλείας συμμετοχές τους κατάσταση κατά το τελευταίο αντίγραφο ασφαλείας.

Εάν δεν έχετε ένα έγκυρο αντίγραφο ασφαλείας της κατάστασης συστήματος και τον τομέα όπου παρουσιάστηκε η διαγραφή περιέχει ελεγκτές τομέα με Windows Server 2003, μπορείτε να με μη αυτόματο τρόπο ή μέσω προγραμματισμού ανακτήσετε διαγραμμένα αντικείμενα. Μπορείτε επίσης να χρησιμοποιήσετε το βοηθητικό πρόγραμμα Repadmin προσδιορισμού όταν και όπου ο χρήστης έχει διαγραφεί.

Πιο μεγάλης κλίμακας διαγραφές είναι τυχαίες. Η Microsoft συνιστά να λάβετε πολλά βήματα για να εμποδίσετε άλλους διαγραφή αντικειμένων χύμα.

Σημείωση Για να αποτρέψετε την τυχαία διαγραφή ή μετακίνηση αντικειμένων (ιδιαίτερα οργανωτικές μονάδες), μπορούν να προστεθούν δύο καταχωρήσεις ελέγχου πρόσβασης Άρνηση (ACE) η περιγραφή ασφαλείας κάθε αντικειμένου (DENY "DELETE" & "ΔΙΑΓΡΑΦΉ ΔΈΝΤΡΟΥ") και μία καταχωρήσεις ελέγχου πρόσβασης Άρνηση (ACE) μπορεί να προστεθεί στην περιγραφή ασφαλείας του ΓΟΝΙΚΟΎ κάθε αντικείμενο (ΆΡΝΗΣΗ "ΔΙΑΓΡΑΦΉ ΕΞΑΡΤΗΜΈΝΟΥ"). Για να γίνει αυτό στα Windows 2000 Server και στον Windows Server 2003, χρησιμοποιήστε χρήστες του Active Directory και υπολογιστές, ADSIEdit, LDP ή το εργαλείο γραμμής εντολών DSACLS. Μπορείτε επίσης να αλλάξετε τα προεπιλεγμένα δικαιώματα στο σχήμα AD για οργανωτικές μονάδες, έτσι ώστε αυτές οι καταχωρήσεις ACE περιλαμβάνονται από προεπιλογή.

Για παράδειγμα, για να προστατεύσετε την οργανική μονάδα που ονομάζεται χρήστες τομέα AD που ονομάζεται CONTOSO.COM κατά λάθος τη μετακίνηση ή διαγραφή του γονική οργανωτική μονάδα που ονομάζεται MyCompany, κάνετε τις ακόλουθες ρυθμίσεις παραμέτρων:

Για την οργανωτική μονάδα MyCompany Προσθήκη ΆΡΝΗΣΗ καταχώρησης ελέγχου ΠΡΌΣΒΑΣΗΣ για Όλοι Για να ΔΙΑΓΡΑΦΉ ΕΞΑΡΤΏΜΕΝΟΥ με το Μόνο αυτό το αντικείμενο πεδίο εφαρμογής:
DSACLS "OU = MyCompany, DC = CONTOSO, DC = COM" /D "EVERYONE: ελεγκτή Τομέα"

Για χρήστες οργανική μονάδα, προσθέστε ΆΡΝΗΣΗ καταχώρησης ελέγχου ΠΡΌΣΒΑΣΗΣ για Όλοι Για να ΔΙΑΓΡΑΦΉ και ΔΙΑΓΡΑΦΉ ΔΈΝΤΡΟΥ με το Μόνο αυτό το αντικείμενο πεδίο εφαρμογής:
DSACLS "OU = Users, OU = MyCompany, DC = CONTOSO, DC = COM" /D "EVERYONE: sddt"

Το Active Directory Users and Computers συμπληρωματικό στον Windows Server 2008 περιλαμβάνει ένα Προστασία αντικειμένου από τυχαία διαγραφή πλαίσιο ελέγχου από το Αντικείμενο στην καρτέλα.

Σημείωση Το Προηγμένες δυνατότητες πρέπει να είναι ενεργοποιημένο το πλαίσιο ελέγχου για να προβάλετε αυτήν την καρτέλα.

Όταν δημιουργείτε μια οργανωτική μονάδα χρησιμοποιώντας Active Directory Users και υπολογιστές του Windows Server 2008, το Προστασία από τυχαία διαγραφή του κοντέινερ εμφανίζεται το πλαίσιο ελέγχου. Από προεπιλογή, το πλαίσιο ελέγχου είναι επιλεγμένο και μπορεί να απενεργοποιηθεί.

Παρόλο που μπορείτε να ρυθμίσετε κάθε αντικείμενο υπηρεσίας καταλόγου Active Directory, χρησιμοποιώντας αυτές τις καταχωρήσεις ACE, αυτό είναι καταλληλότερο για οργανωτικές μονάδες. Διαγραφή ή διακινήσεις όλα τα αντικείμενα-φύλλα μπορούν να έχουν σημαντικές επιπτώσεις. Αυτή η ρύθμιση παραμέτρων αποτρέπει οι διαγραφές ή μετακινήσεις. Για να διαγράψετε ή να μετακινήσετε ένα αντικείμενο, χρησιμοποιώντας μια ρύθμιση παραμέτρων πραγματικά, άσους άρνηση πρέπει να καταργηθεί πρώτα.

Περισσότερες πληροφορίες

Αυτό το άρθρο βήμα προς βήμα περιγράφει τον τρόπο επαναφοράς του χρήστη λογαριασμούς, λογαριασμούς υπολογιστή και των συμμετοχών ομάδας τους αφού έχουν Διαγραφή από την υπηρεσία καταλόγου Active Directory. Στις παραλλαγές αυτού του σεναρίου, λογαριασμών χρηστών λογαριασμούς υπολογιστών ή ομάδων ασφαλείας ενδέχεται να έχει διαγραφεί μεμονωμένα ή σε συνδυασμός. Σε αυτές τις περιπτώσεις, εφαρμόζονται τα ίδια βήματα αρχική--μπορείτε επιτακτική επαναφορά, ή επαναφορά του ελέγχου ταυτότητας, αυτά τα αντικείμενα που διαγράφηκαν κατά λάθος. Ορισμένες διαγραφεί αντικείμενα απαιτούν περισσότερη εργασία για επαναφορά. Τα αντικείμενα αυτά περιλαμβάνουν αντικείμενα όπως Λογαριασμοί χρηστών που περιέχουν χαρακτηριστικά που είναι πίσω συνδέσεις των χαρακτηριστικών άλλα αντικείμενα. Δύο από αυτά τα χαρακτηριστικά είναι managedBy και Μέλος.

Όταν προσθέτετε αρχές ασφαλείας, όπως ένα χρήστη λογαριασμός, ομάδα ασφαλείας ή ένα λογαριασμό υπολογιστή σε μια ομάδα ασφαλείας, μπορείτε να κάνετε Οι ακόλουθες αλλαγές στην υπηρεσία καταλόγου Active Directory:
  1. Το όνομα της αρχής ασφαλείας προστίθεται το μέλος χαρακτηριστικό κάθε ομάδα ασφαλείας.
  2. Για την ασφάλεια κάθε ομάδα που ο χρήστης, ο υπολογιστής ή το ομάδα ασφαλείας είναι μέλος, προστίθεται στην αρχή ασφαλείας πίσω σύνδεσηΜέλος το χαρακτηριστικό.
Παρόμοια, όταν ένα χρήστη, έναν υπολογιστή ή μια ομάδα διαγράφεται από Υπηρεσία καταλόγου Active Directory, προκύψει τις ακόλουθες ενέργειες:
  1. Μετακίνηση της αρχής ασφαλείας διαγραφεί σε τα διαγραμμένα αντικείμενα κοντέινερ.
  2. Αριθμός τιμές χαρακτηριστικών, συμπεριλαμβανομένου του Μέλος χαρακτηριστικό, αφαιρούνται από το διαγραμμένο ασφαλείας κύριος υπόχρεος.
  3. Αρχές ασφαλείας διαγραφεί καταργούνται από οποιαδήποτε ασφαλείας ομάδες που ήταν μέλος της. Με άλλα λόγια, το διαγραμμένο ασφαλείας αρχές καταργούνται από κάθε ομάδα ασφαλείας μέλος το χαρακτηριστικό.
Κατά την ανάκτηση διαγραμμένων αρχές ασφαλείας και επαναφοράς τους ιδιότητες μέλους ομάδας, το βασικό σημείο, να θυμάστε είναι ότι κάθε αρχής ασφαλείας πρέπει να υπάρχει στον κατάλογο Active Directory, πριν να επαναφέρετε την ιδιότητα μέλους ομάδας. (Το μέλος μπορεί να είναι ένα χρήστη, έναν υπολογιστή ή άλλη ομάδα ασφαλείας.) Σε αυτό ούτε κανόνα πιο ευρέως, ένα αντικείμενο που περιέχει τα χαρακτηριστικά του οποίου οι τιμές είναι πίσω πρέπει να υπάρχουν συνδέσεις υπηρεσίας καταλόγου Active Directory πριν από το αντικείμενο που περιέχει που σύνδεση προς τα εμπρός μπορεί να γίνει επαναφορά ή να τροποποιηθεί.

Παρόλο που αυτό το άρθρο επικεντρώνεται στον τρόπο επαναφορά διαγραμμένων λογαριασμών χρήστη και των συμμετοχών τους σε ομάδες ασφαλείας, τις έννοιες ισχύουν και για άλλα διαγραφές αντικειμένου. Αυτό Οι έννοιες του άρθρου ισχύουν για Διαγραμμένα αντικείμενα των οποίων χαρακτηριστικό τιμές χρήση Συνδέσεις προώθησης και πάλι συνδέσεις σε άλλα αντικείμενα στην υπηρεσία καταλόγου Active Directory.

Μπορείτε να χρησιμοποιήσετε από τις τρεις μεθόδους για να ανακτήσετε αρχές ασφαλείας. Όταν κάνετε Χρησιμοποιήστε τη μέθοδο 1, αφήσετε στη θέση ασφαλείας όλες τις αρχές που έχουν προστεθεί σε οποιαδήποτε ομάδα ασφαλείας μέσω του συμπλέγματος δομών και προσθέστε μόνο τις αρχές ασφαλείας που διαγράφηκαν από τους αντίστοιχους τομείς ξανά στις ομάδες ασφαλείας τους. Για το παράδειγμα, μπορείτε να κάνετε ένα αντίγραφο ασφαλείας της κατάστασης συστήματος, να προσθέσετε ένα χρήστη σε μια ομάδα ασφαλείας και στη συνέχεια, επαναφέρετε το αντίγραφο ασφαλείας της κατάστασης συστήματος. Όταν χρησιμοποιείτε μεθόδους 1 ή 2, διατήρηση Οι χρήστες που έχουν προστεθεί σε ομάδες ασφαλείας που περιέχουν διαγραφή χρηστών μεταξύ Οι ημερομηνίες που δημιουργήθηκε αντίγραφο ασφαλείας κατάστασης συστήματος και την ημερομηνία που η δημιουργία αντιγράφων ασφαλείας Έγινε επαναφορά. Όταν χρησιμοποιείτε τη μέθοδο 3, μπορείτε να επαναφέρετε ασφαλείας μέλη ομάδας για όλα τα χαρακτηριστικά ασφαλείας ομάδες που περιέχουν διαγραφεί χρήστες τους κατάσταση κατά την ώρα που δημιουργήθηκε το αντίγραφο ασφαλείας της κατάστασης συστήματος.

Μέθοδος 1: Επαναφορά λογαριασμών χρήστη Διαγραμμένα και στη συνέχεια προσθέστε χρηστών που έχουν επαναφερθεί ξανά στις ομάδες τους, χρησιμοποιώντας το εργαλείο γραμμής εντολών Ntdsutil.exe (Microsoft Windows Server 2003 με Service Pack 1 [SP1] μόνο)

Σημείωση Αυτή η μέθοδος είναι έγκυρη μόνο σε ελεγκτές τομέα που εκτελούν Windows Server 2003 με SP1. Εάν δεν έχει εγκατασταθεί τα Windows Server 2003 SP1 στους ελεγκτές τομέα που χρησιμοποιείτε για την αποκατάσταση, χρησιμοποιήστε τη μέθοδο 2.

Στο Windows Server 2003 SP1 λειτουργικότητα προστέθηκε το Ntdsutil.exe εργαλείο γραμμής εντολών για να βοηθήσει τους διαχειριστές περισσότερες συνδέσεις από τα επαναφέρετε εύκολα Διαγραφή αντικειμένων. Δημιουργούνται δύο αρχεία για κάθε επιτακτικής επαναφοράς η λειτουργία. Ένα αρχείο περιέχει μια λίστα των αντικειμένων επιτακτική επαναφορά. Το άλλο αρχείο είναι ένα αρχείο .ldf που χρησιμοποιείται με το βοηθητικό πρόγραμμα Ldifde.exe. Αυτό το αρχείο χρησιμοποιείται για συνδέσεις για τα αντικείμενα που είναι επιτακτική επαναφορά επαναφορά. Στο Windows Server 2003 SP1, επιτακτική επαναφορά ενός χρήστη αντικείμενο δημιουργεί επίσης αρχεία LDIF με την ιδιότητα μέλους ομάδας. Η μέθοδος αυτή αποφεύγει μια διπλή αποκατάσταση.

Όταν χρησιμοποιείτε αυτήν τη μέθοδο, εκτελέσετε το ακόλουθο βήματα υψηλού επιπέδου:
  1. Ελέγξτε εάν έχει έναν καθολικό κατάλογο του χρήστη τομέα δεν αναπαράγονται τη διαγραφή και στη συνέχεια να αποτρέπετε το καθολικό κατάλογο από αναπαραγωγή. Εάν δεν υπάρχει κανένα κρυφό καθολικού καταλόγου, εντοπίστε το πιο πρόσφατο αντίγραφο ασφαλείας της κατάστασης συστήματος του ελεγκτή τομέα καθολικού καταλόγου του διαγραμμένου χρήστη οικιακό τομέα.
  2. Auth επαναφορά όλων των λογαριασμών του διαγραμμένου χρήστη και στη συνέχεια επιτρέψτε αναπαραγωγή τερματικό σε αυτούς τους λογαριασμούς χρηστών.
  3. Προσθήκη όλων των χρηστών που επαναφέρατε όλες τις ομάδες σε όλα τομείς που τους λογαριασμούς χρήστη ήταν μέλος πριν ήταν Διαγραφή.
Για να χρησιμοποιήσετε τη μέθοδο 1, ακολουθήστε την εξής διαδικασία:
  1. Ελέγξτε αν υπάρχει ένας τομέας καθολικού καταλόγου ελεγκτής τομέα καταγωγής του διαγραμμένου χρήστη που έχει αναπαραχθεί οποιοδήποτε τμήμα της διαγραφής.

    Σημείωση Εστίαση σε οι καθολικοί κατάλογοι που έχουν τουλάχιστον συχνές χρονοδιαγράμματα αναπαραγωγής.

    Εάν υπάρχουν ένα ή περισσότερα από αυτά τα καθολικούς καταλόγους, Χρησιμοποιήστε το εργαλείο γραμμής εντολών Repadmin.exe για να απενεργοποιήσετε αμέσως εισερχομένων αναπαραγωγή. Ακολουθήστε τα εξής βήματα:
    1. Κάντε κλικ στο κουμπί Έναρξη, και στη συνέχεια κάντε κλικ στο κουμπί Εκτέλεση.
    2. Τύπος cmd με το Άνοιγμα πλαίσιο και στη συνέχεια κάντε κλικ OK.
    3. Πληκτρολογήστε την ακόλουθη εντολή στη γραμμή εντολών, και στη συνέχεια, πιέστε το πλήκτρο ENTER:
      repadmin/επιλογές <recovery dc="" name=""></recovery> + DISABLE_INBOUND_REPL
      Σημείωση Εάν δεν είναι δυνατή η έκδοση της εντολής Repadmin αμέσως, κατάργηση όλων συνδεσιμότητα δικτύου από τον κρυφό καθολικό κατάλογο μέχρι να χρησιμοποιήσετε Repadmin Για να απενεργοποιήσετε την εισερχόμενη αναπαραγωγή και στη συνέχεια να επιστρέψετε αμέσως δικτύου συνδεσιμότητα.
    Αυτός ο ελεγκτής τομέα θα αναφέρεται ως η ανάκτηση ελεγκτής τομέα. Εάν δεν υπάρχει Καθολικός κατάλογος, μεταβείτε στο βήμα 2.
  2. Είναι καλύτερα να σταματήσετε τις αλλαγές σε ομάδες ασφαλείας στο του σύμπλεγμα δομών εάν ισχύουν οι ακόλουθες προτάσεις:
    • Χρησιμοποιείτε τη μέθοδο 1 σε χρήστες επαναφοράς διαγραμμένων auth ή λογαριασμοί υπολογιστή από τους διαδρομή αποκλειστικού ονόματος (dn).
    • Έχει γίνει αναπαραγωγή της διαγραφής όλων στον τομέα ελεγκτές στο σύμπλεγμα δομών εκτός τομέα ως λανθάνουσα αποκατάστασης ελεγκτής.
    • Δεν είστε auth επαναφορά ομάδες ασφαλείας ή τους γονικό κοντέινερ.
    Εάν είστε auth επαναφορά ομάδες ασφαλείας ή οργανωτική δοχεία μονάδα (OU) που φιλοξενούν προσωρινά ομάδες ασφαλείας ή λογαριασμών χρηστών Διακόψτε όλες αυτές τις αλλαγές.

    Ειδοποιήστε τους διαχειριστές και help desk Οι διαχειριστές σε κατάλληλους τομείς επιπλέον σε χρήστες τομέα του τομέας όπου παρουσιάστηκε η διαγραφή σχετικά με τη διακοπή αυτές τις αλλαγές.
  3. Δημιουργήστε ένα νέο αντίγραφο ασφαλείας της κατάστασης συστήματος στον τομέα όπου το Διαγραφή Παρουσιάστηκε. Μπορείτε να χρησιμοποιήσετε αυτό το αντίγραφο ασφαλείας, εάν χρειαστεί να επαναφέρετε σας αλλαγές.

    Σημείωση Εάν είναι τρέχοντα έως το σημείο των αντιγράφων ασφαλείας κατάστασης συστήματος του Διαγραφή, παραλείψτε αυτό το βήμα και μεταβείτε στο βήμα 4.

    Εάν εντοπιστεί ένα ελεγκτής τομέα αποκατάστασης στο βήμα 1, αντίγραφα ασφαλείας της κατάστασης συστήματος τώρα.

    Εάν Οι καθολικοί κατάλογοι βρίσκεται στον τομέα όπου παρουσιάστηκε η διαγραφή αναπαραγωγή της διαγραφής, αντίγραφα ασφαλείας της κατάστασης συστήματος του καθολικού καταλόγου στο του τομέας όπου παρουσιάστηκε κατά τη διαγραφή.

    Όταν δημιουργείτε ένα αντίγραφο ασφαλείας, μπορείτε να επιστρέψετε στον ελεγκτή τομέα αποκατάστασης την τρέχουσα κατάσταση και να εκτελέσετε σας αποκατάστασης σχεδίου ξανά, εάν σας πρώτη προσπάθεια δεν είναι επιτυχής.
  4. Εάν δεν εντοπίσετε ένα τομέα ως λανθάνουσα καθολικού καταλόγου βρείτε το πιο πρόσφατο ελεγκτή τομέα όπου παρουσιάστηκε η διαγραφή χρήστη αντίγραφο ασφαλείας κατάστασης συστήματος ενός ελεγκτή τομέα του καθολικού καταλόγου σε αυτόν τον τομέα. Αυτό αντίγραφο ασφαλείας κατάστασης συστήματος πρέπει να περιέχουν τα διαγραμμένα αντικείμενα. Χρησιμοποιήστε αυτόν τον τομέα ελεγκτής ως ελεγκτής τομέα αποκατάστασης.

    Μόνο επαναφορές από την καθολικός κατάλογος ελεγκτές τομέα στον τομέα του χρήστη περιέχουν καθολική και η καθολική ομάδα πληροφοριών μελών για ομάδες ασφαλείας που βρίσκονται σε εξωτερικούς τομείς. Εάν δεν υπάρχει αντίγραφο ασφαλείας κατάστασης συστήματος τομέα καθολικού καταλόγου ελεγκτής τομέα όπου οι χρήστες διαγράφηκαν, δεν μπορείτε να χρησιμοποιήσετε το Μέλος χαρακτηριστικό σε λογαριασμούς χρήστη που επαναφέρατε προσδιορισμού καθολικό ή μέλη καθολικής ομάδας ή να ανακτήσετε την ιδιότητα μέλους σε εξωτερικούς τομείς. Επιπλέον, είναι καλή ιδέα να βρείτε το πιο πρόσφατο αντίγραφο ασφαλείας κατάστασης συστήματος του ένας ελεγκτής τομέα μη καθολικό κατάλογο.
  5. Εάν γνωρίζετε τον κωδικό πρόσβασης για εργασία χωρίς σύνδεση διαχειριστή λογαριασμός, ξεκινήστε τον ελεγκτή τομέα αποκατάστασης σε λειτουργία Dsrepair. Εάν δεν το κάνετε γνωρίζετε τον κωδικό πρόσβασης για το λογαριασμό διαχειριστή για εργασία χωρίς σύνδεση, η επαναφορά του κωδικού πρόσβασης ενώ ο ελεγκτής τομέα αποκατάστασης είναι ακόμη σε κανονική υπηρεσίας καταλόγου Active Directory κατάσταση λειτουργίας.

    Μπορείτε να χρησιμοποιήσετε το Setpwd εργαλείο γραμμής εντολών για να επαναφέρετε τον κωδικό πρόσβασης σε ελεγκτές τομέα που εκτελούν το Windows 2000 Service Pack 2 (SP2) και νεότερη έκδοση κατά είναι σε λειτουργία με σύνδεση υπηρεσίας καταλόγου Active Directory.

    ΣημείωσηΗ Microsoft υποστηρίζει πλέον τα Windows 2000.

    Για περισσότερες πληροφορίες σχετικά με την αλλαγή του κωδικού πρόσβασης διαχειριστή της Κονσόλα αποκατάστασης, κάντε κλικ στην παρακάτω αριθμό άρθρου για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    239803Τρόπος αλλαγής του κωδικού πρόσβασης διαχειριστή της Κονσόλα αποκατάστασης σε ελεγκτή τομέα
    Οι διαχειριστές τομέα Windows Server 2003 ελεγκτές να χρησιμοποιήσετε το Ορισμός κωδικού πρόσβασης dsrm εντολή με το Ntdsutil εργαλείο γραμμής εντολών για να επαναφέρετε τον κωδικό πρόσβασης για την εργασία χωρίς σύνδεση ο λογαριασμός διαχειριστή.

    Για περισσότερες πληροφορίες σχετικά με τον τρόπο επαναφοράς του Διαχειριστής λειτουργία επαναφοράς υπηρεσιών καταλόγου λογαριασμός, κάντε κλικ στα παρακάτω αριθμό άρθρου για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    322672Τρόπος επαναφοράς του κωδικού πρόσβασης λογαριασμού διαχειριστή κατάσταση επαναφοράς υπηρεσιών καταλόγου στον Windows Server 2003
  6. Πιέστε το πλήκτρο F8 κατά τη διαδικασία εκκίνησης για να ξεκινήσετε την αποκατάσταση ελεγκτής τομέα σε λειτουργία Dsrepair. Σύνδεση με την Κονσόλα αποκατάστασης ελεγκτής τομέα με λογαριασμό διαχειριστή για εργασία χωρίς σύνδεση. Εάν επαναφέρετε το κωδικός πρόσβασης στο βήμα 5, χρησιμοποιήστε τον νέο κωδικό πρόσβασης.

    Εάν τομέα αποκατάστασης ελεγκτής είναι ελεγκτής τομέα ως λανθάνουσα καθολικού καταλόγου, επαναφέρετε το κατάσταση του συστήματος. Προχωρήστε στο βήμα 7.

    Εάν δημιουργείτε τομέα αποκατάστασης ελεγκτή χρησιμοποιώντας ένα αντίγραφο ασφαλείας της κατάστασης συστήματος, επαναφέρετε το πιο πρόσφατο σύστημα κατάσταση αντίγραφο ασφαλείας που δημιουργήθηκε στον ελεγκτή τομέα αποκατάστασης τώρα.
  7. Auth Επαναφορά διαγραμμένου χρήστη λογαριασμούς, το διαγραμμένο λογαριασμοί υπολογιστή ή ομάδες ασφαλείας διαγράφηκε.

    Σημείωση Τους όρους επαναφορά του ελέγχου ταυτότητας και επιτακτική επαναφορά ανατρέξτε στη διαδικασία χρησιμοποιώντας το επιτακτική επαναφορά εντολή με το Ntdsutil εργαλείο γραμμής εντολών για να την αυξήσετε τους αριθμούς έκδοσης των συγκεκριμένων αντικείμενα ή συγκεκριμένο κοντέινερ και τα δευτερεύοντα αντικείμενα. Μόλις παρουσιάζεται αναπαραγωγής άκρο σε άκρο, στοχοθετημένων αντικείμενα στον τομέα αποκατάστασης τοπικό αντίγραφο του ελεγκτή της υπηρεσίας καταλόγου Active Directory γίνονται επιτακτική σε όλες τις Οι ελεγκτές τομέα που χρησιμοποιούν αυτό το διαμέρισμα. Είναι μια επιτακτική επαναφορά διαφορετική από μια επαναφορά κατάστασης συστήματος. Συμπληρώνει μια επαναφορά κατάστασης συστήματος ο ελεγκτής τομέα που επαναφέρεται τοπικό αντίγραφο του καταλόγου Active Directory με το εκδόσεις των αντικειμένων κατά τη στιγμή που έγινε το αντίγραφο ασφαλείας της κατάστασης συστήματος γίνεται.

    Για περισσότερες πληροφορίες σχετικά με την επαναφορά ενός ελεγκτή τομέα auth, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    241594Τρόπος εκτέλεσης επιτακτικής επαναφοράς σε έναν ελεγκτή τομέα των Windows 2000


    Εκτέλεση επιτακτικής επαναφορές με το Ntdsutil της γραμμής εντολών του εργαλείου και να αναφέρεται η διαδρομή όνομα (dn) του τομέα των το διαγραφή χρηστών ή των δοχείων που φιλοξενούν Διαγραμμένα χρήστες.

    Όταν Μπορείτε auth επαναφοράς, χρήση τομέα όνομα (dn) διαδρομές που είναι χαμηλότερη στο δέντρο τομέα όπως, πρέπει να είναι για να αποφύγετε την επαναφορά αντικειμένων που σχετίζονται με το Διαγραφή. Τα αντικείμενα αυτά μπορεί να περιλαμβάνουν αντικείμενα που τροποποιήθηκαν μετά από το σύστημα δημιουργήθηκε αντίγραφο ασφαλείας του κράτους.

    Οι χρήστες επαναφοράς διαγραμμένων auth στις ακόλουθες σειρά:
    1. Επαναφορά auth η διαδρομή ονόματος (dn) τομέα για κάθε διαγραφεί λογαριασμός χρήστη, λογαριασμός υπολογιστή ή ομάδα ασφαλείας.

      Αξιόπιστη επαναφορές συγκεκριμένα αντικείμενα διαρκέσει περισσότερο, αλλά είναι λιγότερο καταστροφικές από επιτακτική επαναφορές ολόκληρο δευτερεύον δέντρο. Auth επαναφορά χαμηλότερο κοινό γονικό κοντέινερ που διατηρεί διαγραμμένα αντικείμενα.

      Ntdsutil χρησιμοποιεί την ακόλουθη σύνταξη:
      "επιτακτικής επαναφοράς" Ntdsutil "αντικείμενο επαναφοράς <object dn="" path=""></object>"q q
      Για παράδειγμα, για να auth Επαναφορά διαγραμμένου χρήστη JohnDoe με το MayberryΟργανική Μονάδα από το Contoso.com τομέα, χρησιμοποιήστε τα ακόλουθα εντολή:
      Ntdsutil "επιτακτική επαναφορά" "Επαναφορά αντικείμενο cn = JohnDoe, ou = Mayberry, dc = contoso, dc = com" q q
      Για να auth επαναφέρετε την ομάδα ασφαλείας Διαγραμμένα ContosoPrintAccess με το Mayberry Οργανική Μονάδα από το Contoso.com τομέα, χρησιμοποιήστε την ακόλουθη εντολή:
      Ntdsutil "επιτακτική επαναφορά" "Επαναφορά αντικείμενο cn = ContosoPrintAccess, ou = Mayberry, dc = contoso, dc = com" q q


      Σημαντικό Απαιτείται η χρήση των προσφορών.

      Για κάθε χρήστη που επαναφορά, τουλάχιστον δύο αρχεία δημιουργούνται. Τα αρχεία αυτά έχουν τα εξής μορφή:

      ar_ΕΕΕΕΜΜΗΗ HHMMSS_objects.txt
      Αυτό το αρχείο περιέχει μια λίστα επιτακτική επαναφορά αντικείμενα. Χρησιμοποιήστε αυτό το αρχείο με το Επαναφορά authoritatative Ntdsutil "Δημιουργία αρχείου ldif από" εντολή σε άλλο τομέα στο σύμπλεγμα δομών όπου ο χρήστης έχει ένα μέλος τομέα τοπικές ομάδες.

      ar_ΕΕΕΕΜΜΗΗ HHMMSS_links_usn.Loc.ldf
      Εάν εκτελείτε την επαναφορά του ελέγχου ταυτότητας σε έναν καθολικό κατάλογο, μία από αυτά τα αρχεία δημιουργούνται για κάθε τομέα στο σύμπλεγμα δομών. Αυτό το αρχείο περιέχει μια δέσμη ενεργειών που μπορείτε να χρησιμοποιήσετε με το βοηθητικό πρόγραμμα Ldifde.exe. Επαναφέρει τη δέσμη ενεργειών του Οι συνδέσεις για τα ανακτημένα αντικείμενα. Στο σπίτι του χρήστη τομέα, η δέσμη ενεργειών Επαναφέρει όλες τις ιδιότητες μέλους ομάδας για τους χρήστες που επαναφέρατε. Σε όλους τους άλλους τομείς στο σύμπλεγμα δομών όπου ο χρήστης είναι μέλος ομάδας, η δέσμη ενεργειών επαναφέρει μόνο μέλη ομάδας Universal και καθολικά. Η δέσμη ενεργειών επαναφοράς οποιονδήποτε τομέα Μέλη τοπικής ομάδας. Αυτά τα μέλη δεν παρακολουθούνται από μια καθολική κατάλογος.
    2. Auth επαναφέρετε μόνο τα εμπορευματοκιβώτια OU ή κοινό όνομα (CN) που φιλοξενούν το διαγραμμένο λογαριασμούς ή ομάδες χρηστών.

      Αξιόπιστη επαναφορές ολόκληρο δευτερεύον δέντρο είναι έγκυρα κατά την οργανική Μονάδα που είναι το Ntdsutil "επιτακτικής επαναφοράς" η εντολή περιέχει τη συντριπτική πλειοψηφία των αντικειμένων που προσπάθεια επαναφοράς του ελέγχου ταυτότητας. Ιδανικά, στοχοθετημένων OU περιέχει όλες τις αντικείμενα που προσπαθείτε να auth επαναφοράς.

      Μια αξιόπιστη επαναφορά σε ένα δευτερεύον δέντρο OU επαναφέρει όλα τα χαρακτηριστικά και αντικείμενα που βρίσκονται στο κοντέινερ. Οι αλλαγές που έγιναν τη στιγμή που ένα επαναφορά αντιγράφων ασφαλείας κατάστασης συστήματος επαναφέρονται οι τιμές τους κατά το χρόνο Δημιουργία αντιγράφων ασφαλείας. Με τους λογαριασμούς χρήστη, λογαριασμούς υπολογιστή και ομάδες ασφαλείας αυτό Επαναφορά μπορεί να σημαίνει απώλεια τις πιο πρόσφατες αλλαγές σε κωδικούς πρόσβασης, για το σπίτι καταλόγου στη διαδρομή προφίλ, θέση και πληροφορίες για την ομάδα επικοινωνίας συμμετοχή, και τις περιγραφές ασφαλείας που καθορίζονται σε αυτά τα αντικείμενα και χαρακτηριστικά.

      Ntdsutil χρησιμοποιεί την ακόλουθη σύνταξη:
      δευτερεύον Ntdsutil "επιτακτική επαναφορά" "Επαναφορά δέντρο <container dn="" path=""></container>"q q
      Για παράδειγμα, για την επαναφορά του ελέγχου ταυτότητας του Mayberry Οργανική Μονάδα από το Contoso.com τομέα, χρησιμοποιήστε την ακόλουθη εντολή:
      Ntdsutil "επιτακτική επαναφορά" "Επαναφορά subtree ou = Mayberry, dc = contoso, dc = com" q q
    Σημείωση Επαναλάβετε αυτό το βήμα για κάθε ομότιμο υπολογιστή OU που φιλοξενεί διαγραφεί χρήστες ή ομάδες.

    Σημαντικό Όταν επαναφέρετε ένα δευτερεύον αντικείμενο μια οργανική Μονάδα, όλα τα διαγραμμένα γονικά κοντέινερ διαγράφηκε δευτερεύοντα αντικείμενα πρέπει να είναι ρητά ελέγχου ταυτότητας επαναφορά.

    Για κάθε εταιρική μονάδα που επαναφέρετε, τουλάχιστον δύο δημιουργούνται αρχεία. Τα αρχεία αυτά έχουν την εξής μορφή:

    ar_ΕΕΕΕΜΜΗΗ HHMMSS_objects.txt

    Αυτό το αρχείο περιέχει μια λίστα με την επιτακτική Επαναφορά των αντικειμένων. Χρησιμοποιήστε αυτό το αρχείο με το Επαναφορά authoritatative Ntdsutil "Δημιουργία αρχείου ldif από" εντολή σε άλλο τομέα στο σύμπλεγμα δομών όπου η επαναφορά Οι χρήστες ήταν μέλη τομέα τοπικές ομάδες.

    Για περισσότερες πληροφορίες, επισκεφθείτε την η ακόλουθη τοποθεσία Web της Microsoft:
    http://technet2.Microsoft.com/windowsserver/en/library/5ec3a3b1-c4b2-4c74-9d8a-61f7cb555f821033.mspx?mfr=TRUE
    ar_ΕΕΕΕΜΜΗΗ HHMMSS_links_usn.Loc.ldf
    Αυτό το αρχείο περιέχει μια δέσμη ενεργειών που μπορείτε να χρησιμοποιήσετε με το Βοηθητικό πρόγραμμα LDIFDE.exe. Η δέσμη ενεργειών επαναφέρει τις συνδέσεις για τα ανακτημένα αντικείμενα. Σε οικιακό τομέα του χρήστη, η δέσμη ενεργειών επαναφέρει όλες τις ιδιότητες μέλους ομάδας για Επαναφορά χρήστες.
  8. Εάν ανακτήθηκαν Διαγραμμένα αντικείμενα στον τομέα αποκατάστασης ελεγκτής λόγω της μια επαναφορά κατάστασης συστήματος, καταργήστε όλα τα καλώδια δικτύου παρέχουν συνδεσιμότητα δικτύου σε όλους τους άλλους ελεγκτές τομέα στο του σύμπλεγμα δομών.
  9. Κάντε επανεκκίνηση του ελεγκτή τομέα αποκατάστασης σε κανονική ενεργή Κατάσταση του καταλόγου.
  10. Πληκτρολογήστε την ακόλουθη εντολή για να απενεργοποιήσετε την εισερχόμενη αναπαραγωγή στον ελεγκτή τομέα αποκατάστασης:
    repadmin/επιλογές <recovery dc="" name=""></recovery> + DISABLE_INBOUND_REPL
    Ενεργοποίηση σύνδεσης δικτύου σε ελεγκτή τομέα αποκατάστασης Έγινε επαναφορά των οποίων κατάστασης του συστήματος.
  11. Εξερχόμενα αντιγραφή του auth-επαναφορά αντικειμένων από το αποκατάστασης του ελεγκτή τομέα σε ελεγκτές τομέα του τομέα και σε το σύμπλεγμα δομών.

    Κατά την εισερχόμενη αναπαραγωγή του ελεγκτή τομέα αποκατάστασης θα παραμείνει απενεργοποιημένο, πληκτρολογήστε την ακόλουθη εντολή για την Ώθηση αντικειμένων auth επαναφορά για όλους τους ελεγκτές τομέα διατοποθεσιακή ρεπλίκας στον τομέα και σε όλες τις καθολικούς καταλόγους στο σύμπλεγμα δομών:
    /e του Repadmin /syncall /d /P <recovery dc=""> <naming context=""></naming></recovery>
    Εάν οι ακόλουθες προτάσεις είναι true, ομάδα μελών συνδέσεις Αναδημιουργία με την επαναφορά και την αναπαραγωγή του διαγραμμένου χρήστη λογαριασμοί. Προχωρήστε στο βήμα 14.

    Σημείωση Εάν μία ή περισσότερες από τις παρακάτω δηλώσεις δεν είναι αληθής, μεταβείτε στο βήμα 12.
    • Σύμπλεγμα δομών σας λειτουργεί με Windows Server 2003 δασική λειτουργικές επίπεδο ή στο σύμπλεγμα δομών Windows Server 2003 ενδιάμεσης λειτουργική επίπεδο.
    • Διαγράφηκαν μόνο λογαριασμούς χρήστη ή λογαριασμών υπολογιστή και δεν ομάδες ασφαλείας.
    • Προστέθηκαν Διαγραμμένα χρήστες σε ομάδες ασφαλείας σε όλα τομείς στο σύμπλεγμα δομών μετά ήταν μεταπηδά στο σύμπλεγμα δομών σε Windows Server 2003 λειτουργικό επίπεδο συμπλέγματος δομών.
  12. Στην Κονσόλα αποκατάστασης ελεγκτή τομέα, χρησιμοποιήστε το Βοηθητικό πρόγραμμα LDIFDE.exe και το ar_ΕΕΕΕΜΜΗΗ HHMMSS_links_usn.Loc.ldf αρχείο επαναφέρετε τις ιδιότητες μέλους ομάδας του χρήστη. Ακολουθήστε τα εξής βήματα:
    • Κάντε κλικ στο κουμπί Έναρξη, κάντε κλικ στο κουμπί Εκτέλεση, πληκτρολογήστε cmd με το Άνοιγμα πλαίσιο και στη συνέχεια κάντε κλικ OK.
    • Στη γραμμή εντολών, πληκτρολογήστε την ακόλουθη εντολή και στη συνέχεια, πιέστε το πλήκτρο ENTER:
      Το LDIFDE -i -f ar_ΕΕΕΕΜΜΗΗ HHMMSS_links_usn.Loc.ldf
    Εισαγωγή LDIFDE ενδέχεται να αποτύχει και ενδέχεται να λάβετε το ακόλουθο μήνυμα λάθους:
    Προσθήκη σφάλμα γραμμήςxxx>: Μη έγκυρη σύνταξη Το σφάλμα στην πλευρά του διακομιστή είναι "Η παράμετρος είναι εσφαλμένη."
    Εάν ο αριθμός γραμμής προβληματικά στις ΣΥΝΔΈΣΕΙΣ.Ldf για να αναφέρεται σε ένα από τα τρία χαρακτηριστικά περιαγωγής διαπιστευτηρίων, msPKIDPAPIMasterKeys, msPKIAccountCredentials ή msPKIRoamingTimeStamp, ανατρέξτε στο ακόλουθο άρθρο της Γνωσιακής Βάσης της Microsoft (KB):
    2014074 Σφάλμα "Η παράμετρος είναι εσφαλμένη" προσπάθεια ldf για εισαγωγή για την επιτακτική επαναφορά
    Σημείωση Αυτό το άρθρο περιγράφει τις αλλαγές που απαιτούνται για την επιτυχή εισαγωγή ldf για ΣΥΝΔΈΣΕΙΣ.
  13. Ενεργοποίηση εισερχόμενη αναπαραγωγή στον τομέα της αποκατάστασης ελεγκτής χρησιμοποιώντας την ακόλουθη εντολή:
    repadmin/επιλογές <recovery dc="" name=""></recovery> -DISABLE_INBOUND_REPL
  14. Εάν διαγραφεί χρήστες προστέθηκαν τοπικών ομάδων σε εξωτερικά τομείς, κάντε ένα από τα εξής:
    • Μη αυτόματη προσθήκη Διαγραμμένα χρήστες σε αυτές ομάδες.
    • Επαναφορά κατάστασης συστήματος και έλεγχο ταυτότητας κάθε ένα από τα ομάδες τοπικής ασφάλειας που περιέχει τους χρήστες διαγράφεται.
  15. Επαληθεύστε την ιδιότητα μέλους ομάδας του ελεγκτή τομέα αποκατάστασης τομέα και σε καθολικούς καταλόγους σε άλλους τομείς.
  16. Δημιουργήστε αντίγραφο ασφαλείας των ελεγκτών τομέα σε μια νέα κατάσταση συστήματος του ανάκτηση τομέα ελεγκτή τομέα.
  17. Ειδοποιήστε όλους τους διαχειριστές συμπλέγματος δομών, ανάθεση Βοήθεια για διαχειριστές, γραφείο διαχειριστές του συμπλέγματος δομών και τους χρήστες του τομέα ότι έχει ολοκληρωθεί η επαναφορά του χρήστη.

    Οι διαχειριστές μπορούν να έχουν το γραφείο βοήθειας για την επαναφορά κωδικών πρόσβασης λογαριασμών επαναφορά ελέγχου ταυτότητας χρηστών και λογαριασμών υπολογιστή Αλλαγή του οποίου κωδικού πρόσβασης τομέα μετά την επαναφορά συστήματος γίνεται.

    Οι χρήστες αλλάξουν τους κωδικούς πρόσβασής τους μετά από το αντίγραφο ασφαλείας της κατάστασης συστήματος Έγινε θα βρείτε ότι τους πιο πρόσφατο κωδικό πρόσβασης δεν λειτουργεί πλέον. Έχουν τέτοια Οι χρήστες προσπαθούν να συνδεθούν χρησιμοποιώντας τους προηγούμενους κωδικούς πρόσβασης αν γνωρίζουν τους. Διαφορετικά, οι διαχειριστές γραφείο βοήθειας πρέπει να επαναφέρετε τον κωδικό πρόσβασης και επιλέξτε τοο χρήστης πρέπει να αλλάξει κωδικό πρόσβασης στην επόμενη σύνδεση Επιλέξτε το πλαίσιο, κατά προτίμηση σε έναν ελεγκτή τομέα στην ίδια τοποθεσία υπηρεσίας καταλόγου Active Directory ως ο χρήστης βρίσκεται στο.

Μέθοδος 2: Επαναφέρετε το διαγραμμένων λογαριασμών χρήστη και στη συνέχεια προσθέστε χρηστών που έχουν επαναφερθεί ξανά στις ομάδες τους

Όταν χρησιμοποιείτε αυτήν τη μέθοδο, εκτελέστε την ακόλουθη υψηλού επιπέδου τα βήματα:
  1. Ελέγξτε εάν έχει έναν καθολικό κατάλογο του χρήστη τομέα δεν αναπαράγονται τη διαγραφή και στη συνέχεια να αποτρέπετε το καθολικό κατάλογο από αναπαραγωγή. Εάν δεν υπάρχει κανένα κρυφό καθολικού καταλόγου, εντοπίστε το πιο πρόσφατο αντίγραφο ασφαλείας της κατάστασης συστήματος του ελεγκτή τομέα καθολικού καταλόγου του διαγραμμένου χρήστη οικιακό τομέα.
  2. Auth επαναφορά όλων των λογαριασμών του διαγραμμένου χρήστη και στη συνέχεια επιτρέψτε αναπαραγωγή τερματικό σε αυτούς τους λογαριασμούς χρηστών.
  3. Προσθήκη όλων των χρηστών που επαναφέρατε όλες τις ομάδες σε όλα τομείς που τους λογαριασμούς χρήστη ήταν μέλος πριν ήταν Διαγραφή.
Για να χρησιμοποιήσετε τη μέθοδο 2, ακολουθήστε την εξής διαδικασία:
  1. Ελέγξτε αν υπάρχει ένας τομέας καθολικού καταλόγου ελεγκτής τομέα καταγωγής του διαγραμμένου χρήστη που έχει αναπαραχθεί οποιοδήποτε τμήμα της διαγραφής.

    Σημείωση Εστίαση σε οι καθολικοί κατάλογοι που έχουν τουλάχιστον συχνές χρονοδιαγράμματα αναπαραγωγής.

    Εάν υπάρχουν ένα ή περισσότερα από αυτά τα καθολικούς καταλόγους, Χρησιμοποιήστε το εργαλείο γραμμής εντολών Repadmin.exe για να απενεργοποιήσετε αμέσως εισερχομένων αναπαραγωγή. Ακολουθήστε τα εξής βήματα:
    1. Κάντε κλικ στο κουμπί Έναρξη, και στη συνέχεια κάντε κλικ στο κουμπί Εκτέλεση.
    2. Τύπος cmd με το Άνοιγμα πλαίσιο και στη συνέχεια κάντε κλικ OK.
    3. Πληκτρολογήστε την ακόλουθη εντολή στη γραμμή εντολών, και στη συνέχεια, πιέστε το πλήκτρο ENTER:
      repadmin/επιλογές <recovery dc="" name=""></recovery> + DISABLE_INBOUND_REPL
      Σημείωση Εάν δεν είναι δυνατή η έκδοση της εντολής Repadmin αμέσως, κατάργηση όλων συνδεσιμότητα δικτύου από τον κρυφό καθολικό κατάλογο μέχρι να χρησιμοποιήσετε Repadmin Για να απενεργοποιήσετε την εισερχόμενη αναπαραγωγή και στη συνέχεια να επιστρέψετε αμέσως δικτύου συνδεσιμότητα.
    Αυτός ο ελεγκτής τομέα θα αναφέρεται ως η ανάκτηση ελεγκτής τομέα. Εάν δεν υπάρχει Καθολικός κατάλογος, μεταβείτε στο βήμα 2.
  2. Αποφασίστε αν προσθήκες, διαγραφές και αλλαγές σε χρήστη λογαριασμούς, λογαριασμούς υπολογιστή και ομάδες ασφαλείας πρέπει να προσωρινά διακοπεί μέχρι να ολοκληρωθεί όλα τα βήματα ανάκτησης.

    Για να διατηρήσετε τις πιο ευέλικτη αποκατάστασης διαδρομή, προσωρινή διακοπή αλλαγές τα παρακάτω στοιχεία. Αλλαγές περιλαμβάνουν επαναφορά κωδικού πρόσβασης από τους χρήστες του τομέα, διαχειριστές γραφείο βοήθειας και Οι διαχειριστές του τομέα όπου παρουσιάστηκε η διαγραφή, εκτός από την ομάδα αλλαγές ιδιότητας μέλους σε ομάδες χρηστών Διαγραμμένα. Σκεφτείτε διακοπή συμπληρώματά της, διαγραφές και τροποποιήσεις στα ακόλουθα στοιχεία:
    1. Λογαριασμοί χρηστών και ιδιότητες χρήστη λογαριασμοί
    2. Λογαριασμοί υπολογιστή και τα χαρακτηριστικά του υπολογιστή λογαριασμοί
    3. Λογαριασμοί υπηρεσίας
    4. Ομάδες ασφαλείας
    Είναι καλύτερα να σταματήσετε τις αλλαγές σε ομάδες ασφαλείας στο του σύμπλεγμα δομών εάν ισχύουν οι ακόλουθες προτάσεις:
    • Χρήση μέθοδος 2 auth επαναφοράς διαγραμμένων χρήστες ή λογαριασμοί υπολογιστή από τη διαδρομή τους όνομα (dn) τομέα.
    • Έχει γίνει αναπαραγωγή της διαγραφής όλων στον τομέα ελεγκτές στο σύμπλεγμα δομών εκτός τομέα ως λανθάνουσα αποκατάστασης ελεγκτής.
    • Δεν είστε auth επαναφορά ομάδες ασφαλείας ή τους γονικό κοντέινερ.
    Εάν είστε auth επαναφορά ομάδες ασφαλείας ή οργανωτική δοχεία μονάδα (OU) που φιλοξενούν προσωρινά ομάδες ασφαλείας ή λογαριασμών χρηστών Διακόψτε όλες αυτές τις αλλαγές.

    Ειδοποιήστε τους διαχειριστές και help desk Οι διαχειριστές σε κατάλληλους τομείς επιπλέον σε χρήστες τομέα του τομέας όπου παρουσιάστηκε η διαγραφή σχετικά με τη διακοπή αυτές τις αλλαγές.
  3. Δημιουργήστε ένα νέο αντίγραφο ασφαλείας της κατάστασης συστήματος στον τομέα όπου το Διαγραφή Παρουσιάστηκε. Μπορείτε να χρησιμοποιήσετε αυτό το αντίγραφο ασφαλείας, εάν χρειαστεί να επαναφέρετε σας αλλαγές.

    Σημείωση Εάν είναι τρέχοντα έως το σημείο των αντιγράφων ασφαλείας κατάστασης συστήματος του Διαγραφή, παραλείψτε αυτό το βήμα και μεταβείτε στο βήμα 4.

    Εάν εντοπιστεί ένα ελεγκτής τομέα αποκατάστασης στο βήμα 1, αντίγραφα ασφαλείας της κατάστασης συστήματος τώρα.

    Εάν Οι καθολικοί κατάλογοι βρίσκεται στον τομέα όπου παρουσιάστηκε η διαγραφή αναπαραγωγή της διαγραφής, αντίγραφα ασφαλείας της κατάστασης συστήματος του καθολικού καταλόγου στο του τομέας όπου παρουσιάστηκε κατά τη διαγραφή.

    Όταν δημιουργείτε ένα αντίγραφο ασφαλείας, μπορείτε να επιστρέψετε στον ελεγκτή τομέα αποκατάστασης την τρέχουσα κατάσταση και να εκτελέσετε σας αποκατάστασης σχεδίου ξανά, εάν σας πρώτη προσπάθεια δεν είναι επιτυχής.
  4. Εάν δεν εντοπίσετε ένα τομέα ως λανθάνουσα καθολικού καταλόγου βρείτε το πιο πρόσφατο ελεγκτή τομέα όπου παρουσιάστηκε η διαγραφή χρήστη αντίγραφο ασφαλείας κατάστασης συστήματος ενός ελεγκτή τομέα του καθολικού καταλόγου σε αυτόν τον τομέα. Αυτό αντίγραφο ασφαλείας κατάστασης συστήματος πρέπει να περιέχουν τα διαγραμμένα αντικείμενα. Χρησιμοποιήστε αυτόν τον τομέα ελεγκτής ως ελεγκτής τομέα αποκατάστασης.

    Μόνο επαναφορές από την καθολικός κατάλογος ελεγκτές τομέα στον τομέα του χρήστη περιέχουν καθολική και η καθολική ομάδα πληροφοριών μελών για ομάδες ασφαλείας που βρίσκονται σε εξωτερικούς τομείς. Εάν δεν υπάρχει αντίγραφο ασφαλείας κατάστασης συστήματος τομέα καθολικού καταλόγου ελεγκτής τομέα όπου οι χρήστες διαγράφηκαν, δεν μπορείτε να χρησιμοποιήσετε το Μέλος χαρακτηριστικό σε λογαριασμούς χρήστη που επαναφέρατε προσδιορισμού καθολικό ή μέλη καθολικής ομάδας ή να ανακτήσετε την ιδιότητα μέλους σε εξωτερικούς τομείς. Επιπλέον, είναι καλή ιδέα να βρείτε το πιο πρόσφατο αντίγραφο ασφαλείας κατάστασης συστήματος του ένας ελεγκτής τομέα μη καθολικό κατάλογο.
  5. Εάν γνωρίζετε τον κωδικό πρόσβασης για εργασία χωρίς σύνδεση διαχειριστή λογαριασμός, ξεκινήστε τον ελεγκτή τομέα αποκατάστασης σε λειτουργία Dsrepair. Εάν δεν το κάνετε γνωρίζετε τον κωδικό πρόσβασης για το λογαριασμό διαχειριστή για εργασία χωρίς σύνδεση, η επαναφορά του κωδικού πρόσβασης ενώ ο ελεγκτής τομέα αποκατάστασης είναι ακόμη σε κανονική υπηρεσίας καταλόγου Active Directory κατάσταση λειτουργίας.

    Μπορείτε να χρησιμοποιήσετε το Setpwd εργαλείο γραμμής εντολών για να επαναφέρετε τον κωδικό πρόσβασης σε ελεγκτές τομέα που εκτελούν το Windows 2000 Service Pack 2 (SP2) και νεότερη έκδοση κατά είναι σε λειτουργία με σύνδεση υπηρεσίας καταλόγου Active Directory.

    ΣημείωσηΗ Microsoft υποστηρίζει πλέον τα Windows 2000.

    Για περισσότερες πληροφορίες σχετικά με την αλλαγή του κωδικού πρόσβασης διαχειριστή της Κονσόλα αποκατάστασης, κάντε κλικ στην παρακάτω αριθμό άρθρου για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    239803Τρόπος αλλαγής του κωδικού πρόσβασης διαχειριστή της Κονσόλα αποκατάστασης σε ελεγκτή τομέα
    Οι διαχειριστές τομέα Windows Server 2003 ελεγκτές να χρησιμοποιήσετε το Ορισμός κωδικού πρόσβασης dsrm εντολή με το Ntdsutil εργαλείο γραμμής εντολών για να επαναφέρετε τον κωδικό πρόσβασης για την εργασία χωρίς σύνδεση ο λογαριασμός διαχειριστή.

    Για περισσότερες πληροφορίες σχετικά με τον τρόπο επαναφοράς του Διαχειριστής λειτουργία επαναφοράς υπηρεσιών καταλόγου λογαριασμός, κάντε κλικ στα παρακάτω αριθμό άρθρου για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    322672Τρόπος επαναφοράς του κωδικού πρόσβασης λογαριασμού διαχειριστή κατάσταση επαναφοράς υπηρεσιών καταλόγου στον Windows Server 2003
  6. Πιέστε το πλήκτρο F8 κατά τη διαδικασία εκκίνησης για να ξεκινήσετε την αποκατάσταση ελεγκτής τομέα σε λειτουργία Dsrepair. Σύνδεση με την Κονσόλα αποκατάστασης ελεγκτής τομέα με λογαριασμό διαχειριστή για εργασία χωρίς σύνδεση. Εάν επαναφέρετε το κωδικός πρόσβασης στο βήμα 5, χρησιμοποιήστε τον νέο κωδικό πρόσβασης.

    Εάν τομέα αποκατάστασης ελεγκτής είναι ελεγκτής τομέα ως λανθάνουσα καθολικού καταλόγου, επαναφέρετε το κατάσταση του συστήματος. Προχωρήστε στο βήμα 7.

    Εάν δημιουργείτε τομέα αποκατάστασης ελεγκτή χρησιμοποιώντας ένα αντίγραφο ασφαλείας της κατάστασης συστήματος, επαναφέρετε το πιο πρόσφατο σύστημα κατάσταση αντίγραφο ασφαλείας που δημιουργήθηκε στον ελεγκτή τομέα αποκατάστασης τώρα.
  7. Auth Επαναφορά διαγραμμένου χρήστη λογαριασμούς, το διαγραμμένο λογαριασμοί υπολογιστή ή ομάδες ασφαλείας διαγράφηκε.

    Σημείωση Τους όρους επαναφορά του ελέγχου ταυτότητας και επιτακτική επαναφορά ανατρέξτε στη διαδικασία χρησιμοποιώντας το επιτακτική επαναφορά εντολή με το Ntdsutil εργαλείο γραμμής εντολών για να την αυξήσετε τους αριθμούς έκδοσης των συγκεκριμένων αντικείμενα ή συγκεκριμένο κοντέινερ και τα δευτερεύοντα αντικείμενα. Μόλις παρουσιάζεται αναπαραγωγής άκρο σε άκρο, στοχοθετημένων αντικείμενα στον τομέα αποκατάστασης τοπικό αντίγραφο του ελεγκτή της υπηρεσίας καταλόγου Active Directory γίνονται επιτακτική σε όλες τις Οι ελεγκτές τομέα που χρησιμοποιούν αυτό το διαμέρισμα. Είναι μια επιτακτική επαναφορά διαφορετική από μια επαναφορά κατάστασης συστήματος. Συμπληρώνει μια επαναφορά κατάστασης συστήματος ο ελεγκτής τομέα που επαναφέρεται τοπικό αντίγραφο του καταλόγου Active Directory με το εκδόσεις των αντικειμένων κατά τη στιγμή που έγινε το αντίγραφο ασφαλείας της κατάστασης συστήματος γίνεται.

    Για περισσότερες πληροφορίες σχετικά με την επαναφορά ενός ελεγκτή τομέα auth, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    241594Τρόπος εκτέλεσης επιτακτικής επαναφοράς σε έναν ελεγκτή τομέα των Windows 2000


    Εκτέλεση επιτακτικής επαναφορές με το Ntdsutil της γραμμής εντολών του εργαλείου και να αναφέρεται η διαδρομή όνομα (dn) του τομέα των το διαγραφή χρηστών ή των δοχείων που φιλοξενούν Διαγραμμένα χρήστες.

    Όταν Μπορείτε auth επαναφοράς, χρήση τομέα όνομα (dn) διαδρομές που είναι χαμηλότερη στο δέντρο τομέα όπως, πρέπει να είναι για να αποφύγετε την επαναφορά αντικειμένων που σχετίζονται με το Διαγραφή. Τα αντικείμενα αυτά μπορεί να περιλαμβάνουν αντικείμενα που τροποποιήθηκαν μετά από το σύστημα δημιουργήθηκε αντίγραφο ασφαλείας του κράτους.

    Οι χρήστες επαναφοράς διαγραμμένων auth στις ακόλουθες σειρά:
    1. Επαναφορά auth η διαδρομή ονόματος (dn) τομέα για κάθε διαγραφεί λογαριασμός χρήστη, λογαριασμός υπολογιστή ή ομάδα ασφαλείας.

      Αξιόπιστη επαναφορές συγκεκριμένα αντικείμενα διαρκέσει περισσότερο, αλλά είναι λιγότερο καταστροφικές από επιτακτική επαναφορές ολόκληρο δευτερεύον δέντρο. Auth επαναφορά χαμηλότερο κοινό γονικό κοντέινερ που διατηρεί διαγραμμένα αντικείμενα.

      Ntdsutil χρησιμοποιεί την ακόλουθη σύνταξη:
      "επιτακτικής επαναφοράς" Ntdsutil "αντικείμενο επαναφοράς <object dn="" path=""></object>"q q
      Για παράδειγμα, για να auth Επαναφορά διαγραμμένου χρήστη JohnDoe με το MayberryΟργανική Μονάδα από το Contoso.com τομέα, χρησιμοποιήστε τα ακόλουθα εντολή:
      Ntdsutil "επιτακτική επαναφορά" "Επαναφορά αντικείμενο cn = JohnDoe, ou = Mayberry, dc = contoso, dc = com" q q
      Για να auth επαναφέρετε την ομάδα ασφαλείας Διαγραμμένα ContosoPrintAccess με το Mayberry Οργανική Μονάδα από το Contoso.com τομέα, χρησιμοποιήστε την ακόλουθη εντολή:
      Ntdsutil "επιτακτική επαναφορά" "Επαναφορά αντικείμενο cn = ContosoPrintAccess, ou = Mayberry, dc = contoso, dc = com" q q


      Σημαντικό Απαιτείται η χρήση των προσφορών.

      Σημείωση Η σύνταξη αυτή είναι διαθέσιμη μόνο σε Windows Server 2003. Το μόνο Χρησιμοποιήστε την παρακάτω σύνταξη στα Windows 2000 είναι:
      δευτερεύον Ntdsutil "επιτακτική επαναφορά" "Επαναφορά δέντρο διαδρομή DN του αντικειμένου"
      Σημείωση Η λειτουργία του βοηθητικού προγράμματος Ntdsutil επιτακτική επαναφορά δεν είναι επιτυχής εάν η διαδρομή του αποκλειστικού ονόματος (DN) περιέχει εκτεταμένους χαρακτήρες ή κενά διαστήματα. Στο για δέσμες ενεργειών επαναφοράς με επιτυχία το αντικείμενο επαναφοράς" <dn path=""></dn>"εντολή πρέπει να διαβιβαστούν ως μία η ολοκλήρωση της συμβολοσειράς.
      Για να επιλύσετε αυτό το ζήτημα, αναδίπλωση DN που περιέχουν εκτεταμένοι χαρακτήρες και κενά διαστήματα με ανάστροφη κάθετο-double--εισαγωγικό escape ακολουθίες. Ακολουθεί ένα παράδειγμα:
      "επιτακτική επαναφορά" "Επαναφορά Ntdsutil αντικείμενο \"CN=John Γεωργίου, OU = Mayberry NC, DC = contoso, DC = com\" "q q

      Σημείωση Η εντολή πρέπει να τροποποιηθεί περαιτέρω εάν DN του αντικείμενα να Επαναφορά περιέχει κόμμα. Ανατρέξτε στο παρακάτω παράδειγμα:
      Ntdsutil "επιτακτική επαναφορά" "Επαναφορά \"CN=Doe\ αντικείμενο John, OU = Mayberry NC, DC = contoso, DC = com\ "" q q

      Σημείωση Εάν τα αντικείμενα ανακτήθηκαν από μαγνητοταινία, σήμανση επιτακτική και η επαναφορά δεν λειτούργησε σωστά και στη συνέχεια ίδια ταινία χρησιμοποιείται για την επαναφορά το NTDS βάσης δεδομένων και πάλι, έκδοση USN για επαναφορά των αντικειμένων επιτακτική πρέπει να αυξάνεται υψηλότερη από την προεπιλεγμένη 100000 ή το αντικείμενα θα αναπαραχθούν εκτός μετά την επαναφορά του δεύτερου. Η παρακάτω σύνταξη είναι χρειάζεται έναν αριθμό έκδοσης αυξημένη υψηλότερες από 100000 (προεπιλογή) για δέσμες ενεργειών: Ntdsutil "επιτακτική επαναφορά" "Επαναφορά \"CN=Doe\ αντικείμενο John, OU = Mayberry NC, DC = contoso, DC = com\ "verinc 150000\" "q q

      Σημείωση Εάν η δέσμη ενεργειών σας ζητά επιβεβαίωση για κάθε αντικείμενο που Επαναφορά μπορείτε να απενεργοποιήσετε τις ερωτήσεις. Η σύνταξη για να απενεργοποιήσετε την ερώτηση είναι: Ntdsutil "αναδυόμενα off" "επιτακτική επαναφορά" "Επαναφορά αντικείμενο \"CN=John Γεωργίου, OU = Mayberry NC, DC = contoso, DC = com\ "verinc 150000\" "q q
    2. Auth επαναφέρετε μόνο τα εμπορευματοκιβώτια OU ή κοινό όνομα (CN) που φιλοξενούν το διαγραμμένο λογαριασμούς ή ομάδες χρηστών.

      Αξιόπιστη επαναφορές ολόκληρο δευτερεύον δέντρο είναι έγκυρα κατά την οργανική Μονάδα που είναι το Ntdsutil "επιτακτικής επαναφοράς" η εντολή περιέχει τη συντριπτική πλειοψηφία των αντικειμένων που προσπάθεια επαναφοράς του ελέγχου ταυτότητας. Ιδανικά, στοχοθετημένων OU περιέχει όλες τις αντικείμενα που προσπαθείτε να auth επαναφοράς.

      Μια αξιόπιστη επαναφορά σε ένα δευτερεύον δέντρο OU επαναφέρει όλα τα χαρακτηριστικά και αντικείμενα που βρίσκονται στο κοντέινερ. Οι αλλαγές που έγιναν τη στιγμή που ένα επαναφορά αντιγράφων ασφαλείας κατάστασης συστήματος επαναφέρονται οι τιμές τους κατά το χρόνο Δημιουργία αντιγράφων ασφαλείας. Με τους λογαριασμούς χρήστη, λογαριασμούς υπολογιστή και ομάδες ασφαλείας αυτό Επαναφορά μπορεί να σημαίνει απώλεια τις πιο πρόσφατες αλλαγές σε κωδικούς πρόσβασης, για το σπίτι καταλόγου στη διαδρομή προφίλ, θέση και πληροφορίες για την ομάδα επικοινωνίας συμμετοχή, και τις περιγραφές ασφαλείας που καθορίζονται σε αυτά τα αντικείμενα και χαρακτηριστικά.

      Ntdsutil χρησιμοποιεί την ακόλουθη σύνταξη:
      δευτερεύον Ntdsutil "επιτακτική επαναφορά" "Επαναφορά δέντρο <container dn="" path=""></container>"q q
      Για παράδειγμα, για την επαναφορά του ελέγχου ταυτότητας του Mayberry Οργανική Μονάδα από το Contoso.com τομέα, χρησιμοποιήστε την ακόλουθη εντολή:
      Ntdsutil "επιτακτική επαναφορά" "Επαναφορά subtree ou = Mayberry, dc = contoso, dc = com" q q
    Σημείωση Επαναλάβετε αυτό το βήμα για κάθε ομότιμο υπολογιστή OU που φιλοξενεί διαγραφεί χρήστες ή ομάδες.

    Σημαντικό Όταν επαναφέρετε ένα δευτερεύον αντικείμενο μια οργανική Μονάδα, όλα τα διαγραμμένα γονικά κοντέινερ διαγράφηκε δευτερεύοντα αντικείμενα πρέπει να είναι ρητά ελέγχου ταυτότητας επαναφορά.
  8. Εάν ανακτήθηκαν Διαγραμμένα αντικείμενα στον τομέα αποκατάστασης ελεγκτής λόγω της μια επαναφορά κατάστασης συστήματος, καταργήστε όλα τα καλώδια δικτύου παρέχουν συνδεσιμότητα δικτύου σε όλους τους άλλους ελεγκτές τομέα στο του σύμπλεγμα δομών.
  9. Κάντε επανεκκίνηση του ελεγκτή τομέα αποκατάστασης σε κανονική ενεργή Κατάσταση του καταλόγου.
  10. Πληκτρολογήστε την ακόλουθη εντολή για να απενεργοποιήσετε την εισερχόμενη αναπαραγωγή στον ελεγκτή τομέα αποκατάστασης:
    repadmin/επιλογές <recovery dc="" name=""></recovery> + DISABLE_INBOUND_REPL
    Ενεργοποίηση σύνδεσης δικτύου σε ελεγκτή τομέα αποκατάστασης Έγινε επαναφορά των οποίων κατάστασης του συστήματος.
  11. Εξερχόμενα αντιγραφή του auth-επαναφορά αντικειμένων από το αποκατάστασης του ελεγκτή τομέα σε ελεγκτές τομέα του τομέα και σε το σύμπλεγμα δομών.

    Κατά την εισερχόμενη αναπαραγωγή του ελεγκτή τομέα αποκατάστασης θα παραμείνει απενεργοποιημένο, πληκτρολογήστε την ακόλουθη εντολή για την Ώθηση αντικειμένων auth επαναφορά για όλους τους ελεγκτές τομέα διατοποθεσιακή ρεπλίκας στον τομέα και σε όλες τις καθολικούς καταλόγους στο σύμπλεγμα δομών:
    /e του Repadmin /syncall /d /P <recovery dc=""> <naming context=""></naming></recovery>
    Εάν οι ακόλουθες προτάσεις είναι true, ομάδα μελών συνδέσεις Αναδημιουργία με την επαναφορά και την αναπαραγωγή του διαγραμμένου χρήστη λογαριασμοί. Προχωρήστε στο βήμα 14.

    Σημείωση Εάν μία ή περισσότερες από τις παρακάτω δηλώσεις δεν είναι αληθής, μεταβείτε στο βήμα 12.
    • Σύμπλεγμα δομών σας λειτουργεί με Windows Server 2003 δασική λειτουργικές επίπεδο ή στο σύμπλεγμα δομών Windows Server 2003 ενδιάμεσης λειτουργική επίπεδο.
    • Διαγράφηκαν μόνο λογαριασμούς χρήστη ή λογαριασμών υπολογιστή και δεν ομάδες ασφαλείας.
    • Προστέθηκαν Διαγραμμένα χρήστες σε ομάδες ασφαλείας σε όλα τομείς στο σύμπλεγμα δομών μετά ήταν μεταπηδά στο σύμπλεγμα δομών σε Windows Server 2003 λειτουργικό επίπεδο συμπλέγματος δομών.
  12. Προσδιορίστε ποιες ομάδες ασφαλείας που έχουν διαγραφεί χρήστες τα μέλη της, και στη συνέχεια να τα προσθέσετε αυτές τις ομάδες.

    Σημείωση Πριν να προσθέσετε χρήστες σε ομάδες, οι χρήστες που θα auth Επαναφορά στο βήμα 7, οι οποίοι θα εξερχόμενων αναπαραγόμενα στο βήμα 11 πρέπει να έχουν αναπαραγωγή των ελεγκτών τομέα στον ελεγκτή τομέα που αναφέρεται τομέας και όλοι οι ελεγκτές τομέα του καθολικού καταλόγου στο του σύμπλεγμα δομών.

    Εάν έχετε αναπτύξει ένα βοηθητικό πρόγραμμα προετοιμασίας ομάδας για RE-Populate συμμετοχή σε ομάδες ασφαλείας, χρησιμοποιήστε το βοηθητικό πρόγραμμα τώρα επαναφοράς χρήστες σε ομάδες ασφαλείας που ήταν μέλη της πριν που είχαν διαγραφεί Διαγραφή. Κάνετε αυτό μετά από όλα τα ελεγκτές τομέα απευθείας και μεταβατικές του τομέα και οι διακομιστές καθολικού καταλόγου του συμπλέγματος δομών εισερχόμενων-αναπαραγωγή του επαναφορά του ελέγχου ταυτότητας χρηστών και οποιαδήποτε επαναφορά περιέκτες.

    Εάν δεν έχετε ένα βοηθητικό πρόγραμμα, το εργαλείο γραμμής εντολών Ldifde.exe και το Groupadd.exe εργαλείο γραμμής εντολών μπορεί να αυτοματοποιήσει αυτήν την εργασία για εσάς όταν εκτελούνται σε το ελεγκτής τομέα αποκατάστασης. Αυτά τα εργαλεία είναι διαθέσιμα από το προϊόν της Microsoft Υπηρεσίες υποστήριξης. Σε αυτό το σενάριο, Ldifde.exe δημιουργεί ένα ανταλλαγής δεδομένων LDAP Μορφή (LDIF) πληροφορίες αρχείου που περιέχει τα ονόματα των λογαριασμών χρήστη και ομάδες ασφαλείας τους, ξεκινώντας από ένα κοντέινερ OU που ο διαχειριστής Καθορίζει. Groupadd.exe κατόπιν διαβάζει την Μέλος το χαρακτηριστικό για κάθε λογαριασμό χρήστη που παρατίθεται στο αρχείο .ldf και στη συνέχεια δημιουργεί πληροφορίες LDIF χωριστό και μοναδικό για κάθε τομέα του σύμπλεγμα δομών. Αυτή η πληροφορία LDIF περιέχει τα ονόματα των ομάδων ασφαλείας που διαγραμμένο χρήστες πρέπει να προστεθούν ξανά έτσι ώστε να των συμμετοχών ομάδας τους η επαναφορά. Ακολουθήστε τα παρακάτω βήματα για τη φάση αυτή της αποκατάστασης.
    1. Συνδεθείτε με του ελεγκτή τομέα recovery console χρησιμοποιώντας ένα λογαριασμό χρήστη που είναι μέλος ο διαχειριστής τομέα ασφαλείας ομάδα.
    2. Χρήση του Το LDIFDE εντολή για την αποτύπωση ονόματα λογαριασμών χρήστη παλαιότερα Διαγραμμένα και τους Μέλος χαρακτηριστικά, ξεκινώντας από το ανώτερο κοντέινερ οργανική Μονάδα όπου το Διαγραφή Παρουσιάστηκε. Το Το LDIFDE η εντολή χρησιμοποιεί την ακόλουθη σύνταξη:
      Το LDIFDE -d <dn path="" of="" container="" that="" hosts="" deleted="" users=""></dn> -r "(objectClass=user)" -l memberof -p δευτερεύον δέντρο -f user_membership_after_restore.ldf
      Χρησιμοποιήστε την ακόλουθη σύνταξη, εάν διαγραφεί προστέθηκαν λογαριασμών υπολογιστή σε ομάδες ασφαλείας:
      Το LDIFDE -d <dn path="" of="" container="" that="" hosts="" deleted="" users=""></dn> -r "(objectClass=computer)" -l memberof -p δευτερεύον δέντρο -f computer_membership_after_restore.ldf
    3. Εκτελέστε το Groupadd εντολή για να δημιουργήσετε περισσότερες .ldf αρχεία που περιέχουν τα ονόματα των τομείς και τα ονόματα ασφαλείας καθολική και ευρείες ομάδες που το διαγραμμένο Οι χρήστες ήταν μέλη της. Η εντολή Groupadd χρησιμοποιεί την ακόλουθη σύνταξη:
      Groupadd /after_restore users_membership_after_restore.ldf
      Επαναλάβετε αυτήν την εντολή εάν διαγραφεί προστέθηκαν λογαριασμών υπολογιστή ομάδες ασφαλείας.
    4. Κάθε εισαγωγή Groupadd_Fully.qualified.DomainName.ldf αρχείου που που δημιουργήσατε στο βήμα 12 c σε έναν ελεγκτή τομέα μόνο καθολικού καταλόγου που αντιστοιχεί με το αρχείο .ldf κάθε τομέα. Χρησιμοποιήστε την παρακάτω σύνταξη Ldifde:
      Το LDIFDE –i –k –f Groupadd_<fully.qualified.domain.name></fully.qualified.domain.name>.ldf
      Εκτελέστε το αρχείο .ldf για τον τομέα που οι χρήστες διαγράφηκαν από σε οποιονδήποτε ελεγκτή τομέα εκτός από τον ελεγκτή τομέα αποκατάστασης.
    5. Στην κονσόλα κάθε ελεγκτή τομέα που χρησιμοποιείται Για να εισαγάγετε το Groupadd_<fully.qualified.domain.name></fully.qualified.domain.name>.ldf αρχείο για έναν συγκεκριμένο τομέα, εξερχόμενη αντιγραφή τις προσθήκες συμμετοχή σε ομάδα για τους άλλους ελεγκτές τομέα στον τομέα και στον τομέα του καθολικού καταλόγου ελεγκτές στο σύμπλεγμα δομών, χρησιμοποιώντας την ακόλουθη εντολή:
      /e του Repadmin /syncall /d /P <recovery dc=""> <naming context=""></naming></recovery>
  13. Για να απενεργοποιήσετε την εξερχόμενη αναπαραγωγή, πληκτρολογήστε το ακόλουθο κείμενο και, στη συνέχεια, πιέστε το πλήκτρο ENTER:
    repadmin/επιλογές + DISABLE_OUTBOUND_REPL
    Σημείωση Για να ενεργοποιήσετε ξανά την εξερχόμενη αναπαραγωγή, πληκτρολογήστε το ακόλουθο κείμενο και στη συνέχεια, πιέστε το πλήκτρο ENTER:
    repadmin/επιλογές - DISABLE_OUTBOUND_REPL
  14. Εάν διαγραφεί χρήστες προστέθηκαν τοπικών ομάδων σε εξωτερικά τομείς, κάντε ένα από τα εξής:
    • Μη αυτόματη προσθήκη Διαγραμμένα χρήστες σε αυτές ομάδες.
    • Επαναφορά κατάστασης συστήματος και έλεγχο ταυτότητας κάθε ένα από τα ομάδες τοπικής ασφάλειας που περιέχει τους χρήστες διαγράφεται.
  15. Επαληθεύστε την ιδιότητα μέλους ομάδας του ελεγκτή τομέα αποκατάστασης τομέα και σε καθολικούς καταλόγους σε άλλους τομείς.
  16. Δημιουργήστε αντίγραφο ασφαλείας των ελεγκτών τομέα σε μια νέα κατάσταση συστήματος του ανάκτηση τομέα ελεγκτή τομέα.
  17. Ειδοποιήστε όλους τους διαχειριστές συμπλέγματος δομών, ανάθεση Βοήθεια για διαχειριστές, γραφείο διαχειριστές του συμπλέγματος δομών και τους χρήστες του τομέα ότι έχει ολοκληρωθεί η επαναφορά του χρήστη.

    Οι διαχειριστές μπορούν να έχουν το γραφείο βοήθειας για την επαναφορά κωδικών πρόσβασης λογαριασμών επαναφορά ελέγχου ταυτότητας χρηστών και λογαριασμών υπολογιστή Αλλαγή του οποίου κωδικού πρόσβασης τομέα μετά την επαναφορά συστήματος γίνεται.

    Οι χρήστες αλλάξουν τους κωδικούς πρόσβασής τους μετά από το αντίγραφο ασφαλείας της κατάστασης συστήματος Έγινε θα βρείτε ότι τους πιο πρόσφατο κωδικό πρόσβασης δεν λειτουργεί πλέον. Έχουν τέτοια Οι χρήστες προσπαθούν να συνδεθούν χρησιμοποιώντας τους προηγούμενους κωδικούς πρόσβασης αν γνωρίζουν τους. Διαφορετικά, οι διαχειριστές γραφείο βοήθειας πρέπει να επαναφέρετε τον κωδικό πρόσβασης και επιλέξτε τοο χρήστης πρέπει να αλλάξει κωδικό πρόσβασης στην επόμενη σύνδεση Επιλέξτε το πλαίσιο, κατά προτίμηση σε έναν ελεγκτή τομέα στην ίδια τοποθεσία υπηρεσίας καταλόγου Active Directory ως ο χρήστης βρίσκεται στο.

Μέθοδος 3: Επιτακτική επαναφορά διαγραμμένων χρήστες και τις ομάδες ασφαλείας Διαγραμμένα χρήστες δύο φορές

Όταν χρησιμοποιείτε αυτήν τη μέθοδο, εκτελέστε την ακόλουθη υψηλού επιπέδου τα βήματα:
  1. Ελέγξτε εάν έχει έναν καθολικό κατάλογο του χρήστη τομέα δεν αναπαράγονται τη διαγραφή και στη συνέχεια να εμποδίσετε αυτόν τον ελεγκτή τομέα από Εισερχόμενος-αναπαραγωγή της διαγραφής. Εάν δεν υπάρχει κανένα κρυφό καθολικό κατάλογο, εντοπισμός το πιο πρόσφατο αντίγραφο ασφαλείας κατάστασης συστήματος ενός ελεγκτή τομέα του καθολικού καταλόγου σε κεντρικό τομέα του διαγραμμένου χρήστη.
  2. Επιτακτική επαναφορά όλων διαγραμμένων λογαριασμών χρήστη και όλοι ομάδες ασφαλείας του διαγραμμένου χρήστη τομέα.
  3. Περιμένετε για την αναπαραγωγή τερματικό να επαναφερθεί χρήστες και των ομάδων ασφαλείας σε όλους τους ελεγκτές τομέα του διαγραμμένου χρήστη τομέα και οι ελεγκτές τομέα του συμπλέγματος δομών καθολικού καταλόγου.
  4. Επαναλάβετε τα βήματα 2 και 3 για να κάνετε επιτακτική επαναφορά διαγραμμένων Οι χρήστες και ομάδες ασφαλείας. (Μπορείτε να επαναφέρετε την κατάσταση του συστήματος μόνο μία φορά.)
  5. Εάν διαγραφεί χρήστες ήταν μέλη των ομάδων ασφαλείας σε άλλους τομείς επιτακτική επαναφορά όλων την ασφάλεια ομάδες που το διαγραμμένο Οι χρήστες ήταν μέλη της σε αυτούς τους τομείς. Ή, εάν είναι αντιγράφων ασφαλείας κατάστασης συστήματος τρέχουσα, επιτακτική επαναφορά στις ομάδες ασφαλείας σε αυτές τομείς.
Για να ικανοποιήσει την απαίτηση που διαγράφονται τα μέλη της ομάδας πρέπει να Επαναφορά πριν από τις ομάδες ασφαλείας για να επιδιορθώσει συνδέσεις ιδιότητα μέλους ομάδας, μπορείτε να επαναφέρετε και οι δύο τύποι αντικειμένου δύο φορές σε αυτήν τη μέθοδο. Την πρώτη επαναφορά τοποθετεί όλα τα λογαριασμούς χρήστη και ομάδων και στον δεύτερο επαναφορά αποκατάσταση Διαγραφή ομάδων και επιδιορθώνει πληροφοριών μελών ομάδας, συμπεριλαμβανομένων των συμμετοχή σε πληροφορίες για ένθετες ομάδες.

Για να χρησιμοποιήσετε τη μέθοδο 3, ακολουθήστε αυτό διαδικασία:
  1. Ελέγξτε αν ένας ελεγκτής τομέα καθολικού καταλόγου υπάρχει στο οικιακό τομέα Διαγραμμένα χρήστες και δεν έχει αναπαραχθεί σε οποιοδήποτε μέρος του Διαγραφή.

    Σημείωση Εστίαση σε καθολικούς καταλόγους στον τομέα που έχει λιγότερο συχνά τα χρονοδιαγράμματα αναπαραγωγής. Εάν υπάρχουν αυτές οι ελεγκτές τομέα, χρησιμοποιήστε το Repadmin.exe το εργαλείο γραμμής εντολών για να απενεργοποιήσετε την εισερχόμενη αναπαραγωγή αμέσως. Για να κάνετε αυτό, ακολουθήστε τα εξής βήματα:
    1. Κάντε κλικ στο κουμπί Έναρξη, και στη συνέχεια κάντε κλικ στο κουμπί Εκτέλεση.
    2. Τύπος εντολή με το Άνοιγμα πλαίσιο και στη συνέχεια κάντε κλικ OK.
    3. Τύπος repadmin/επιλογές <recovery dc="" name=""></recovery>+ DISABLE_INBOUND_REPL στη γραμμή εντολών και κατόπιν πιέστε το πλήκτρο ΕΙΣΑΓΆΓΕΤΕ.

      Σημείωση Εάν δεν είναι δυνατή η έκδοση της εντολής Repadmin αμέσως, κατάργηση όλων συνδεσιμότητα δικτύου από τον ελεγκτή τομέα, μέχρι να χρησιμοποιήσετε Repadmin για Απενεργοποίηση εισερχόμενη αναπαραγωγή και αμέσως να επιστρέψετε τη σύνδεση δικτύου.
    Αυτός ο ελεγκτής τομέα θα αναφέρεται ως η ανάκτηση ελεγκτής τομέα.
  2. Αποφύγετε να κάνετε προσθήκες, διαγραφές και τις αλλαγές του παρακάτω στοιχείων μέχρι να ολοκληρωθεί όλα τα βήματα ανάκτησης. Αλλαγές συμπεριλάβετε επαναφορά κωδικού πρόσβασης από τους χρήστες του τομέα, διαχειριστές γραφείο βοήθειας και Οι διαχειριστές του τομέα όπου παρουσιάστηκε η διαγραφή, εκτός από την ομάδα αλλαγές ιδιότητας μέλους σε ομάδες χρηστών Διαγραμμένα.
    1. Λογαριασμοί χρηστών και ιδιότητες χρήστη λογαριασμοί
    2. Λογαριασμοί υπολογιστή και τα χαρακτηριστικά του υπολογιστή λογαριασμοί
    3. Λογαριασμοί υπηρεσίας
    4. Ομάδες ασφαλείας

      Σημείωση Αποφύγετε ιδιαίτερα αλλάζει σε ιδιότητα μέλους ομάδας για χρήστες, υπολογιστές, ομάδες και τους λογαριασμούς υπηρεσίας του συμπλέγματος δομών όπου η διαγραφή Παρουσιάστηκε.
    5. Ειδοποιήστε όλους του συμπλέγματος δομών διαχειριστές, τις ανατεθείσες Οι διαχειριστές και οι διαχειριστές γραφείο βοήθειας στο σύμπλεγμα δομών των προσωρινών Stand-Down.
    Stand-down αυτό απαιτείται στη μέθοδο 2, επειδή είστε επιτακτική επαναφορά όλων των διαγραμμένων χρηστών ομάδες ασφαλείας. Επομένως, Οι τυχόν αλλαγές που έγιναν στις ομάδες μετά την ημερομηνία κατάστασης του συστήματος αντιγράφων ασφαλείας απώλεια.
  3. Δημιουργήστε ένα νέο αντίγραφο ασφαλείας της κατάστασης συστήματος στον τομέα όπου το Διαγραφή Παρουσιάστηκε. Μπορείτε να χρησιμοποιήσετε αυτό το αντίγραφο ασφαλείας, εάν χρειαστεί να επαναφέρετε σας αλλαγές.

    Σημείωση Εάν οι τρέχουσες μέχρι να σας αντιγράφων ασφαλείας κατάστασης συστήματος που το Διαγραφή Παρουσιάστηκε, παραλείψτε αυτό το βήμα και μεταβείτε στο βήμα 4.

    Εάν προσδιορίσατε ελεγκτής τομέα αποκατάστασης στο βήμα 1, αντίγραφα ασφαλείας της κατάστασης συστήματος τώρα.

    Εάν καταγράφει σε όλες τις καθολικό κατάλογο που βρίσκεται στον τομέα όπου η διαγραφή Παρουσιάστηκε αναπαραγάγει τη διαγραφή, δημιουργία αντιγράφων ασφαλείας κατάστασης συστήματος του ενός καθολικός κατάλογος στον τομέα όπου παρουσιάστηκε κατά τη διαγραφή.

    Όταν κάνετε Δημιουργία αντιγράφου ασφαλείας, μπορείτε να επιστρέψετε πίσω στον ελεγκτή τομέα αποκατάστασης για την τρέχουσα κατάσταση και να εκτελέσετε ξανά το σχέδιο αποκατάστασης εάν δεν είναι η πρώτη προσπάθειά σας επιτυχής.
  4. Εάν δεν εντοπίσετε ένα τομέα ως λανθάνουσα καθολικού καταλόγου βρείτε το πιο πρόσφατο ελεγκτή τομέα όπου παρουσιάστηκε η διαγραφή χρήστη αντίγραφο ασφαλείας κατάστασης συστήματος ενός ελεγκτή τομέα του καθολικού καταλόγου σε αυτόν τον τομέα. Αυτό αντίγραφο ασφαλείας κατάστασης συστήματος πρέπει να περιέχουν τα διαγραμμένα αντικείμενα. Χρησιμοποιήστε αυτόν τον τομέα ελεγκτής ως ελεγκτής τομέα αποκατάστασης.

    Μόνο για βάσεις δεδομένων με το καθολικός κατάλογος ελεγκτές τομέα στον τομέα του χρήστη περιέχουν ιδιότητα μέλους ομάδας πληροφορίες για εξωτερικούς τομείς στο σύμπλεγμα δομών. Εάν δεν υπάρχει καμία κατάσταση συστήματος Δημιουργία αντιγράφου ασφαλείας ενός ελεγκτή τομέα του καθολικού καταλόγου στον τομέα όπου οι χρήστες έχουν Διαγραφή, δεν μπορείτε να χρησιμοποιήσετε το Μέλος χαρακτηριστικό σε λογαριασμούς χρήστη που επαναφέρατε προσδιορισμού καθολικό ή μέλη καθολικής ομάδας ή να ανακτήσετε την ιδιότητα μέλους σε εξωτερικούς τομείς. Μετάβαση σε το επόμενο βήμα. Εάν υπάρχει εξωτερικό εγγραφή της ιδιότητας του μέλους ομάδας στο εξωτερικό τομείς, προσθήκη επαναφορά χρήστες σε ομάδες ασφαλείας σε αυτούς τους τομείς μετά την Έγινε επαναφορά λογαριασμών χρήστη.
  5. Εάν γνωρίζετε τον κωδικό πρόσβασης για εργασία χωρίς σύνδεση διαχειριστή λογαριασμός, ξεκινήστε τον ελεγκτή τομέα αποκατάστασης σε λειτουργία Dsrepair. Εάν δεν το κάνετε γνωρίζετε τον κωδικό πρόσβασης για το λογαριασμό διαχειριστή για εργασία χωρίς σύνδεση, η επαναφορά του κωδικού πρόσβασης ενώ ο ελεγκτής τομέα αποκατάστασης είναι ακόμη σε κανονική υπηρεσίας καταλόγου Active Directory κατάσταση λειτουργίας.

    Μπορείτε να χρησιμοποιήσετε το Setpwd εργαλείο γραμμής εντολών για να επαναφέρετε τον κωδικό πρόσβασης σε ελεγκτές τομέα που εκτελούν το Windows 2000 Service Pack 2 (SP2) και νεότερη έκδοση κατά είναι σε λειτουργία με σύνδεση υπηρεσίας καταλόγου Active Directory.

    ΣημείωσηΗ Microsoft υποστηρίζει πλέον τα Windows 2000.

    Για περισσότερες πληροφορίες σχετικά με την αλλαγή του κωδικού πρόσβασης διαχειριστή της Κονσόλα αποκατάστασης, κάντε κλικ στην παρακάτω αριθμό άρθρου για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    239803Τρόπος αλλαγής του κωδικού πρόσβασης διαχειριστή της Κονσόλα αποκατάστασης σε ελεγκτή τομέα
    Οι διαχειριστές τομέα Windows Server 2003 ελεγκτές να χρησιμοποιήσετε το Ορισμός κωδικού πρόσβασης dsrm εντολή με το Ntdsutil εργαλείο γραμμής εντολών για να επαναφέρετε τον κωδικό πρόσβασης για την εργασία χωρίς σύνδεση ο λογαριασμός διαχειριστή.

    Για περισσότερες πληροφορίες σχετικά με τον τρόπο επαναφοράς του Διαχειριστής λειτουργία επαναφοράς υπηρεσιών καταλόγου λογαριασμός, κάντε κλικ στα παρακάτω αριθμό άρθρου για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    322672Τρόπος επαναφοράς των υπηρεσιών καταλόγου επαναφοράς λειτουργίας πρόσβασης του λογαριασμού administrator στον Windows Server 2003
  6. Πιέστε το πλήκτρο F8 κατά τη διαδικασία εκκίνησης για να ξεκινήσετε την αποκατάσταση ελεγκτής τομέα σε λειτουργία Dsrepair.Σύνδεση με την Κονσόλα αποκατάστασης τομέα ελεγκτής με λογαριασμό διαχειριστή για εργασία χωρίς σύνδεση. Εάν επαναφέρετε τον κωδικό πρόσβασης σε βήμα 5, χρησιμοποιήστε τον νέο κωδικό πρόσβασης.

    Εάν ο ελεγκτής τομέα αποκατάστασης είναι ένα ελεγκτή τομέα ως λανθάνουσα καθολικού καταλόγου, επαναφέρετε την κατάσταση του συστήματος. Μετάβαση κατευθείαν στο βήμα 7.

    Εάν θέλετε να δημιουργήσετε τον ελεγκτή τομέα αποκατάστασης χρησιμοποιώντας ένα αντίγραφο ασφαλείας της κατάστασης συστήματος, επαναφέρετε το πιο πρόσφατο αντίγραφο ασφαλείας κατάστασης συστήματος που έγινε στον ελεγκτή τομέα αποκατάστασης που περιέχει το διαγραμμένο τώρα αντικείμενα.
  7. Auth Επαναφορά διαγραμμένου χρήστη λογαριασμούς, το διαγραμμένο λογαριασμοί υπολογιστή ή ομάδες ασφαλείας διαγράφηκε.

    Σημείωση Τους όρους επαναφορά του ελέγχου ταυτότητας και επιτακτική επαναφορά ανατρέξτε στη διαδικασία χρησιμοποιώντας το επιτακτική επαναφορά εντολή με το Ntdsutil εργαλείο γραμμής εντολών για να την αυξήσετε τους αριθμούς έκδοσης των συγκεκριμένων αντικείμενα ή συγκεκριμένο κοντέινερ και τα δευτερεύοντα αντικείμενα. Μόλις παρουσιάζεται αναπαραγωγής άκρο σε άκρο, στοχοθετημένων αντικείμενα στον τομέα αποκατάστασης τοπικό αντίγραφο του ελεγκτή της υπηρεσίας καταλόγου Active Directory γίνονται επιτακτική σε όλες τις Οι ελεγκτές τομέα που χρησιμοποιούν αυτό το διαμέρισμα. Είναι μια επιτακτική επαναφορά διαφορετική από μια επαναφορά κατάστασης συστήματος. Συμπληρώνει μια επαναφορά κατάστασης συστήματος ο ελεγκτής τομέα που επαναφέρεται τοπικό αντίγραφο του καταλόγου Active Directory με το εκδόσεις των αντικειμένων κατά τη στιγμή που έγινε το αντίγραφο ασφαλείας της κατάστασης συστήματος γίνεται.

    Για περισσότερες πληροφορίες σχετικά με την επαναφορά ενός ελεγκτή τομέα auth, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    241594Τρόπος εκτέλεσης επιτακτικής επαναφοράς σε έναν ελεγκτή τομέα των Windows 2000


    Εκτέλεση επιτακτικής επαναφορές με το Ntdsutil εργαλείο γραμμής εντολών με την αναφορά τη διαδρομή όνομα (dn) του τομέα του το διαγραφή χρηστών ή των δοχείων που φιλοξενούν Διαγραμμένα χρήστες.

    Όταν Μπορείτε auth επαναφοράς, χρήση τομέα όνομα (dn) διαδρομές που είναι χαμηλότερη στο δέντρο τομέα όπως, πρέπει να είναι για να αποφύγετε την επαναφορά αντικειμένων που σχετίζονται με το Διαγραφή. Τα αντικείμενα αυτά μπορεί να περιλαμβάνουν αντικείμενα που τροποποιήθηκαν μετά από το σύστημα δημιουργήθηκε αντίγραφο ασφαλείας του κράτους.

    Οι χρήστες επαναφοράς διαγραμμένων auth στις ακόλουθες σειρά:
    1. Επαναφορά auth η διαδρομή ονόματος (dn) τομέα για κάθε διαγραφεί λογαριασμός χρήστη, λογαριασμός υπολογιστή ή διαγραμμένο ασφαλείας ομάδα.

      Επιτακτική επαναφορές συγκεκριμένα αντικείμενα διαρκέσει περισσότερο, αλλά είναι λιγότερο καταστροφικές από επιτακτική επαναφορές ολόκληρο δευτερεύον δέντρο. Έλεγχος ταυτότητας επαναφέρετε το χαμηλότερο κοντέινερ γονικό που διατηρεί το διαγραμμένο αντικείμενα.

      Ntdsutil χρησιμοποιεί την ακόλουθη σύνταξη:
      "επιτακτικής επαναφοράς" Ntdsutil "αντικείμενο επαναφοράς <object dn="" path=""></object>"q q
      Για παράδειγμα, για να auth Επαναφορά διαγραμμένου χρήστη JohnDoe με το MayberryΟργανική Μονάδα από το Contoso.com τομέα, χρησιμοποιήστε τα ακόλουθα εντολή:
      Ntdsutil "επιτακτική επαναφορά" "Επαναφορά αντικείμενο cn = JohnDoe, ou = Mayberry, dc = contoso, dc = com" q q
      Για να auth επαναφέρετε την ομάδα ασφαλείας Διαγραμμένα ContosoPrintAccess με το Mayberry Οργανική Μονάδα από το Contoso.com τομέα, χρησιμοποιήστε την ακόλουθη εντολή:
      Ntdsutil "επιτακτική επαναφορά" "Επαναφορά αντικείμενο cn = ContosoPrintAccess, ou = Mayberry, dc = contoso, dc = com" q q


      Σημαντικό Απαιτείται η χρήση των προσφορών.

      Χρησιμοποιώντας το Ntdsutil μορφή, μπορείτε επίσης να αυτοματοποιήσετε την επιτακτική επαναφορά πολλά αντικείμενα ένα αρχείο δέσμης ή μια δέσμη ενεργειών.
      Σημείωση Η σύνταξη αυτή είναι διαθέσιμη μόνο σε Windows Server 2003. Το μόνο η σύνταξη των Windows 2000 είναι η χρήση: ntdsutil "επιτακτική επαναφορά" "Επαναφορά δευτερεύον δέντρο διαδρομή DN του αντικειμένου".
    2. Auth επαναφέρετε μόνο τα εμπορευματοκιβώτια OU ή κοινό όνομα (CN) που φιλοξενούν το διαγραμμένο λογαριασμούς ή ομάδες χρηστών.

      Αξιόπιστη επαναφορές ολόκληρο δευτερεύον δέντρο είναι έγκυρα κατά την οργανική Μονάδα που είναι το Ntdsutil επιτακτικής επαναφοράς η εντολή περιέχει τη συντριπτική πλειοψηφία των αντικειμένων που προσπάθεια επαναφοράς του ελέγχου ταυτότητας. Ιδανικά, στοχοθετημένων OU περιέχει όλες τις αντικείμενα που προσπαθείτε να auth επαναφοράς.

      Επιτακτική επαναφορά σε μια οργανική Μονάδα δευτερεύοντος δέντρου επαναφέρει όλα τα χαρακτηριστικά και τα αντικείμενα που βρίσκονται σε το κοντέινερ. Τυχόν αλλαγές που έγιναν στην ώρα συστήματος να αναφέρει το αντίγραφο ασφαλείας Επαναφορά επαναφέρονται οι τιμές τους κατά τη στιγμή της δημιουργίας αντιγράφων ασφαλείας. Με λογαριασμούς χρήστη, λογαριασμούς υπολογιστή και ομάδες ασφαλείας, μπορεί να σημαίνει αυτή επαναφοράς απώλεια τις πιο πρόσφατες αλλαγές κωδικών πρόσβασης στον κεντρικό κατάλογο για το διαδρομή προφίλ, θέση και σε πληροφορίες, τη συμμετοχή σε ομάδες και σε οποιαδήποτε επικοινωνίας περιγραφές ασφαλείας που καθορίζονται σε αυτά τα αντικείμενα και χαρακτηριστικά.

      Ntdsutil χρησιμοποιεί την ακόλουθη σύνταξη:
      δευτερεύον Ntdsutil "επιτακτική επαναφορά" "Επαναφορά δέντρο <container dn="" path=""></container>"q q
      Για παράδειγμα, για την επαναφορά του ελέγχου ταυτότητας του Mayberry Οργανική Μονάδα από το Contoso.com τομέα, χρησιμοποιήστε την ακόλουθη εντολή:
      Ntdsutil "επιτακτική επαναφορά" "Επαναφορά subtree ou = Mayberry, dc = contoso, dc = com" q q
    Σημείωση Επαναλάβετε αυτό το βήμα για κάθε ομότιμο υπολογιστή OU που φιλοξενεί διαγραφεί χρήστες ή ομάδες.

    Σημαντικό Όταν επαναφέρετε ένα δευτερεύον αντικείμενο οργανική Μονάδα, όλα τα γονικό δοχεία Διαγραμμένα δευτερεύοντα αντικείμενα πρέπει να είναι ρητά ελέγχου ταυτότητας επαναφορά.
  8. Κάντε επανεκκίνηση του ελεγκτή τομέα αποκατάστασης σε κανονική ενεργή Κατάσταση του καταλόγου.
  9. Αντιγραφή εξερχόμενα επιτακτική επαναφορά αντικειμένων από τον ελεγκτή τομέα αποκατάστασης σε ελεγκτές τομέα του τομέα και στο σύμπλεγμα δομών.

    Κατά την εισερχόμενη αναπαραγωγή στον τομέα της αποκατάστασης ελεγκτής παραμείνει απενεργοποιημένο, πληκτρολογήστε την ακόλουθη εντολή για να προωθήσει την επιτακτική επαναφορά αντικειμένων όλων στον τομέα της ρεπλίκας διατοποθεσιακή ελεγκτές τομέα και σε καθολικούς καταλόγους στο σύμπλεγμα δομών:
    /e του Repadmin /syncall /d /P <recovery dc=""> <naming context=""></naming></recovery>
    Μετά από όλους τους ελεγκτές τομέα απευθείας και μεταβατικές στο του έχουν αναπαραχθεί στον τομέα και οι διακομιστές καθολικού καταλόγου του συμπλέγματος δομών του οποιαδήποτε επαναφορά κοντέινερ επιτακτική επαναφορά χρηστών και μεταβείτε στο βήμα 11.

    Εάν οι ακόλουθες προτάσεις είναι true, ομάδα μελών συνδέσεις δημιουργούνται ξανά την Επαναφορά λογαριασμών χρήστη διαγράφεται. Μεταβείτε στο βήμα 13.
    • Σύμπλεγμα δομών σας λειτουργεί με Windows Server 2003 δασική λειτουργικές επίπεδο ή σε Windows Server 2003 ενδιάμεσες σύμπλεγμα λειτουργική επίπεδο.
    • Μόνο οι ομάδες ασφαλείας δεν διαγράφηκαν.
    • Όλοι οι χρήστες Διαγραμμένα προστέθηκαν όλα τα χαρακτηριστικά ασφαλείας ομάδες σε όλους τους τομείς του συμπλέγματος δομών.
    Σκεφτείτε τη χρήση της εντολής Repadmin για επιτάχυνση της εξερχόμενη αναπαραγωγή χρηστών από τον ελεγκτή τομέα που επαναφέρεται.

    Εάν ομάδες επίσης διαγράφηκαν, ή εάν δεν μπορείτε να εξασφαλίσετε που όλοι οι χρήστες Διαγραμμένα έχουν προστεθεί σε όλες τις ομάδες ασφαλείας μετά τη μετάβαση των Windows Ενδιάμεσης ή του συμπλέγματος δομών λειτουργικό επίπεδο Server 2003, μεταβείτε στο βήμα 12.
  10. Επαναλάβετε τα βήματα 7, 8 και 9 χωρίς επαναφορά συστήματος κράτος και, στη συνέχεια, μεταβείτε στο βήμα 11.
  11. Εάν διαγραφεί χρήστες προστέθηκαν τοπικών ομάδων σε εξωτερικά τομείς, κάντε ένα από τα εξής:
    • Μη αυτόματη προσθήκη Διαγραμμένα χρήστες σε αυτές ομάδες.
    • Επαναφορά κατάστασης συστήματος και έλεγχο ταυτότητας κάθε ένα από τα ομάδες τοπικής ασφάλειας που περιέχει τους χρήστες διαγράφεται.
  12. Επαληθεύστε την ιδιότητα μέλους ομάδας του ελεγκτή τομέα αποκατάστασης τομέα και σε καθολικούς καταλόγους σε άλλους τομείς.
  13. Χρησιμοποιήστε την ακόλουθη εντολή για να ενεργοποιήσετε την εισερχόμενη αναπαραγωγή σε ο ελεγκτής τομέα αποκατάστασης:
    repadmin/επιλογές όνομα dc αποκατάστασης -DISABLE_INBOUND_REPL
  14. Δημιουργήστε αντίγραφο ασφαλείας των ελεγκτών τομέα σε μια νέα κατάσταση συστήματος του ανάκτηση τομέα ελεγκτή τομέα και καθολικούς καταλόγους σε άλλους τομείς στο του σύμπλεγμα δομών.
  15. Ειδοποιήστε όλους του συμπλέγματος δομών διαχειριστές, τις ανατεθείσες Οι διαχειριστές, οι διαχειριστές γραφείο βοήθειας στο σύμπλεγμα και χρήστες σε ότι έχει ολοκληρωθεί η επαναφορά χρήστη τομέα.

    Help desk διαχειριστές Ίσως χρειαστεί να επαναφέρετε κωδικούς πρόσβασης auth Επαναφορά λογαριασμών χρήστη και υπολογιστή Οι λογαριασμοί του οποίου τον κωδικό πρόσβασης τομέα αλλάξει μετά την επαναφορά συστήματος γίνεται.

    Οι χρήστες αλλάξουν τους κωδικούς πρόσβασής τους μετά από το αντίγραφο ασφαλείας της κατάστασης συστήματος Έγινε θα βρείτε ότι τους πιο πρόσφατο κωδικό πρόσβασης δεν λειτουργεί πλέον. Έχουν τέτοια Οι χρήστες προσπαθούν να συνδεθούν χρησιμοποιώντας τους προηγούμενους κωδικούς πρόσβασης αν γνωρίζουν τους. Διαφορετικά, οι διαχειριστές γραφείο βοήθειας πρέπει να επαναφέρετε τον κωδικό πρόσβασης με τοο χρήστης πρέπει να αλλάξει κωδικό πρόσβασης στην επόμενη σύνδεση το πλαίσιο ελέγχου έλεγχος, κατά προτίμηση σε έναν ελεγκτή τομέα στην ίδια τοποθεσία υπηρεσίας καταλόγου Active Directory ως χρήστης βρίσκεται στο.

Πώς να ανακτήσετε διαγραμμένα χρήστες σε έναν ελεγκτή τομέα Windows Server 2003 όταν δεν έχετε ένα αντίγραφο ασφαλείας της κατάστασης συστήματος έγκυρο

Εάν δεν διαθέτουν τρέχοντα αντίγραφα ασφαλείας της κατάστασης συστήματος σε έναν τομέα όπου χρήστη διαγράφηκαν λογαριασμούς ή ομάδες ασφαλείας και τη διαγραφή Παρουσιάστηκε σε τομείς που περιέχουν ελεγκτές τομέα με Windows Server 2003, ακολουθήστε τα εξής βήματα για να reanimate με μη αυτόματο τρόπο Διαγραμμένα αντικείμενα από το κοντέινερ διαγραμμένων αντικειμένων:
  1. Ακολουθήστε τα βήματα του "Τρόπος με μη αυτόματο τρόπο αναίρεσης διαγραφής αντικειμένων κοντέινερ διαγραμμένων αντικειμένων"ενότητα στους χρήστες reanimate διαγράφονται, υπολογιστές, ομάδες ή όλες αυτές.
  2. Χρησιμοποιήστε Active Directory Users and Computers για να αλλάξετε το απενεργοποιημένη, για να ενεργοποιήσει το λογαριασμό. (Ο λογαριασμός εμφανίζεται στο πρωτότυπο ΟΡΓΑΝΙΚΉ ΜΟΝΆΔΑ.)
  3. Χρήση μαζικής επαναφορά δυνατότητες του Windows Server 2003 έκδοση του Active Directory Users και υπολογιστές να εκτελούν μαζικές επαναφέρει στο του "κωδικός πρόσβασης πρέπει να αλλάξουν κατά την επόμενη σύνδεση" ρύθμιση πολιτικής, στον κεντρικό κατάλογο, σε η διαδρομή του προφίλ και συμμετοχής σε ομάδα διαγραμμένος λογαριασμός όπως απαιτείται. Μπορείτε επίσης να χρησιμοποιήσετε το προγραμματικό ισοδύναμο του αυτές τις δυνατότητες.
  4. Εάν χρησιμοποιήθηκε Microsoft Exchange 2000 ή νεότερη έκδοση, επιδιορθώστε το Γραμματοκιβώτιο Exchange του διαγραμμένου χρήστη.
  5. Αν χρησιμοποιήθηκε Exchange 2000 ή νεότερη έκδοση, συσχετίσετε ξανά τα διαγραμμένα χρήστης με γραμματοκιβώτιο του Exchange.
  6. Βεβαιωθείτε ότι το ανακτημένο χρήστη να συνδεθείτε και τοπική πρόσβαση κατάλογοι, κοινόχρηστους καταλόγους και αρχεία.
Μπορείτε να αυτοματοποιήσετε ορισμένα ή όλα αυτά τα βήματα ανάκτησης χρησιμοποιώντας τις ακόλουθες μεθόδους:
  • Γράψτε μια δέσμη ενεργειών που αυτοματοποιεί βήματα μη αυτόματης ανάκτησης που παρατίθενται στο βήμα 1. Όταν γράφετε μια δέσμη ενεργειών, σκεφτείτε δημιουργίας πεδίων του Διαγραφή αντικειμένου, ημερομηνία, ώρα και την τελευταία γνωστή γονικό κοντέινερ και στη συνέχεια Αυτοματοποίηση της reanimation του διαγραμμένου αντικειμένου. Για να αυτοματοποιήσετε reanimation, Αλλαγή του isDeleted το χαρακτηριστικό από τιμή TRUE σε FALSE και η σχετική αλλαγή αποκλειστικό όνομα για την τιμή που είναι ορίζεται είτε το lastKnownParent το χαρακτηριστικό ή σε μια νέα οργανική Μονάδα ή το κοντέινερ κοινό όνομα (CN) που είναι καθορίζεται από το διαχειριστή. (Το σχετικό αποκλειστικό όνομα είναι επίσης γνωστό ως RDN.)
  • Προμηθευτείτε ένα πρόγραμμα εκτός της Microsoft, που υποστηρίζει το reanimation των διαγραμμένων αντικειμένων σε ελεγκτές τομέα με Windows Server 2003. Μία βοηθητικό πρόγραμμα αυτές είναι AdRestore. Αναίρεση διαγραφής AdRestore χρησιμοποιεί Windows Server 2003 στοιχειώδεις τύπους αναίρεση διαγραφής αντικειμένων ξεχωριστά. Aelita Corporation λογισμικού και Συστήματα Commvault προσφέρουν επίσης προϊόντα που υποστηρίζουν αναίρεσης διαγραφής λειτουργικότητα σε Windows ελεγκτών τομέα Server 2003.

    Για να αποκτήσετε AdRestore, επισκεφθείτε την ακόλουθη τοποθεσία Web:
    http://technet.Microsoft.com/en-us/Sysinternals/bb963906.aspx
Microsoft Παρέχει πληροφορίες επικοινωνίας με προμηθευτές για να σας βοηθήσει να βρείτε τεχνική υποστήριξη. Αυτές οι πληροφορίες επικοινωνίας μπορεί να αλλάξουν χωρίς προειδοποίηση. Δεν έχει Microsoft εγγυάται την ακρίβεια των πληροφοριών επαφής τρίτων κατασκευαστών.

Με τον τρόπο αναίρεσης διαγραφής με μη αυτόματο τρόπο αντικείμενα σε ένα διαγραμμένο αντικείμενο κοντέινερ

Με μη αυτόματο τρόπο αναίρεση διαγραφής αντικειμένων κοντέινερ Διαγραφή αντικειμένου Ακολουθήστε τα εξής βήματα:
  1. Κάντε κλικ στο κουμπί Έναρξη, κάντε κλικ στο κουμπί Εκτέλεση, και στη συνέχεια πληκτρολογήστε LDP.exe.

    Σημείωση Εάν δεν είναι εγκατεστημένο το βοηθητικό πρόγραμμα Ldp, εγκαταστήστε τα εργαλεία υποστήριξης από το CD εγκατάστασης του Windows Server 2003.
  2. Χρήση του Σύνδεση μενού στο Ldp εκτέλεσης Οι λειτουργίες σύνδεσης και λειτουργίες σύνδεση σε τομέα Windows Server 2003 ελεγκτής.

    Καθορίσετε πιστοποιήσεις διαχειριστή τομέα κατά τη σύνδεση η λειτουργία.
  3. Από το Επιλογές μενού, κάντε κλικ στο κουμπίΣτοιχεία ελέγχου.
  4. Με το Φόρτωση προκαθορισμένων λίστα, κάντε κλικ στο κουμπίΕπιστροφή διαγραμμένων αντικειμένων.

    Σημείωση Το 1.2.840.113556.1.4.417 Μετακινεί το στοιχείο ελέγχου του Ενεργά στοιχεία ελέγχουτο παράθυρο.
  5. Στην περιοχή Τύπος στοιχείου ελέγχου, κάντε κλικ στο κουμπίΔιακομιστής, και κάντε κλικ OK.
  6. Από το Προβολή μενού, κάντε κλικ στο κουμπίΔέντρο, πληκτρολογήστε τη διαδρομή του αποκλειστικού ονόματος των διαγραμμένων αντικειμένων το κοντέινερ του τομέα όπου παρουσιάστηκε η διαγραφή και στη συνέχεια κάντε κλικOK.

    Σημείωση Η διαδρομή του αποκλειστικού ονόματος είναι επίσης γνωστή ως διαδρομή DN. Για το παράδειγμα, αν παρουσιάστηκε κατά τη διαγραφή του τομέα contoso.com διαδρομή DN θα η ακόλουθη διαδρομή:
    CN = διαγραμμένων αντικειμένων, dc = contoso, dc = com
  7. Στο αριστερό τμήμα του παραθύρου, κάντε διπλό κλικ το Διαγραμμένο αντικείμενο κοντέινερ.

    Σημείωση Ως αποτέλεσμα αναζήτησης Idap ερώτημα, επιστρέφονται μόνο 1000 αντικείμενα από προεπιλογή. FOT παράδειγμα, εάν υπάρχουν περισσότερα από 1000 αντικείμενα του κοντέινερ Διαγραμμένα αντικείμενα δεν εμφανίζονται όλα αντικείμενα σε αυτό το κοντέινερ. Εάν το αντικείμενο προορισμού σας δεν εμφανίζεται, χρησιμοποιήστε Ntdsutil, και στη συνέχεια ορίστε το μέγιστο αριθμό χρησιμοποιώντας maxpagesize Για να λάβετε τα αποτελέσματα αναζήτησης.
  8. Κάντε διπλό κλικ στο αντικείμενο που θέλετε να αναίρεσης διαγραφής ή σε reanimate.
  9. Κάντε δεξιό κλικ στο αντικείμενο που θέλετε να reanimate, και στη συνέχεια Κάντε κλικ στο κουμπί τροποποίηση.

    Αλλάξτε την τιμή για το isDeleted χαρακτηριστικό και διαδρομή DN σε έναν μεμονωμένο κατάλογο Lightweight Access Protocol (LDAP), τροποποιήστε τη λειτουργία. Για να ρυθμίσετε τις παραμέτρους τουΤροποποίηση παράθυρο διαλόγου, ακολουθήστε τα εξής βήματα:
    1. Με το Επεξεργασία εγγραφής χαρακτηριστικού πλαίσιο, πληκτρολογήστε isDeleted.

      Αφήστε το Τιμή πλαίσιο κενό.
    2. Κάντε κλικ στην επιλογή του Διαγραφή κουμπί επιλογής, και στη συνέχεια, κάντε κλικ στο κουμπί Εισαγάγετε Για να κάνετε την πρώτη δύο καταχωρήσεις του Λίστα καταχωρήσεων παράθυρο διαλόγου.

      Σημαντικό Κάντε κλικ στο Εκτέλεση.
    3. Με το Το χαρακτηριστικό πλαίσιο, πληκτρολογήστε distinguishedName.
    4. Με το Τιμές Πληκτρολογήστε το νέο DN η διαδρομή του αντικειμένου reanimated.

      Για παράδειγμα, για να reanimate το JohnDoe λογαριασμός χρήστη με Mayberry OU, χρησιμοποιήστε την παρακάτω διαδρομή DN:
      CN =JohnDoe, ou =Mayberry, dc =Contoso, dc =COM
      Σημείωση Εάν θέλετε να reanimate ένα διαγραμμένο αντικείμενο των αρχικών κοντέινερ, προσαρτήστε την τιμή Διαγραφή αντικειμένου lastKnownParent χαρακτηριστικό της ΣΟ τιμή και στη συνέχεια επικολλήστε την πλήρη διαδρομή DN στο του Τιμές πλαίσιο.
    5. Με το Λειτουργία Κάντε κλικ ΑΝΤΙΚΑΤΆΣΤΑΣΗ.
    6. Κάντε κλικ στο κουμπί ΕΙΣΑΓΆΓΕΤΕ.
    7. Κάντε κλικ για να επιλέξετε το Σύγχρονη Έλεγχος πλαίσιο.
    8. Κάντε κλικ για να επιλέξετε το Εκτεταμένη Έλεγχος πλαίσιο.
    9. Κάντε κλικ στο κουμπί ΕΚΤΈΛΕΣΗ.
  10. Αφού reanimate τα αντικείμενα, κάντε κλικ στο κουμπίΣτοιχεία ελέγχου από το Επιλογές μενού, κάντε κλικ στην επιλογή του Ανάληψη ελέγχου το κουμπί για να καταργήσετε (1.2.840.113556.1.4.417) από το Ενεργά στοιχεία ελέγχου πλαίσιο λίστας.
  11. Επαναφορά κωδικών πρόσβασης λογαριασμών χρήστη, προφίλ, κεντρικούς καταλόγους και των συμμετοχών ομάδας για Διαγραμμένα χρήστες.

    Όταν το αντικείμενο ήταν διαγράφονται οι τιμές χαρακτηριστικού εκτός SID, ObjectGUID, LastKnownParent και SAMAccountName έχουν αφαιρεθεί.
  12. Ενεργοποίηση του λογαριασμού reanimated σε χρήστες του Active Directory και υπολογιστές.

    Σημείωση Το αντικείμενο reanimated έχει το ίδιο πρωτεύον SID που είχε πριν η διαγραφή, αλλά το αντικείμενο πρέπει να προστεθεί ξανά οι ίδιες ομάδες ασφαλείας για έχουν το ίδιο επίπεδο πρόσβασης σε πόρους. Η πρώτη έκδοση του Windows Server 2003 δεν διατηρεί το sIDHistory χαρακτηριστικό σε λογαριασμούς χρηστών reanimated, λογαριασμούς υπολογιστή, και ομάδες ασφαλείας. Διατήρηση του Windows Server 2003 με Service Pack 1 του sIDHistory χαρακτηριστικό διαγραμμένων αντικειμένων.
  13. Καταργήστε τα χαρακτηριστικά του Microsoft Exchange και επανασύνδεση του χρήστη το γραμματοκιβώτιο του Exchange.

    Σημείωση Reanimation των διαγραμμένων αντικειμένων υποστηρίζεται κατά τη διαγραφή παρουσιάζεται σε έναν ελεγκτή τομέα Windows Server 2003. Διαγραφή reanimation του αντικείμενα δεν υποστηρίζεται κατά τη διαγραφή σε έναν τομέα των Windows 2000 ελεγκτής που εν συνεχεία αναβάθμιση σε Windows Server 2003.

    Σημείωση Εάν τη διαγραφή παρουσιάζεται σε έναν ελεγκτή τομέα των Windows 2000 με το τομέα, το lastParentOf το χαρακτηριστικό δεν συμπληρώνεται σε τομέα Windows Server 2003 ελεγκτές.

Τρόπος προσδιορισμού όταν και όπου Παρουσιάστηκε μια διαγραφή

Όταν οι χρήστες έχουν διαγραφεί λόγω της μαζική διαγραφή, ίσως θέλετε να Μάθετε πού προήλθε τη διαγραφή. Για να γίνει αυτό, ακολουθήστε τα εξής βήματα:
  1. Εάν ο έλεγχος έχει ρυθμιστεί σωστά για την παρακολούθηση της Διαγραφή κοντέινερ οργανικής μονάδας (OU) ή δευτερεύοντα αντικείμενα, χρήση ένα βοηθητικό πρόγραμμα που αναζητά το αρχείο καταγραφής ασφαλείας των ελεγκτών τομέα του τομέας όπου παρουσιάστηκε κατά τη διαγραφή. Μία τέτοια βοηθητικό πρόγραμμα που αναζητά αρχεία καταγραφής συμβάντων πεδία σύνολο των ελεγκτών τομέα είναι το βοηθητικό πρόγραμμα EventCombMT. EventCombMT είναι τμήμα του Windows Server 2003 Resource Kit Tools εργαλείο συνόλου.

    Για περισσότερες πληροφορίες σχετικά με τον τρόπο απόκτησης του Windows Server 2003 Resource Kit Tools Εργαλεία συνόλου, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
    http://technet.Microsoft.com/en-us/WindowsServer/bb693323.aspx
  2. Ακολουθήστε τα βήματα 1 έως 7 του "Τρόπος αναίρεσης διαγραφής με μη αυτόματο τρόπο ενότητα αντικείμενα σε ένα διαγραμμένο αντικείμενο κοντέινερ"για να εντοπίσετε Διαγραμμένα ασφαλείας αρχές. Εάν ένα δέντρο διαγράφηκε, ακολουθήστε τα εξής βήματα για να εντοπίσετε ένα γονικό κοντέινερ Διαγραφή αντικειμένου.
  3. Αντιγράψτε την τιμή της objectGUID χαρακτηριστικό στο Πρόχειρο των Windows.

    Μπορείτε να επικολλήσετε αυτό τιμή κατά την εισαγωγή της εντολής Repadmin στο βήμα 4.
  4. Πληκτρολογήστε την ακόλουθη εντολή:
    repadmin /showmeta GUID =objectGUID>FQDN>
    Για παράδειγμα, εάν το objectGUID του διαγραμμένου αντικειμένου ή κοντέινερ 791273b2-eba7-4285-a117-aa804ea76e95 και το πλήρως αναγνωρισμένο όνομα τομέα (FQDN) είναι dc.contoso.com, πληκτρολογήστε την ακόλουθη εντολή:
    repadmin /showmeta GUID = dc.contoso.com 791273b2-eba7-4285-a117-aa804ea76e95
    Η σύνταξη αυτής της εντολής πρέπει να περιλαμβάνει το GUID του διαγραμμένου το αντικείμενο ή το κοντέινερ και το FQDN του διακομιστή που θέλετε να προέλευσης από.
  5. Στην έξοδο της εντολής Repadmin Εύρεση ημερομηνία καταγωγής, ελεγκτής χρόνου και τομέα για το isDeleted το χαρακτηριστικό. Για παράδειγμα, πληροφορίες για το isDeleted το χαρακτηριστικό που εμφανίζεται στην πέμπτη γραμμή παρακάτω δείγμα αποτέλεσμα:
    Loc.USN  Originating DC                  Org.USN  Org.Time/Date       Ver  Attribute
    -----------------------------------------------------------------------------------------------
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  objectClass
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  ou
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  instanceType
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  whenCreated
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   1  isDeleted
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  nTSecurityDescriptor
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  name
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   1  lastKnownParent
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  objectCategory
  6. Εάν το όνομα του ελεγκτή τομέα προέλευσης με το δεύτερη στήλη η έξοδος εμφανίζεται ως ένα αλφαριθμητικό GUID 32 χαρακτήρων, χρησιμοποιήστε η εντολή Ping, για να επιλύσετε το GUID για τη διεύθυνση IP και το όνομα του το ελεγκτής τομέα που προήλθαν από τη διαγραφή. Η εντολή Ping χρησιμοποιεί την παρακάτω σύνταξη:
    ping –a <originating dc="" guid=""></originating>._msdomain ελεγκτές.<fully qualified="" path="" for="" forest="" root=""></fully>>
    Σημείωση Το "-ένα" επιλογή είναι διάκριση πεζών-κεφαλαίων. Χρησιμοποιήστε έγκυρο τομέα όνομα του τομέα ριζικού συμπλέγματος δομών ανεξάρτητα από τον τομέα που της καταγωγής ελεγκτής τομέα βρίσκεται στο.

    Για παράδειγμα, εάν του τομέα προέλευσης ελεγκτής διαμείνει σε οποιονδήποτε τομέα του συμπλέγματος δομών Contoso.com και είχε GUID της 644eb7e7-1566-4f29-a778-4b487637564b, πληκτρολογήστε την ακόλουθη εντολή:
    ping –a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com
    Το αποτέλεσμα που επιστρέφεται από την εντολή αυτή είναι παρόμοια με την ακόλουθη:
    Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:
    
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
  7. Προβάλετε το αρχείο καταγραφής ασφαλείας του ελεγκτή τομέα που προέρχονται από τη διαγραφή ή να σχετικά με το χρόνο που είχε υποδείξει στην έξοδο της εντολής Repadmin στο βήμα 5.

    Να εξετάζουν κλίση χρόνου και αλλαγές ζώνης ώρας μεταξύ υπολογιστών που χρησιμοποιήθηκαν για να καταλήξουμε σε αυτό σημείο. Εάν η διαγραφή είναι ενεργοποιημένος ο έλεγχος για περιέκτες OU ή για τα διαγραμμένα αντικείμενα, προσέξτε σχετικές έλεγχος συμβάντων. Εάν ο έλεγχος δεν είναι ενεργοποιημένη, προσοχή στους χρήστες οι οποίοι είχαν δικαιώματα διαγραφής περιέκτες OU ή εξαρτημένος αντικειμένων τους και που επίσης είχε authenticated έναντι του κατάγονται από το χρόνο πριν τη διαγραφή του ελεγκτή τομέα.

Πώς να ελαχιστοποιηθεί ο αντίκτυπος των διαγραφών μαζικής στο μέλλον

Πλήκτρα για την ελαχιστοποίηση των επιπτώσεων μαζική διαγραφή χρηστών, υπολογιστές, της ασφάλειας και οι ομάδες είναι για να βεβαιωθείτε ότι έχετε ενημερωμένο αντίγραφα ασφαλείας της κατάστασης συστήματος, αυστηρά ελέγχου πρόσβασης σε λογαριασμούς χρήστη με δικαιώματα για να ελέγχουν ακριβώς τι να κάνετε αυτούς τους λογαριασμούς, και τέλος, στην πρακτική αποκατάστασης από τις διαγραφές χύμα.

Αλλαγές της κατάστασης συστήματος προκύψει κάθε μέρα. Αυτές Οι αλλαγές ενδέχεται να περιλαμβάνουν επαναφέρει τον κωδικό πρόσβασης για λογαριασμούς χρηστών και λογαριασμών υπολογιστή εκτός από την αλλαγών μέλους ομάδας και άλλες αλλαγές χαρακτηριστικό σε χρήστη λογαριασμούς, λογαριασμούς υπολογιστή και από ομάδες ασφαλείας. Εάν το υλικό σας αποτύχει, το λογισμικό σας αποτύχει ή την τοποθεσία σας αντιμετωπίζει άλλο καταστροφών, θα θέλετε Για να επαναφέρετε τα αντίγραφα ασφαλείας που έγιναν μετά από κάθε σύνολο σημαντικές αλλαγές στο κάθε τομέα Active Directory και της τοποθεσίας στο σύμπλεγμα δομών. Εάν δεν διατηρούν τρέχοντα αντίγραφα ασφαλείας, ενδέχεται να χάσετε δεδομένα ή ίσως χρειαστεί να επαναφέρετε ανακτημένα αντικείμενα.

Η Microsoft συνιστά να ακολουθήσετε τα παρακάτω βήματα για την αποτροπή διαγραφές χύμα:
  1. Δεν κάνετε κοινή χρήση του κωδικού πρόσβασης για τον ενσωματωμένο διαχειριστή άδεια κοινές λογαριασμούς χρήστη διαχείρισης κοινή ή λογαριασμούς. Εάν το γνωστό κωδικό πρόσβασης για τον ενσωματωμένο λογαριασμό διαχειριστή, αλλάξτε τον κωδικό πρόσβασης και να ορίσετε μια εσωτερική διαδικασία που αποθαρρύνει τη χρήση. Έλεγχος συμβάντων για κοινοί λογαριασμοί χρήστη καθιστά αδύνατο να προσδιοριστεί η ταυτότητα του χρήστη Ποιος κάνει αλλαγές στον κατάλογο Active Directory. Επομένως, η χρήση κοινόχρηστου χρήστη λογαριασμοί πρέπει να αποτρέπεται.
  2. Είναι πολύ σπάνια ότι λογαριασμούς χρήστη, λογαριασμούς υπολογιστή, και ομάδες ασφαλείας σκόπιμα διαγράφονται. Αυτό ισχύει κυρίως του δέντρου διαγραφές. Κατάργηση της συσχέτισης τη δυνατότητα της υπηρεσίας και έχουν ανατεθεί στους διαχειριστές να Για να διαγράψετε αυτά τα αντικείμενα από τη δυνατότητα να δημιουργήσετε και να διαχειριστείτε λογαριασμούς χρηστών, λογαριασμούς υπολογιστή, ομάδες ασφαλείας, OU δοχεία και τα χαρακτηριστικά τους. Χορήγηση μόνο το πιο προνομιακή λογαριασμούς χρήστη ή ασφαλείας ομάδες το δικαίωμα εκτέλεσης Διαγράφει το δέντρο. Αυτοί οι λογαριασμοί χρήστη με δικαιώματα μπορεί να περιλαμβάνουν εταιρείας Οι διαχειριστές.
  3. Παραχωρήσετε πρόσβαση μόνο σε κλάση της αντιπροσώπευσης διαχειριστές αντικείμενο που επιτρέπονται οι διαχειριστές για να διαχειριστείτε. Για παράδειγμα, είναι καλύτερα, εάν ένας διαχειριστής γραφείο βοήθειας, των οποίων κύρια εργασία είναι να τροποποιήσετε τις ιδιότητες για λογαριασμούς χρηστών έχουν δικαιώματα για να δημιουργήσετε και να διαγράψετε τον υπολογιστή λογαριασμοί, ομάδες ασφαλείας ή περιέκτες OU. Αυτός ο περιορισμός ισχύει επίσης για Διαγραφή δικαιώματα για τους διαχειριστές άλλων συγκεκριμένο αντικείμενο κλάσεις.
  4. Πειραματιστείτε με τις ρυθμίσεις ελέγχου για την παρακολούθηση των λειτουργιών διαγραφής σε έναν τομέα lab. Εάν είστε εξοικειωμένοι με τα αποτελέσματα, εφαρμογή σας καλύτερα λύση για τον τομέα παραγωγής.
  5. Χονδρικού ελέγχου πρόσβασης και ελέγχου αλλαγών σε εμπορευματοκιβώτια που φιλοξενούν δεκάδες χιλιάδες αντικείμενα μπορεί να κάνει τη βάση δεδομένων της υπηρεσίας καταλόγου Active Directory αναπτυχθούν σημαντικά, ιδίως σε τομείς των Windows 2000. Χρήση ενός τομέα δοκιμής που αντικατοπτρίζει τομέα παραγωγής για την αξιολόγηση των πιθανών αλλαγές για να ελευθερώσετε χώρο στο δίσκο. Ελέγξτε τους τόμους σκληρού δίσκου που φιλοξενούν αρχεία Ntds.dit και το αρχείο καταγραφής αρχεία ελεγκτές τομέα στον τομέα παραγωγής δωρεάν χώρου στο δίσκο. Αποφύγετε ρύθμιση ελέγχου πρόσβασης και ελέγχου αλλαγές σε κεφαλής ελεγκτή του τομέα δικτύου. Αυτές οι αλλαγές θα άσκοπα ισχύουν για όλα τα αντικείμενα από όλα τα κλάσεις σε όλα τα δοχεία του διαμερίσματος. Για παράδειγμα, αποφύγετε τη δημιουργία αλλαγές στο σύστημα ονομάτων τομέα (DNS) και κατανεμημένης σύνδεσης (DLT) εγγραφή παρακολούθησης καταχώρηση σε CN = φάκελος ΣΥΣΤΉΜΑΤΟΣ του διαμερίσματος του τομέα.
  6. Χρησιμοποιήστε τη δομή OU βέλτιστων πρακτικών για να διαχωρίσετε χρήστη λογαριασμούς, λογαριασμούς υπολογιστή, ομάδες ασφαλείας και τους λογαριασμούς υπηρεσίας στο δικό τους οργανική μονάδα. Όταν χρησιμοποιείτε μια τέτοια δομή, μπορείτε να εφαρμόσετε διακριτικού λίστες ελέγχου (DACL) πρόσβασης σε αντικείμενα μόνο κλάση για ανάθεση Διαχείριση και καθιστούν δυνατή για αντικείμενα για να αποκατασταθεί σύμφωνα με το κλάση αντικειμένου αν έχουν για επαναφορά. Είναι η καλύτερη πρακτική δομή OU περιγράφεται στην ενότητα "Δημιουργία σχεδίασης οργανική μονάδα" του το Βέλτιστη πρακτική ενεργό σχεδίασης καταλόγου για τη διαχείριση των δικτύων των Windows η Λευκή Βίβλος. Για να αποκτήσετε αυτήν τη λευκή βίβλο, επισκεφθείτε την παρακάτω Τοποθεσία Web της Microsoft:
    http://technet.Microsoft.com/en-us/library/Bb727085.aspx
  7. Δοκιμή διαγραφές χύδην σε περιβάλλον εργαστηρίου που αντικατοπτρίζει σας τομέα παραγωγής. Επιλέξτε τη μέθοδο αποκατάστασης που έχει νόημα για εσάς, και στη συνέχεια προσαρμόσετε την εταιρεία σας. Μπορείτε να προσδιορίσετε τα εξής:
    • Τα ονόματα ελεγκτών τομέα σε κάθε τομέα που τακτικά αντίγραφα ασφαλείας
    • Πού αποθηκεύονται οι εικόνες αντιγράφων ασφαλείας

      Ιδανικά, αυτοί αποθηκεύονται οι εικόνες σε μια επιπλέον σκληρό δίσκο που είναι τοπικά σε έναν καθολικό κατάλογο σε κάθε τομέα στο σύμπλεγμα δομών.
    • Τα μέλη του οργανισμού γραφείο βοήθειας για επαφή
    • Ο καλύτερος τρόπος για να κάνετε αυτήν την επαφή
  8. Οι περισσότερες διαγραφών μαζικής λογαριασμών χρήστη, του υπολογιστή λογαριασμών και των ομάδων ασφαλείας που βλέπει Microsoft είναι τυχαίες. Συζήτηση Αυτό το σενάριο του προσωπικού ΠΛΗΡΟΦΟΡΙΚΉΣ, και να αναπτύξει ένα σχέδιο δράσης εσωτερικό. At πρώτο, εστίαση έγκαιρη ανίχνευση και επιστρέφει λειτουργικότητα του τομέα χρήστες και για την επιχείρησή σας όσο το δυνατό συντομότερα. Μπορείτε επίσης να λαμβάνουν μέτρα για να αποτρέψετε την τυχαία χύδην διαγραφές προκύψει τροποποιώντας τις λίστες ελέγχου πρόσβασης (ACL) των οργανικών μονάδων. Για περισσότερες πληροφορίες σχετικά με τη χρήση εργαλείων περιβάλλοντος εργασίας των Windows για να αποτρέψετε την τυχαία χύδην διαγραφές, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web, για να προβάλετε το "Κιγκλιδώματα έναντι τυχαίας χύδην διαγραφές στο Active Directory":
    .aspx http://technet.Microsoft.com/en-us/library/cc773347 (WS.10)
    Για περισσότερες πληροφορίες σχετικά με τον τρόπο αποτροπής χύδην τυχαίες διαγραφές χρησιμοποιώντας Dsacls.exe στη γραμμή εντολών ή χρησιμοποιώντας μια δέσμη ενεργειών, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web, για να προβάλετε το "Δέσμη ενεργειών για την προστασία οργανικές μονάδες (OU) από τυχαία διαγραφή":
    http://go.Microsoft.com/fwlink/;(LinkID) = 162623

Εργαλεία και δεσμών ενεργειών που μπορεί να σας βοηθήσει να ανακτήσετε από διαγραφές χύδην

Βοηθητικό πρόγραμμα γραμμής εντολών Groupadd.exe διαβάζει το Μέλος το χαρακτηριστικό σε μια συλλογή χρηστών σε μια οργανική Μονάδα και δημιουργεί μια .ldf επαναφορά του αρχείου που προσθέτει κάθε λογαριασμού χρήστη σε ομάδες ασφαλείας σε κάθε τομέα στο σύμπλεγμα δομών.

Groupadd.exe εντοπίζει αυτόματα τους τομείς και ομάδες ασφαλείας που θα διαγραφούν οι χρήστες ήταν μέλη της και τους προσθέτει πίσω σε αυτές ομάδες. Αυτή η διαδικασία εξηγείται με περισσότερες λεπτομέρειες στο βήμα 11 της μεθόδου 1.

Groupadd.exe εκτελείται σε ελεγκτές τομέα με το παρακάτω:
  • Οι ελεγκτές τομέα του Windows Server 2003
  • Οι ελεγκτές τομέα των Windows 2000 που έχουν το.NET 1.1 εγκατεστημένο Framework
Groupadd.exe χρησιμοποιεί την ακόλουθη σύνταξη:
groupadd /after_restore ldf_file [/before_restore ldf_file]
Εδώ, ldf_file αντιπροσωπεύει το όνομα του το αρχείο .ldf για χρήση με το προηγούμενο επιχείρημα after_restore αντιπροσωπεύει το χρήστη αρχείο προέλευσης δεδομένων, και before_restore αντιπροσωπεύει τα δεδομένα του χρήστη από το περιβάλλον παραγωγής. (Το αρχείο προέλευσης δεδομένων χρήστη είναι καλή χρήστη τα δεδομένα.)

Για να αποκτήσετε Groupadd.exe, επικοινωνήστε με την υποστήριξη προϊόντων της Microsoft Υπηρεσίες.

Το τα προϊόντα τρίτων κατασκευαστών που περιγράφει αυτό το άρθρο έχουν κατασκευαστεί από εταιρείες που είναι ανεξάρτητοι της Microsoft. Η Microsoft δεν παρέχει καμία εγγύηση, σιωπηρή ή Διαφορετικά, σχετικά με τις επιδόσεις ή την αξιοπιστία αυτών τα προϊόντα.

Αναφορές

Για περισσότερες πληροφορίες σχετικά με τον τρόπο επαναφοράς ενός αντικειμένου που περιέχει εκτεταμένους χαρακτήρες, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft:
886689Η λειτουργία του βοηθητικού προγράμματος Ntdsutil επιτακτική επαναφορά δεν είναι επιτυχής, εάν η διαδρομή του αποκλειστικού ονόματος περιέχει εκτεταμένους χαρακτήρες στον Windows Server 2003 και στα Windows 2000
Για περισσότερες πληροφορίες, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft:
824684Περιγραφή της βασικής ορολογίας που χρησιμοποιείται για την περιγραφή ενημερωμένων εκδόσεων λογισμικού της Microsoft
910823 Μήνυμα λάθους όταν προσπαθείτε να εισαγάγετε .ldf αρχεία σε έναν υπολογιστή που εκτελεί Windows Server 2003 με Service Pack 1: "Προσθήκη σφάλμα στη γραμμή LineNumber: δεν υπάρχει τέτοιο αντικείμενο"
937855 Μετά την επαναφορά διαγραμμένων αντικειμένων, εκτελώντας μια επιτακτικής επαναφοράς σε έναν ελεγκτή τομέα που βασίζεται σε Windows Server 2003, τα συνδεδεμένα χαρακτηριστικά ορισμένα αντικείμενα δεν αναπαράγονται για άλλους ελεγκτές τομέα

Για περισσότερες πληροφορίες σχετικά με τον τρόπο χρήσης της δυνατότητας AD Κάδο Ανακύκλωσης που περιλαμβάνεται στο Windows Server 2008 R2, παρακαλούμε αναφοράς το Active Directory Κάδο Ανακύκλωσης Οδηγός βήμα προς βήμα διαθέσιμη από αυτό τοποθεσία της Microsoft στο Web:.aspx http://technet.Microsoft.com/en-us/library/dd392261 (WS.10)

Ιδιότητες

Αναγν. άρθρου: 840001 - Τελευταία αναθεώρηση: Κυριακή, 11 Σεπτεμβρίου 2011 - Αναθεώρηση: 5.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
Λέξεις-κλειδιά: 
kbhowto kbwinservds kbactivedirectory kbmt KB840001 KbMtel
Μηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:840001

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com