Active Directory から削除されたユーザーおよびユーザーのグループ メンバシップを復元する方法

文書翻訳 文書翻訳
文書番号: 840001 - 対象製品
すべて展開する | すべて折りたたむ

目次

概要

削除されたユーザー アカウント、コンピュータ アカウント、およびセキュリティ グループを復元する方法は 3 とおりあります。これらのオブジェクトは、セキュリティ プリンシパルと総称されます。いずれの方法でも、削除されたオブジェクトを正式に復元し、次に、削除されたセキュリティ プリンシパルのグループ メンバシップ情報を復元します。削除されたオブジェクトを復元するときは、影響を受けたセキュリティ プリンシパルの member 属性および memberOf 属性を以前設定されていた値に戻す必要があります。使用できる 3 つの方法は、以下のとおりです。
  • 方法 1 : 削除されたユーザー アカウントを復元し、Ntdsutil.exe コマンド ライン ツールを使用して、復元したユーザーを元のグループに追加する (Microsoft Windows Server 2003 Service Pack 1 (SP1) のみ)
  • 方法 2 : 削除されたユーザー アカウントを復元し、復元したユーザーを元のグループに追加する
  • 方法 3 : 削除されたユーザー アカウントとそのユーザーの削除されたセキュリティ グループを 2 回正式に復元する
方法 1 および方法 2 では、システム状態の最新のバックアップが作成されてからユーザー アカウントが削除されるまでの間にセキュリティ グループに対して追加があった場合でも、このグループへの追加に関する情報が保持されます。そのため、ドメイン ユーザーおよび管理者にとっては方法 1 および方法 2 が望ましい方法です。方法 3 では、セキュリティ プリンシパルを個別に調整するのではなく、最新のバックアップ時点の状態までセキュリティ グループ メンバシップをロールバックします。

システム状態の有効なバックアップがなく、オブジェクトが削除されたドメインに Windows Server 2003 ベースのドメイン コントローラが含まれている場合、手動で、またはプログラムを使用することによって、削除されたオブジェクトを復元することができます。Repadmin ユーティリティを使用して、オブジェクトが削除された日時と場所を特定することもできます。

操作の誤りなどにより、多数のオブジェクトが削除されてしまうことがあります。多数のオブジェクトが一度に削除されないようにするために、この資料に記載されている手順を実行することをお勧めします。

詳細

この資料では、Active Directory から削除されたユーザー アカウント、コンピュータ アカウント、およびそれらのグループ メンバシップを復元する方法について手順を追って説明します。状況によって、これらのユーザー アカウント、コンピュータ アカウント、およびセキュリティ グループは単独で削除されていることもあれば、アカウントとグループなどが一緒に削除されていることもあります。どの場合でも、最初に実行する手順は同じです。つまり、誤って削除されたオブジェクトを正式に復元 (Authoritative Restore (auth restore) を実行) します。削除されたオブジェクトによっては、復元にこの他の手順が必要になることもあります。たとえば、他のオブジェクトの属性への後方リンクを属性として持つユーザー アカウントが削除された場合などです。managedBy および memberOf の 2 つの属性は後方リンクです。

セキュリティ プリンシパル (ユーザー アカウント、セキュリティ グループ、コンピュータ アカウントなど) をセキュリティ グループに追加すると、Active Directory で以下の変更が行われます。
  1. 各セキュリティ グループの member 属性に、追加したセキュリティ プリンシパル名が追加されます。
  2. 追加したセキュリティ プリンシパルの memberOf 属性に、そのセキュリティ プリンシパルが所属している各セキュリティ グループへの後方リンクが追加されます。
同様に、ユーザー、コンピュータ、またはグループを Active Directory から削除すると、以下の変更が行われます。
  1. 削除したセキュリティ プリンシパルが Deleted Objects コンテナに移動します。
  2. 削除したセキュリティ プリンシパルから memberOf などの属性値が多数削除されます。
  3. 削除したセキュリティ プリンシパルが、そのセキュリティ プリンシパルが所属していたすべてのセキュリティ グループから削除されます。言い換えると、所属していたすべてのセキュリティ グループの member 属性からセキュリティ プリンシパル名が削除されます。
削除されたセキュリティ プリンシパルを復元し、そのグループ メンバシップを回復するときに重要なのは、各セキュリティ プリンシパルのグループ メンバシップを回復する前に、そのセキュリティ プリンシパルが Active Directory に存在していることです (グループに所属できるのは、ユーザー、コンピュータ、または他のセキュリティ グループです)。さらに、前方リンクを属性値に持つオブジェクトを復元または変更する前に、対応する後方リンクを属性値に持つオブジェクトが Active Directory に存在している必要があります。

この資料では、削除されたユーザー アカウントおよびそれらのアカウントが所属するセキュリティ グループの削除されたメンバシップを回復する方法を中心に説明しますが、ここで説明する概念は、他のオブジェクトが削除される場合にも当てはまります。この資料で説明する概念は、Active Directory の他のオブジェクトへの前方リンクまたは後方リンクを属性値に持つオブジェクトが削除される場合にも当てはまります。

この資料に記載されている 3 とおりの方法のいずれかを使用して、セキュリティ プリンシパルを復元できます。方法 1 および方法 2 を使用する場合、フォレスト全体のセキュリティ グループに追加されたすべてのセキュリティ プリンシパルをそのまま残し、各ドメインから削除された、そのドメインに所属していたセキュリティ プリンシパルのみを元のセキュリティ グループに追加します。たとえば、システム状態のバックアップを作成した後でユーザーをセキュリティ グループに追加し、その後、システム状態のバックアップを復元したとします。復元対象のユーザーがこのセキュリティ グループに所属していた場合、方法 1 および方法 2 では、システム状態のバックアップの作成日と復元日の間にこのセキュリティ グループに追加されたユーザーをすべて保持します。一方、方法 3 では、削除されたユーザーが所属していたすべてのセキュリティ グループのセキュリティ グループ メンバシップを、システム状態がバックアップされた時点の状態までロールバックします。

方法 1 : 削除されたユーザー アカウントを復元し、Ntdsutil.exe コマンド ライン ツールを使用して、復元したユーザーを元のグループに追加する (Microsoft Windows Server 2003 Service Pack 1 (SP1) のみ)

: この方法は、Windows Server 2003 SP1 を実行しているドメイン コントローラ上でのみ実行できます。復元に使用するドメイン コントローラに Windows Server 2003 SP1 がインストールされていない場合は、方法 2 を使用してください。

Windows Server 2003 SP1 では、Ntdsutil.exe コマンド ライン ツールに機能が追加されており、管理者は削除されたオブジェクトの後方リンクをより簡単に復元できます。Authoritative Restore 処理を実行するごとに、2 つのファイルが生成されます。1 つのファイルには、正式に復元されたオブジェクトの一覧が保存されます。もう 1 つのファイルは、Ldifde.exe ユーティリティで使用される .ldf ファイルです。このファイルは、正式に復元されたオブジェクトの後方リンクを復元するために使用されます。Windows Server 2003 SP1 では、ユーザー オブジェクトに対して Authoritative Restore 処理を実行すると、グループ メンバシップを含む LDIF ファイルも生成されます。これにより、復元が二重に行われることを防ぎます。

方法 1 の大まかな手順は以下のとおりです。
  1. 削除されたユーザーが所属していたドメインのグローバル カタログで、削除がレプリケート (複製) されたかどうかを確認します。次に、グローバル カタログのレプリケーションを無効にします。"隠れた" グローバル カタログが見つからなかった場合、削除されたユーザーが所属していたドメインにあるグローバル カタログ ドメイン コントローラのうち、システム状態のバックアップが最も新しいものを見つけます。
  2. Authoritative Restore を実行して、削除されたユーザー アカウントをすべて復元します。次に、これらのユーザー アカウントのエンド ツー エンドのレプリケーションを許可します。
  3. 復元したユーザー アカウントを、削除される前に所属していたすべてのドメインのすべてのグループに元どおりに追加します。
以下に、方法 1 の詳細な手順を示します。
  1. 削除されたユーザーが所属していたドメインに、削除に関する情報がまったくレプリケートされていないグローバル カタログ ドメイン コントローラがあるかどうかを確認します。

    : レプリケーションのスケジュールの頻度が最も低いグローバル カタログを中心に調べてください。

    グローバル カタログが複数存在する場合、Repadmin.exe コマンド ライン ツールを使用して入力方向のレプリケーションを無効にできます。これを行うには、以下の手順を実行します。
    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
    2. [名前] ボックスに cmd と入力し、[OK] をクリックします。
    3. コマンド プロンプトに次のコマンドを入力し、Enter キーを押します。
      repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
      : Repadmin コマンドを即座に実行できない場合は、"隠れた" グローバル カタログ サーバーをすべてネットワークから切断します。その後 Repadmin コマンドを実行して入力方向のレプリケーションを無効にし、その直後、切断したネットワークを再接続します。
    以下、このドメイン コントローラを "回復ドメイン コントローラ" と呼びます。回復ドメイン コントローラのグローバル カタログがない場合は、手順 2. に進みます。
  2. 以下のすべての条件に該当する場合、フォレスト全体のセキュリティ グループに対する変更を禁止することをお勧めします。
    • 方法 1 で、削除されたユーザー アカウントまたはコンピュータ アカウントに対して Authoritative Restore を実行するときに、それらのアカウントの識別名 (dn) パスを使用する場合
    • フォレスト内で、"隠れた" 回復ドメイン コントローラを除くすべてのドメイン コントローラに削除が既にレプリケートされている場合
    • セキュリティ グループまたはセキュリティ グループの親コンテナを正式に復元するのではない場合
    セキュリティ グループ、またはセキュリティ グループやユーザー アカウントが格納されている組織単位 (OU) コンテナに対して Authoritative Restore を実行する場合は、これらの変更を一時的にすべて禁止します。

    ユーザーの削除が発生したドメインのドメイン ユーザーに加え、該当するドメインの管理者とヘルプ デスク管理者に対し、これらの変更を行わないように通知します。
  3. 削除が発生したドメインで、システム状態のバックアップを新しく作成します。このバックアップは、後で変更のロールバックが必要になった場合に使用できます。

    : 削除の発生後、システム状態のバックアップが最新になっている場合は、手順 4. に進みます。

    回復ドメイン コントローラとして使用するドメイン コントローラを手順 1. で決定していた場合は、このサーバーの最新のシステム状態をバックアップします。

    削除が発生したドメインにあるすべてのグローバル カタログで削除が既にレプリケートされていた場合は、削除が発生したドメインにあるグローバル カタログのシステム状態をバックアップします。

    バックアップを作成しておくと、最初の処理に失敗した場合に、回復ドメイン コントローラを最新の状態に復元して回復手順を再度実行することができます。
  4. 削除が発生したドメインで "隠れた" グローバル カタログ ドメイン コントローラが見つからない場合は、そのドメインのグローバル カタログ ドメイン コントローラの最新のシステム状態のバックアップを見つけます。通常、このシステム状態のバックアップには、削除されたオブジェクトが含まれています。このドメイン コントローラを回復ドメイン コントローラとして使用します。

    外部ドメインのセキュリティ グループであるグローバル グループおよびユニバーサル グループのメンバシップ情報は、ユーザーが所属するドメインにあるグローバル カタログ ドメイン コントローラの復元内容にのみ含まれています。ユーザーが削除されたドメインのグローバル カタログ ドメイン コントローラにシステム状態のバックアップがない場合、復元したユーザー アカウントの memberOf 属性を使用して、グローバル グループまたはユニバーサル グループのメンバシップを決定することや、外部ドメインのメンバシップを回復することはできません。また、グローバル カタログでないドメイン コントローラの最新のシステム状態のバックアップを見つけることをお勧めします。
  5. オフライン管理者アカウントのパスワードがわかっている場合、回復ドメイン コントローラをディレクトリ サービス復元モードで起動します。オフライン管理者アカウントのパスワードが不明な場合、回復ドメイン コントローラが通常の Active Directory モードで稼働している状態でパスワードをリセットします。

    Microsoft Windows 2000 Service Pack 2 (SP2) 以降を実行しているドメイン コントローラでは、Active Directory モードで実行中かつオンラインの状態で setpwd コマンド ライン ツールを使用してパスワードをリセットすることができます。

    : Windows 2000 SP2 は現在サポート対象外です。この機能を使用するには、最新の Windows 2000 Service Pack をインストールしてください。

    回復コンソールの管理者パスワードを変更する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    239803 [NT] 修復コンソールの Administrator パスワードを変更する方法
    Windows Server 2003 ドメイン コントローラの管理者は、Ntdsutil コマンド ライン ツールで set dsrm password コマンドを使用することにより、オフライン管理者アカウントのパスワードをリセットすることができます。

    ディレクトリ サービス復元モードの管理者アカウントのパスワードをリセットする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    322672 Windows Server 2003 でディレクトリ サービス復元モードの管理者アカウントのパスワードを再設定する方法
  6. コンピュータの起動処理中に F8 キーを押して、回復ドメイン コントローラをディレクトリ サービス復元モードで起動します。オフライン管理者アカウントを使用して、回復ドメイン コントローラのコンソールにログオンします。手順 5. でパスワードをリセットした場合は、新しいパスワードを使用します。

    回復ドメイン コントローラが "隠れた" グローバル カタログ ドメイン コントローラである場合は、システム状態を復元せず、手順 7. に進みます。

    システム状態のバックアップを使用して、回復ドメイン コントローラを作成する場合は、回復ドメイン コントローラで直前に作成した最新のシステム状態のバックアップを復元します。
  7. 削除されたユーザー アカウント、削除されたコンピュータ アカウント、または削除されたセキュリティ グループを正式に復元 (Authoritative Restore を実行) します。

    : Authoritative Restore (auth restore) とは、Ntdsutil コマンド ライン ツールで authoritative restore コマンドを使用して、特定のオブジェクトや特定のコンテナ、およびそれらの下位にあるすべてのオブジェクトのバージョン番号を大きくする処理を指します。エンド ツー エンドのレプリケーションが発生するとすぐに、回復ドメイン コントローラ上の Active Directory のローカル コピーにある対象のオブジェクトが、このパーティションを共有するすべてのドメイン コントローラに対して権限を持つようになります。Authoritative Restore は、システム状態の復元とは異なる処理です。システム状態の復元では、システム状態のバックアップを作成した時点と同じバージョンのオブジェクトを、ドメイン コントローラ上の Active Directory の復元されたローカル コピーに保存します。

    ドメイン コントローラを正式に復元 (Authoritative Restore を実行) する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    241594 Windows 2000 ドメイン コントローラで Authoritative Restore を実行する方法


    Authoritative Restore は、Ntdsutil コマンド ライン ツールで実行します。このとき、削除されたユーザーまたは削除されたユーザーが保存されていたコンテナへのドメイン名 (dn) パスを指定します。

    Authoritative Restore を実行するとき、ユーザーの削除に無関係なオブジェクトが復元されないようにするため、ドメイン ツリーのできるだけ下位のドメイン名 (dn) パスを使用します。削除に無関係なオブジェクトには、システム状態のバックアップの作成後に変更されたオブジェクトが含まれていることがあります。

    削除されたユーザーに対する Authoritative Restore は、以下の順序で実行します。
    1. 削除されたユーザー アカウント、コンピュータ アカウント、またはセキュリティ グループへのドメイン名 (dn) パスをそれぞれ指定して、Authoritative Restore を実行します。

      特定のオブジェクトに対して Authoritative Restore を実行する場合、サブツリー全体に対して Authoritative Restore を実行する場合に比べて時間がかかりますが、破損の可能性は小さくなります。Authoritative Restore は、削除されたオブジェクトが保存されていた共通の親コンテナのうち、最も下位のコンテナに対して実行します。

      Ntdsutil の構文は次のとおりです。
      ntdsutil "authoritative restore" "restore object <object DN path>" q q
      たとえば、Contoso.com ドメインの Mayberry 組織単位 (OU) から削除されたユーザー JohnDoe に対して Authoritative Restore を実行するには、以下のコマンドを実行します。
      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
      Contoso.com ドメインの Mayberry OU から削除されたセキュリティ グループ ContosoPrintAccess に対して Authoritative Restore を実行するには、以下のコマンドを実行します。
      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
      重要 : 上記のコマンドに含まれる二重引用符は省略できません。

      復元するユーザーごとに、少なくとも 2 つのファイルが生成されます。これらのファイルの形式は、以下のとおりです。

      ar_YYYYMMDD-HHMMSS_objects.txt
      このファイルには、Authoritative Restore で復元されたオブジェクトの一覧が保存されます。ユーザーが Domain Local グループのメンバであったフォレスト内の他のすべてのドメインで、このファイルを指定して ntdsutil authoritatative restore "create ldif file from" コマンドを実行します。

      ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
      グローバル カタログ上で Authoritative Restore を実行する場合、これらのファイルの 1 つがフォレスト内のドメインごとに生成されます。このファイルには、Ldifde.exe ユーティリティで使用できるスクリプトが含まれています。このスクリプトを使用して、復元されたオブジェクトの後方リンクが復元されます。ユーザーが所属していたドメインでは、復元されたユーザーのすべてのグループ メンバシップがこのスクリプトを使用して回復されます。ユーザーがグループ メンバシップを持つフォレスト内の他のすべてのドメインでは、ユニバーサルおよびグローバルのグループ メンバシップのみがスクリプトを使用して回復されます。スクリプトでは、Domain Local グループ メンバシップは回復されません。これらのメンバシップは、グローバル カタログで追跡されません。
    2. 削除されたユーザー アカウントまたはグループが含まれていた OU コンテナまたは共通名 (CN) コンテナに対してのみ、Authoritative Restore を実行します。

      ntdsutil "authoritative restore" コマンドの実行対象の OU 内に、正式に復元する必要のあるオブジェクトの大半が含まれている場合、サブツリー全体に対して Authoritative Restore を実行することは有効です。対象の OU に、正式に復元する必要のあるオブジェクトがすべて含まれているのが理想的です。

      OU サブツリーに対して Authoritative Restore を実行すると、そのコンテナに含まれているすべての属性およびオブジェクトが復元されます。システム状態のバックアップが復元された時点までに行われたすべての変更は、バックアップ時点の状態までロールバックされます。バックアップの作成後、ユーザー アカウント、コンピュータ アカウント、またはセキュリティ グループのパスワード、ホーム ディレクトリ、プロファイルのパス、住所や連絡先、グループ メンバシップ、またはオブジェクトや属性で定義されるセキュリティ記述子のいずれかに変更を加えていた場合、ロールバックによってそれらの変更が失われることがあります。

      Ntdsutil の構文は次のとおりです。
      ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
      たとえば、Contoso.com ドメインの Mayberry OU に対して Authoritative Restore を実行するには、以下のコマンドを実行します。
      ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
    : 削除されたユーザーまたはグループが保存されていたすべての OU について、この手順を実行します。

    重要 : ある OU の下位にあるオブジェクトを復元する場合、削除された下位オブジェクトの削除された親コンテナすべてに対して、Authoritative Restore を明示的に実行する必要があります。

    復元する組織単位ごとに、少なくとも 2 つのファイルが生成されます。これらのファイルの形式は、以下のとおりです。

    ar_YYYYMMDD-HHMMSS_objects.txt

    このファイルには、Authoritative Restore で復元されたオブジェクトの一覧が保存されます。復元されたユーザーが Domain Local グループのメンバであった、フォレスト内の他のすべてのドメインで、このファイルを指定して ntdsutil authoritatative restore "create ldif file from" コマンドを実行します。

    詳細については、次のマイクロソフト Web サイトを参照してください。
    http://technet2.microsoft.com/WindowsServer/en/library/5ec3a3b1-c4b2-4c74-9d8a-61f7cb555f821033.mspx?mfr=true
    ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
    このファイルには、Ldifde.exe ユーティリティで使用できるスクリプトが含まれています。このスクリプトを使用して、復元されたオブジェクトの後方リンクが復元されます。ユーザーが所属していたドメインでは、復元されたユーザーのすべてのグループ メンバシップがこのスクリプトを使用して回復されます。
  8. 回復ドメイン コントローラから削除されたオブジェクトがシステム状態の復元によって復元された場合は、フォレスト内の他のドメイン コントローラへのネットワーク接続をすべて切断します。
  9. 回復ドメイン コントローラを再起動し、通常の Active Directory モードに変更します。
  10. コマンド プロンプトで以下のコマンドを実行して、回復ドメイン コントローラへの入力方向のレプリケーションを無効にします。
    repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
    システム状態が復元された回復ドメイン コントローラをネットワークに接続します。
  11. 回復ドメイン コントローラからドメイン内およびフォレスト内の他のドメイン コントローラに、Authoritative Restore によって復元したオブジェクトの出力方向のレプリケーションを実行します。

    回復ドメイン コントローラへの入力方向のレプリケーションが無効になっている状態で、以下のコマンドを実行します。このコマンドにより、Authoritative Restore によって復元したオブジェクトをドメイン内のすべてのサイト間レプリカ ドメイン コントローラとフォレスト内のすべてのグローバル カタログに反映します。
    repadmin /syncall /d /e /P <recovery dc> <Naming Context>
    以下の条件がすべて満たされている場合、グループ メンバシップのリンクは、削除されたユーザー アカウントの復元およびレプリケーションによって再構築されています。手順 14. に進みます。

    : 以下の条件が 1 つでも満たされない場合は、手順 12. に進みます。
    • 稼働中のフォレストの機能レベルが "Windows Server 2003" または "Windows Server 2003 中間" のいずれかである場合
    • 削除されたのはユーザー アカウントまたはコンピュータ アカウントのみで、セキュリティ グループは削除されていない場合
    • 削除されたユーザーがフォレストのすべてのドメインのセキュリティ グループに追加されたとき、フォレストの機能レベルが既に "Windows Server 2003" に移行していた場合
  12. 回復ドメイン コントローラのコンソールで、Ldifde.exe ユーティリティと ar_YYYYMMDD-HHMMSS_objects_usn.loc.ldf ファイルを使用して、ユーザーのグループ メンバシップを回復します。これを行うには、以下の手順を実行します。
    • [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。[名前] ボックスに cmd と入力し、[OK] をクリックします。
    • コマンド プロンプトで以下のコマンドを入力し、Enter キーを押します。
      ldifde -i -f ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
  13. 次のコマンドを実行して、回復ドメイン コントローラでの入力方向のレプリケーションを有効にします。
    repadmin /options <recovery dc name> -DISABLE_INBOUND_REPL
  14. 削除されたユーザーが、外部ドメインのローカル グループに所属していた場合は、以下のいずれかを実行します。
    • 削除されたユーザーを手動で元のグループに追加します。
    • システム状態を復元し、削除されたユーザーが所属していたローカル セキュリティ グループに対して Authoritative Restore を実行します。
  15. 回復ドメイン コントローラが所属するドメインのグループ メンバシップの内容と、他のドメインのグローバル カタログにあるグループ メンバシップの内容を検証します。
  16. 回復ドメイン コントローラが所属するドメイン内のドメイン コントローラで、システム状態のバックアップを新しく作成します。
  17. フォレスト内のすべてのフォレスト管理者、委任された管理者、ヘルプ デスク管理者、およびドメインのすべてのユーザーに、ユーザー復元作業が完了したことを通知します。

    Authoritative Restore によって復元したユーザー アカウントおよびコンピュータ アカウントについて、復元したシステムが最初に構築されてからこれらのアカウントのドメイン パスワードが変更されていた場合、ヘルプ デスク管理者は必要に応じてこれらのアカウントのパスワードをリセットします。

    システム状態のバックアップが作成されてからユーザーがパスワードを変更した場合、最新のパスワードは無効になります。これらのユーザーが以前のパスワードを覚えている場合は、そのパスワードを使用してログオンするように指示します。ユーザーが以前のパスワードを覚えていない場合、ヘルプ デスク管理者はユーザーのパスワードをリセットし、ユーザーのプロパティで [ユーザーは次回ログオン時にパスワード変更が必要] チェック ボックスをオンにする必要があります。この操作は、なるべくユーザーと同じ Active Directory サイトにあるドメイン コントローラで実行してください。

方法 2 : 削除されたユーザー アカウントを復元し、復元したユーザーを元のグループに追加する

方法 2 の大まかな手順は以下のとおりです。
  1. 削除されたユーザーが所属していたドメインのグローバル カタログで、削除がレプリケート (複製) されたかどうかを確認します。次に、グローバル カタログのレプリケーションを無効にします。"隠れた" グローバル カタログが見つからなかった場合、削除されたユーザーが所属していたドメインにあるグローバル カタログ ドメイン コントローラのうち、システム状態のバックアップが最も新しいものを見つけます。
  2. Authoritative Restore を実行して、削除されたユーザー アカウントをすべて復元します。次に、これらのユーザー アカウントのエンド ツー エンドのレプリケーションを許可します。
  3. 復元したユーザー アカウントを、削除される前に所属していたすべてのドメインのすべてのグループに元どおりに追加します。
以下に、方法 2 の詳細な手順を示します。
  1. 削除されたユーザーが所属していたドメインに、削除に関する情報がまったくレプリケートされていないグローバル カタログ ドメイン コントローラがあるかどうかを確認します。

    : レプリケーションのスケジュールの頻度が最も低いグローバル カタログを中心に調べてください。

    グローバル カタログが複数存在する場合、Repadmin.exe コマンド ライン ツールを使用して入力方向のレプリケーションを無効にできます。これを行うには、以下の手順を実行します。
    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
    2. [名前] ボックスに cmd と入力し、[OK] をクリックします。
    3. コマンド プロンプトに次のコマンドを入力し、Enter キーを押します。
      repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
      : Repadmin コマンドを即座に実行できない場合は、"隠れた" グローバル カタログ サーバーをすべてネットワークから切断します。その後 Repadmin コマンドを実行して入力方向のレプリケーションを無効にし、その直後、切断したネットワークを再接続します。
    以下、このドメイン コントローラを "回復ドメイン コントローラ" と呼びます。回復ドメイン コントローラのグローバル カタログがない場合は、手順 2. に進みます。
  2. すべての回復手順が完了するまでの間、ユーザー アカウント、コンピュータ アカウントおよびセキュリティ グループに対して追加、削除および変更を一時的に禁止するかどうかを決定します。

    回復作業を柔軟に行うことができるように、以下の項目に対する変更を一時的に禁止します。禁止すべき変更には、ユーザーが削除されたドメインのドメイン ユーザー、ヘルプ デスク管理者、または管理者によって行われるパスワードのリセットや、削除されたユーザーが所属していたグループでのグループ メンバシップの変更などがあります。以下の項目に対する追加、削除、および変更の禁止を検討してください。
    1. ユーザー アカウントおよびその属性
    2. コンピュータ アカウントおよびその属性
    3. サービス アカウント
    4. セキュリティ グループ
    以下のすべての条件に該当する場合、フォレスト全体のセキュリティ グループに対する変更を禁止することをお勧めします。
    • 方法 2 で、削除されたユーザー アカウントまたはコンピュータ アカウントに対して Authoritative Restore を実行するときに、それらのアカウントのドメイン名 (dn) パスを使用する場合
    • フォレスト内で、"隠れた" 回復ドメイン コントローラを除くすべてのドメイン コントローラに削除が既にレプリケートされている場合
    • セキュリティ グループまたはセキュリティ グループの親コンテナを正式に復元するのではない場合
    セキュリティ グループまたはユーザー アカウントを含むセキュリティ グループ コンテナや組織単位 (OU) コンテナに対して Authoritative Restore を実行する場合は、これらの変更を一時的にすべて禁止します。

    ユーザーの削除が発生したドメインのドメイン ユーザーに加え、該当するドメインの管理者とヘルプ デスク管理者に対し、これらの変更を行わないように通知します。
  3. 削除が発生したドメインで、システム状態のバックアップを新しく作成します。このバックアップは、後で変更のロールバックが必要になった場合に使用できます。

    : 削除の発生後、システム状態のバックアップが最新になっている場合は、手順 4. に進みます。

    回復ドメイン コントローラとして使用するドメイン コントローラを手順 1. で決定していた場合は、このサーバーの最新のシステム状態をバックアップします。

    削除が発生したドメインにあるすべてのグローバル カタログで削除が既にレプリケートされていた場合は、削除が発生したドメインにあるグローバル カタログのシステム状態をバックアップします。

    バックアップを作成しておくと、最初の処理に失敗した場合に、回復ドメイン コントローラを最新の状態に復元して回復手順を再度実行することができます。
  4. 削除が発生したドメインで "隠れた" グローバル カタログ ドメイン コントローラが見つからない場合は、そのドメインのグローバル カタログ ドメイン コントローラの最新のシステム状態のバックアップを見つけます。通常、このシステム状態のバックアップには、削除されたオブジェクトが含まれています。このドメイン コントローラを回復ドメイン コントローラとして使用します。

    外部ドメインのセキュリティ グループであるグローバル グループおよびユニバーサル グループのメンバシップ情報は、ユーザーが所属するドメインにあるグローバル カタログ ドメイン コントローラの復元内容にのみ含まれています。ユーザーが削除されたドメインのグローバル カタログ ドメイン コントローラにシステム状態のバックアップがない場合、復元したユーザー アカウントの memberOf 属性を使用して、グローバル グループまたはユニバーサル グループのメンバシップを決定することや、外部ドメインのメンバシップを回復することはできません。また、グローバル カタログでないドメイン コントローラの最新のシステム状態のバックアップを見つけることをお勧めします。
  5. オフライン管理者アカウントのパスワードがわかっている場合、回復ドメイン コントローラをディレクトリ サービス復元モードで起動します。オフライン管理者アカウントのパスワードが不明な場合、回復ドメイン コントローラが通常の Active Directory モードで稼働している状態でパスワードをリセットします。

    Microsoft Windows 2000 Service Pack 2 (SP2) 以降を実行しているドメイン コントローラでは、Active Directory モードで実行中かつオンラインの状態で setpwd コマンド ライン ツールを使用してパスワードをリセットすることができます。

    : Windows 2000 SP2 は現在サポート対象外です。この機能を使用するには、最新の Windows 2000 Service Pack をインストールしてください。

    回復コンソールの管理者パスワードを変更する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    239803 [NT] 修復コンソールの Administrator パスワードを変更する方法
    Windows Server 2003 ドメイン コントローラの管理者は、Ntdsutil コマンド ライン ツールで set dsrm password コマンドを使用することにより、オフライン管理者アカウントのパスワードをリセットすることができます。

    ディレクトリ サービス復元モードの管理者アカウントのパスワードをリセットする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    322672 Windows Server 2003 でディレクトリ サービス復元モードの管理者アカウントのパスワードを再設定する方法
  6. コンピュータの起動処理中に F8 キーを押して、回復ドメイン コントローラをディレクトリ サービス復元モードで起動します。オフライン管理者アカウントを使用して、回復ドメイン コントローラのコンソールにログオンします。手順 5. でパスワードをリセットした場合は、新しいパスワードを使用します。

    回復ドメイン コントローラが "隠れた" グローバル カタログ ドメイン コントローラである場合は、システム状態を復元せず、手順 7. に進みます。

    システム状態のバックアップを使用して、回復ドメイン コントローラを作成する場合は、回復ドメイン コントローラで直前に作成した最新のシステム状態のバックアップを復元します。
  7. 削除されたユーザー アカウント、削除されたコンピュータ アカウント、または削除されたセキュリティ グループを正式に復元 (Authoritative Restore を実行) します。

    : Authoritative Restore (auth restore) とは、Ntdsutil コマンド ライン ツールで authoritative restore コマンドを使用して、特定のオブジェクトや特定のコンテナ、およびそれらの下位にあるすべてのオブジェクトのバージョン番号を大きくする処理を指します。エンド ツー エンドのレプリケーションが発生するとすぐに、回復ドメイン コントローラ上の Active Directory のローカル コピーにある対象のオブジェクトが、このパーティションを共有するすべてのドメイン コントローラに対して権限を持つようになります。Authoritative Restore は、システム状態の復元とは異なる処理です。システム状態の復元では、システム状態のバックアップを作成した時点と同じバージョンのオブジェクトを、ドメイン コントローラ上の Active Directory の復元されたローカル コピーに保存します。

    ドメイン コントローラを正式に復元 (Authoritative Restore を実行) する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    241594 Windows 2000 ドメイン コントローラで Authoritative Restore を実行する方法


    Authoritative Restore は、Ntdsutil コマンド ライン ツールで実行します。このとき、削除されたユーザーまたは削除されたユーザーが保存されていたコンテナへのドメイン名 (dn) パスを指定します。

    Authoritative Restore を実行するとき、ユーザーの削除に無関係なオブジェクトが復元されないようにするため、ドメイン ツリーのできるだけ下位のドメイン名 (dn) パスを使用します。削除に無関係なオブジェクトには、システム状態のバックアップの作成後に変更されたオブジェクトが含まれていることがあります。

    削除されたユーザーに対する Authoritative Restore は、以下の順序で実行します。
    1. 削除されたユーザー アカウント、コンピュータ アカウント、またはセキュリティ グループへのドメイン名 (dn) パスをそれぞれ指定して、Authoritative Restore を実行します。

      特定のオブジェクトに対して Authoritative Restore を実行する場合、サブツリー全体に対して Authoritative Restore を実行する場合に比べて時間がかかりますが、破損の可能性は小さくなります。Authoritative Restore は、削除されたオブジェクトが保存されていた共通の親コンテナのうち、最も下位のコンテナに対して実行します。

      Ntdsutil の構文は次のとおりです。
      ntdsutil "authoritative restore" "restore object <object DN path>" q q
      たとえば、Contoso.com ドメインの Mayberry 組織単位 (OU) から削除されたユーザー JohnDoe に対して Authoritative Restore を実行するには、以下のコマンドを実行します。
      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
      Contoso.com ドメインの Mayberry OU から削除されたセキュリティ グループ ContosoPrintAccess に対して Authoritative Restore を実行するには、以下のコマンドを実行します。
      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
      重要 : 上記のコマンドに含まれる二重引用符は省略できません。

      : この構文は、Windows Server 2003 でのみ使用できます。Windows 2000 では、以下の構文のみが使用できます。
      ntdsutil "authoritative restore" "restore subtree object DN path"
      : 識別名パス (DN) に拡張文字またはスペースが含まれている場合、Ntdsutil コマンド ライン ツールの Authoritative Restore 処理は失敗します。スクリプトを使用した復元が成功するには、"restore object <DN path>" コマンドが 1 つの完全な文字列として渡される必要があります。
      この問題を回避するには、拡張文字またはスペースを含む DN を、以下の例に示されるように、バックスラッシュと二重引用符のエスケープ シーケンスで囲みます。

      ntdsutil "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\"" q q

      : 復元されるオブジェクトの DN にコンマが含まれる場合には、以下の例のように、コマンドをさらに変更する必要があります。

      ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\"" q q

      : オブジェクトがテープから復元され、設定された権限とその復元が期待どおりに機能せず、NTDS データベースを再度復元するために同じテープを使用する場合、2 回目の復元作業後にオブジェクトが正しくレプリケートされるようにするには、Authoritative Restore で復元されるオブジェクトの USN バージョンをデフォルトの 100,000 よりも大きくする必要があります。これを行うには、コマンドを以下のように変更します。

      ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q

      : スクリプトにより、復元されるオブジェクトごとに確認が要求される場合、このメッセージを無効にすることができます。無効にするには、コマンドを以下のように変更します。

      ntdsutil "popups off" "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
    2. 削除されたユーザー アカウントまたはグループが含まれていた OU コンテナまたは共通名 (CN) コンテナに対してのみ、Authoritative Restore を実行します。

      ntdsutil "authoritative restore" コマンドの実行対象の OU 内に、正式に復元する必要のあるオブジェクトの大半が含まれている場合、サブツリー全体に対して Authoritative Restore を実行することは有効です。対象の OU に、正式に復元する必要のあるオブジェクトがすべて含まれているのが理想的です。

      OU サブツリーに対して Authoritative Restore を実行すると、そのコンテナに含まれているすべての属性およびオブジェクトが復元されます。システム状態のバックアップが復元された時点までに行われたすべての変更は、バックアップ時点の状態までロールバックされます。バックアップの作成後、ユーザー アカウント、コンピュータ アカウント、またはセキュリティ グループのパスワード、ホーム ディレクトリ、プロファイルのパス、住所や連絡先、グループ メンバシップ、またはオブジェクトや属性で定義されるセキュリティ記述子のいずれかに変更を加えていた場合、ロールバックによってそれらの変更が失われることがあります。

      Ntdsutil の構文は次のとおりです。
      ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
      たとえば、Contoso.com ドメインの Mayberry OU に対して Authoritative Restore を実行するには、以下のコマンドを実行します。
      ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
    : 削除されたユーザーまたはグループが保存されていたすべての OU について、この手順を実行します。

    重要 : ある OU の下位にあるオブジェクトを復元する場合、削除された下位オブジェクトの削除された親コンテナすべてに対して Authoritative Restore を明示的に実行する必要があります。
  8. 回復ドメイン コントローラから削除されたオブジェクトがシステム状態の復元によって復元された場合は、フォレスト内の他のドメイン コントローラへのネットワーク接続をすべて切断します。
  9. 回復ドメイン コントローラを再起動し、通常の Active Directory モードに変更します。
  10. コマンド プロンプトで以下のコマンドを実行して、回復ドメイン コントローラへの入力方向のレプリケーションを無効にします。
    repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
    システム状態が復元された回復ドメイン コントローラをネットワークに接続します。
  11. 回復ドメイン コントローラからドメイン内およびフォレスト内の他のドメイン コントローラに、Authoritative Restore によって復元したオブジェクトの出力方向のレプリケーションを実行します。

    回復ドメイン コントローラへの入力方向のレプリケーションが無効になっている状態で、以下のコマンドを実行します。このコマンドにより、Authoritative Restore によって復元したオブジェクトをドメイン内のすべてのサイト間レプリカ ドメイン コントローラとフォレスト内のすべてのグローバル カタログに反映します。
    repadmin /syncall /d /e /P <recovery dc> <Naming Context>
    以下の条件がすべて満たされている場合、グループ メンバシップのリンクは、削除されたユーザー アカウントの復元およびレプリケーションによって再構築されています。手順 14. に進みます。

    : 以下の条件が 1 つでも満たされない場合は、手順 12. に進みます。
    • 稼働中のフォレストの機能レベルが "Windows Server 2003" または "Windows Server 2003 中間" のいずれかである場合
    • 削除されたのはユーザー アカウントまたはコンピュータ アカウントのみで、セキュリティ グループは削除されていない場合
    • 削除されたユーザーがフォレストのすべてのドメインのセキュリティ グループに追加されたとき、フォレストの機能レベルが既に "Windows Server 2003" に移行していた場合
  12. 削除されたユーザーが所属していたセキュリティ グループを特定し、そのグループにユーザーを追加します。

    : ユーザーをグループに追加する前に、手順 7. で Authoritative Restore によって復元したユーザーおよび手順 11. で出力方向のレプリケーションを行ったユーザーが、参照先ドメイン コントローラがあるドメイン内のドメイン コントローラおよびフォレスト内のすべてのグローバル カタログ ドメイン コントローラにレプリケートされている必要があります。

    セキュリティ グループのメンバの追加や変更を行うために何らかのグループ追加ユーティリティを使用していた場合、この時点でこのユーティリティを実行して、削除されたユーザーが以前所属していたセキュリティ グループに、ユーザーを復元します。ただし、このユーティリティを実行する前に、フォレスト内の直接または中間のすべてのドメイン コントローラおよびすべてのグローバル カタログ サーバーで、Authoritative Restore によって復元したユーザーおよび復元されたすべてのコンテナの入力方向のレプリケーションが完了している必要があります。

    そのようなユーティリティがない場合、Ldifde.exe コマンド ライン ツールおよび Groupadd.exe コマンド ライン ツールを回復ドメイン コントローラ上で実行することによって、この作業を自動化できます。これらのツールは、Microsoft Product Support Services から提供されています。この作業では、最初に Ldifde.exe を使用して、特定の OU コンテナを起点に、ユーザー アカウントの名前とセキュリティ グループの名前を含む LDAP データ交換形式 (LDIF) の情報ファイルを作成します。次に Groupadd.exe を使用して、.ldf ファイルに記載されているユーザー アカウントの memberOf 属性を読み取り、フォレスト内のドメインごとに、独自の LDIF 情報を個別に生成します。この LDIF 情報には、削除されたユーザーのグループ メンバシップを回復するためにそのユーザーを追加し直す必要のあるセキュリティ グループの名前が含まれています。この復元作業を行うには、次の手順を実行します。
    1. ドメイン管理者のセキュリティ グループに所属するユーザー アカウントを使用して、回復ドメイン コントローラのコンソールにログオンします。
    2. Ldifde コマンドを使用して、これまでに削除されたユーザー アカウントとその memberOf 属性をファイルに出力します。このコマンドは、削除が発生した最上位の OU コンテナから開始します。Ldifde コマンドの構文は次のとおりです。
      ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=user)" -l memberof -p subtree -f user_membership_after_restore.ldf
      削除されたコンピュータがセキュリティ グループに追加されていた場合は、次の構文を使用します。
      ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=computer)" -l memberof -p subtree -f computer_membership_after_restore.ldf
    3. Groupadd コマンドを実行して、ドメインの名前や削除されたユーザーがメンバであったグローバルおよびユニバーサル セキュリティ グループの名前を含む、より多くの .ldf ファイルを作成します。Groupadd コマンドの構文は次のとおりです。
      Groupadd /after_restore users_membership_after_restore.ldf
      削除されたコンピュータ アカウントがセキュリティ グループに追加されていた場合は、このコマンドをコンピュータ アカウントに対して再度実行します。
    4. Ldifde コマンドを使用して、手順 12c. で作成したドメインごとの Groupadd_fully.qualified.domainname.ldf ファイルを、.ldf ファイルに対応するドメイン内の 1 台のグローバル カタログ ドメイン コントローラにそれぞれインポートします。Ldifde コマンドの構文は次のとおりです。
      Ldifde ?i ?k ?f Groupadd_<fully.qualified.domain.name>.ldf
      ドメイン コントローラから削除されたユーザーが所属していたすべてのドメインで、.ldf ファイルを実行します。ただし、回復ドメイン コントローラでは実行しません。
    5. ドメインごとの Groupadd_fully.qualified.domain.name.ldf ファイルをインポートしたすべてのドメイン コントローラのコンソールで、以下のコマンドを使用して出力方向のレプリケーションを実行します。これにより、ドメイン内の他のドメイン コントローラおよびフォレスト内のグローバル カタログ ドメイン コントローラに、グループ メンバシップの追加内容をレプリケートします。
      repadmin /syncall /d /e /P <recovery dc> <Naming Context>
  13. 出力方向のレプリケーションを無効にするには、次のテキストを入力し、Enter キーを押します。
    repadmin /options +DISABLE_OUTBOUND_REPL
    : 出力方向のレプリケーションを再度有効にするには、次のテキストを入力し、Enter キーを押します。
    repadmin /options -DISABLE_OUTBOUND_REPL
  14. 削除されたユーザーが、外部ドメインのローカル グループに所属していた場合は、以下のいずれかを実行します。
    • 削除されたユーザーを手動で元のグループに追加します。
    • システム状態を復元し、削除されたユーザーが所属していたローカル セキュリティ グループに対して Authoritative Restore を実行します。
  15. 回復ドメイン コントローラが所属するドメインのグループ メンバシップの内容と、他のドメインのグローバル カタログにあるグループ メンバシップの内容を検証します。
  16. 回復ドメイン コントローラが所属するドメイン内のドメイン コントローラで、システム状態のバックアップを新しく作成します。
  17. フォレスト内のすべてのフォレスト管理者、委任された管理者、ヘルプ デスク管理者、およびドメインのすべてのユーザーに、ユーザー復元作業が完了したことを通知します。

    Authoritative Restore によって復元したユーザー アカウントおよびコンピュータ アカウントについて、復元したシステムが最初に構築されてからこれらのアカウントのドメイン パスワードが変更されていた場合、ヘルプ デスク管理者は必要に応じてこれらのアカウントのパスワードをリセットします。

    システム状態のバックアップが作成されてからユーザーがパスワードを変更した場合、最新のパスワードは無効になります。これらのユーザーが以前のパスワードを覚えている場合は、そのパスワードを使用してログオンするように指示します。ユーザーが以前のパスワードを覚えていない場合、ヘルプ デスク管理者はユーザーのパスワードをリセットし、ユーザーのプロパティで [ユーザーは次回ログオン時にパスワード変更が必要] チェック ボックスをオンにする必要があります。この操作は、なるべくユーザーと同じ Active Directory サイトにあるドメイン コントローラで実行してください。

方法 3 : 削除されたユーザー アカウントとそのユーザーの削除されたセキュリティ グループを 2 回正式に復元する

方法 3 の大まかな手順は以下のとおりです。
  1. 削除されたユーザーが所属していたドメインのグローバル カタログで、削除がレプリケート (複製) されたかどうかを確認します。次に、グローバル カタログによる削除の入力方向のレプリケーションを無効にします。隠れたグローバル カタログが見つからなかった場合、削除されたユーザーが所属していたドメインにあるグローバル カタログ ドメイン コントローラのうち、システム状態のバックアップが最も新しいものを見つけます。
  2. 削除されたユーザーが所属していたドメインの、削除されたユーザー アカウントとセキュリティ グループをすべて正式に復元します。
  3. 削除されたユーザーが所属していたすべてのドメイン コントローラおよびフォレストのグローバル カタログ ドメイン コントローラに対する、復元されたユーザーとセキュリティ グループのエンド ツー エンドのレプリケーションが完了するまで待機します。
  4. 手順 2. 〜 3. を再度実行し、削除されたユーザーおよびセキュリティ グループに対して Authoritative Restore を実行します (システム状態の復元は 1 回だけ実行します)。
  5. 削除されたユーザーが他のドメインのセキュリティ グループに所属していた場合は、それらのドメインから削除されたユーザーが所属していたすべてのセキュリティ グループに対して Authoritative Restore を実行します。または、システム状態のバックアップが最新である場合は、これらのドメインにあるすべてのセキュリティ グループに対して Authoritative Restore を実行します。
グループのメンバシップを修復する必要のあるセキュリティ グループがメンバとリンクする前に、グループから削除されたメンバを復元しておく必要があります。この要件を満たすため、両方の種類のオブジェクトをこの方法で 2 回復元します。1 回目の復元では、すべてのユーザー アカウントおよびグループ アカウントを元の場所に戻します。2 回目の復元では、削除されたグループを復元した後、入れ子になったグループのメンバシップの情報を含む、グループ メンバシップの情報を修復します。

以下に、方法 3 の詳細な手順を示します。
  1. 削除されたユーザーが所属していたドメインに、削除に関する情報がまったくレプリケートされていないグローバル カタログ ドメイン コントローラがあるかどうかを確認します。

    : レプリケーションのスケジュールの頻度が最も低いグローバル カタログを中心に調べてください。これに該当するドメイン コントローラが存在する場合は、Repadmin.exe コマンド ライン ツールを使用して、入力方向のレプリケーションをすぐに無効にします。これを行うには、以下の手順を実行します。
    1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。
    2. [名前] ボックスに cmd と入力し、[OK] をクリックします。
    3. コマンド プロンプトで repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL と入力し、Enter キーを押します。

      : Repadmin コマンドを即座に実行できない場合は、すべての隠れたグローバル カタログ サーバーをネットワークから切断します。その後 Repadmin コマンドを実行して入力方向のレプリケーションを無効にし、その直後、切断したネットワークを再接続します。
    以下、このドメイン コントローラを "回復ドメイン コントローラ" と呼びます。
  2. 回復手順が完了するまで、以下の項目に対する追加、削除および変更を一時的に禁止します。ここで述べる変更には、ユーザーが削除されたドメインのドメイン ユーザー、ヘルプ デスク管理者、または管理者によって行われるパスワードのリセットや、削除されたユーザーが所属していたグループでのグループ メンバシップの変更が含まれます。
    1. ユーザー アカウントおよびその属性
    2. コンピュータ アカウントおよびその属性
    3. サービス アカウント
    4. セキュリティ グループ

      : 特に、削除が発生したフォレストにあるユーザー アカウント、コンピュータ アカウント、グループ アカウント、およびサービス アカウントは変更されないようにする必要があります。
    5. フォレスト内のすべてのフォレスト管理者、委任された管理者およびヘルプ デスク管理者に、上記の項目に対する変更を一時的に禁止することを通知します。
    方法 3 では、削除されたユーザーが所属していたすべてのセキュリティ グループに対して Authoritative Restore を実行するため、これらの変更を一時的に禁止する必要があります。このため、方法 3 では、システム状態のバックアップが作成された日時より後にグループに対して行われた変更は、すべて失われます。
  3. 削除が発生したドメインで、システム状態のバックアップを新しく作成します。このバックアップは、後で変更のロールバックが必要になった場合に使用できます。

    : 削除の発生時点までに作成されたシステム状態のバックアップが最新のバックアップである場合は、手順 4. に進みます。

    回復ドメイン コントローラとして使用するドメイン コントローラを手順 1. で決定していた場合は、このサーバーの最新のシステム状態をバックアップします。

    削除が発生したドメインにあるすべてのグローバル カタログで、削除が既にレプリケートされていた場合は、削除が発生したドメインにあるグローバル カタログのシステム状態をバックアップします。

    バックアップを作成しておくと、最初の処理に失敗した場合に、回復ドメイン コントローラを最新の状態に復元して回復手順を再度実行することができます。
  4. 削除が発生したドメインで "隠れた" グローバル カタログ ドメイン コントローラが見つからない場合は、そのドメインのグローバル カタログ ドメイン コントローラの最新のシステム状態のバックアップを見つけます。通常、このシステム状態のバックアップには、削除されたオブジェクトが含まれています。このドメイン コントローラを回復ドメイン コントローラとして使用します。

    フォレスト内の外部ドメインのグループのメンバシップ情報は、ユーザーが所属するドメインにあるグローバル カタログ ドメイン コントローラのデータベースにのみ含まれています。ユーザーが削除されたドメインのグローバル カタログ ドメイン コントローラにシステム状態のバックアップがない場合、復元したユーザー アカウントの memberOf 属性を使用して、グローバル グループまたはユニバーサル グループのメンバシップを決定することや、外部ドメインのメンバシップを回復することはできません。次の手順に進みます。外部ドメインにグループ メンバシップの外部レコードがある場合、ユーザー アカウントの復元後、復元したユーザーをこれらのドメインにあるセキュリティ グループに追加します。
  5. オフライン管理者アカウントのパスワードがわかっている場合、回復ドメイン コントローラをディレクトリ サービス復元モードで起動します。オフライン管理者アカウントのパスワードが不明な場合、回復ドメイン コントローラが通常の Active Directory モードで稼働している状態でパスワードをリセットします。

    Microsoft Windows 2000 Service Pack 2 (SP2) 以降を実行しているドメイン コントローラでは、Active Directory モードで実行中かつオンラインの状態で setpwd コマンド ライン ツールを使用してパスワードをリセットすることができます。

    : Windows 2000 SP2 は現在サポート対象外です。この機能を使用するには、最新の Windows 2000 Service Pack をインストールしてください。

    回復コンソールの管理者パスワードを変更する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    239803 [NT] 修復コンソールの Administrator パスワードを変更する方法
    Windows Server 2003 ドメイン コントローラの管理者は、Ntdsutil コマンド ライン ツールで set dsrm password コマンドを使用することにより、オフライン管理者アカウントのパスワードをリセットすることができます。

    ディレクトリ サービス復元モードの管理者アカウントのパスワードをリセットする方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    322672 Windows Server 2003 でディレクトリ サービス復元モードの管理者アカウントのパスワードを再設定する方法
  6. コンピュータの起動処理中に F8 キーを押して、回復ドメイン コントローラをディレクトリ サービス復元モードで起動します。オフライン管理者アカウントを使用して、回復ドメイン コントローラのコンソールにログオンします。手順 5. でパスワードをリセットした場合は、新しいパスワードを使用します。

    回復ドメイン コントローラが "隠れた" グローバル カタログ ドメイン コントローラである場合は、システム状態を復元せず、手順 7. に進みます。

    システム状態のバックアップを使用して、回復ドメイン コントローラを作成する場合は、削除されたオブジェクトが含まれていた回復ドメイン コントローラで直前に作成した最新のシステム状態のバックアップを復元します。
  7. 削除されたユーザー アカウント、削除されたコンピュータ アカウント、または削除されたセキュリティ グループを正式に復元 (Authoritative Restore を実行) します。

    : Authoritative Restore (auth restore) とは、Ntdsutil コマンド ライン ツールで authoritative restore コマンドを使用して、特定のオブジェクトや特定のコンテナ、およびそれらの下位にあるすべてのオブジェクトのバージョン番号を大きくする処理を指します。エンド ツー エンドのレプリケーションが発生するとすぐに、回復ドメイン コントローラ上の Active Directory のローカル コピーにある対象のオブジェクトが、このパーティションを共有するすべてのドメイン コントローラに対して権限を持つようになります。Authoritative Restore は、システム状態の復元とは異なる処理です。システム状態の復元では、システム状態のバックアップを作成した時点と同じバージョンのオブジェクトを、ドメイン コントローラ上の Active Directory の復元されたローカル コピーに保存します。

    ドメイン コントローラを正式に復元 (Authoritative Restore を実行) する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
    241594 Windows 2000 ドメイン コントローラで Authoritative Restore を実行する方法


    Authoritative Restore は、Ntdsutil コマンド ライン ツールで実行します。このとき、削除されたユーザーまたは削除されたユーザーが保存されていたコンテナへのドメイン名 (dn) パスを指定します。

    Authoritative Restore を実行するとき、ユーザーの削除に無関係なオブジェクトが復元されないようにするため、ドメイン ツリーのできるだけ下位のドメイン名 (dn) パスを使用します。削除に無関係なオブジェクトには、システム状態のバックアップの作成後に変更されたオブジェクトが含まれていることがあります。

    削除されたユーザーに対する Authoritative Restore は、以下の順序で実行します。
    1. 削除されたユーザー アカウント、コンピュータ アカウント、またはセキュリティ グループへのドメイン名 (dn) パスをそれぞれ指定して、Authoritative Restore を実行します。

      特定のオブジェクトに対して Authoritative Restore を実行する場合、サブツリー全体に対して Authoritative Restore を実行する場合に比べて時間がかかりますが、破損の可能性は小さくなります。Authoritative Restore は、削除されたオブジェクトが保存されていた共通の親コンテナのうち、最も下位のコンテナに対して実行します。

      Ntdsutil の構文は次のとおりです。
      ntdsutil "authoritative restore" "restore object <object DN path>" q q
      たとえば、Contoso.com ドメインの Mayberry 組織単位 (OU) から削除されたユーザー JohnDoe に対して Authoritative Restore を実行するには、以下のコマンドを実行します。
      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
      Contoso.com ドメインの Mayberry OU から削除されたセキュリティ グループ ContosoPrintAccess に対して Authoritative Restore を実行するには、以下のコマンドを実行します。
      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
      重要 : 上記のコマンドに含まれる二重引用符は省略できません。

      この Ntdsutil 形式を使用することにより、バッチ ファイルまたはスクリプトに含めた多数のオブジェクトに対して自動的に Authoritative Restore を実行することができます。
      : この構文は、Windows Server 2003 でのみ使用できます。Windows 2000 では、構文 ntdsutil "authoritative restore" "restore subtree object DN path" のみを使用できます。
    2. 削除されたユーザー アカウントまたはグループが含まれていた OU コンテナまたは共通名 (CN) コンテナに対してのみ、Authoritative Restore を実行します。

      ntdsutil "authoritative restore" コマンドの実行対象の OU 内に、正式に復元する必要のあるオブジェクトの大半が含まれている場合、サブツリー全体に対して Authoritative Restore を実行することは有効です。対象の OU に、正式に復元する必要のあるオブジェクトがすべて含まれているのが理想的です。

      OU サブツリーに対して Authoritative Restore を実行すると、そのコンテナに含まれているすべての属性およびオブジェクトが復元されます。システム状態のバックアップが復元された時点までに行われたすべての変更は、バックアップ時点の状態までロールバックされます。バックアップの作成後、ユーザー アカウント、コンピュータ アカウント、またはセキュリティ グループのパスワード、ホーム ディレクトリ、プロファイルのパス、住所や連絡先、グループ メンバシップ、またはオブジェクトや属性で定義されるセキュリティ記述子のいずれかに変更を加えていた場合、ロールバックによってそれらの変更が失われることがあります。

      Ntdsutil の構文は次のとおりです。
      ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
      たとえば、Contoso.com ドメインの Mayberry OU に対して Authoritative Restore を実行するには、以下のコマンドを実行します。
      ntdsutil "authoritative restore" "restore subtree ou=Mayberry,dc=contoso,dc=com" q q
    : 削除されたユーザーまたはグループが保存されていたすべての OU について、この手順を実行します。

    重要 : ある OU の下位にあるオブジェクトを復元する場合、削除された下位オブジェクトの親コンテナすべてに対して、Authoritative Restore を明示的に実行する必要があります。
  8. 回復ドメイン コントローラを再起動し、通常の Active Directory モードに変更します。
  9. 回復ドメイン コントローラからドメイン内およびフォレスト内の他のドメイン コントローラに、Authoritative Restore によって復元したオブジェクトの出力方向のレプリケーションを実行します。

    回復ドメイン コントローラへの入力方向のレプリケーションが無効になっている状態で、以下のコマンドを実行します。このコマンドにより、Authoritative Restore によって復元したオブジェクトをドメイン内のすべてのサイト間レプリカ ドメイン コントローラおよびフォレスト内のすべてのグローバル カタログに反映します。
    repadmin /syncall /d /e /P <recovery dc> <Naming Context>
    フォレスト内の直接または中間のすべてのドメイン コントローラおよびすべてのグローバル カタログで、Authoritative Restore によって復元したすべてのユーザーおよび復元したすべてのコンテナの入力方向のレプリケーションが完了したら、手順 11. に進みます。

    以下の条件がすべて満たされており、削除されたユーザー アカウントを復元したことによってグループ メンバシップのリンクが再構築された場合は、手順 13. に進みます。
    • 稼働中のフォレストの機能レベルが "Windows Server 2003" または "Windows Server 2003 中間" のいずれかである場合
    • セキュリティ グループが削除されていない場合
    • 削除されたすべてのユーザーが、フォレスト内のすべてのドメインにあるすべてのセキュリティ グループに所属していた場合
    復元されたドメイン コントローラのユーザーを出力方向に迅速にレプリケートするために、Repadmin コマンドの使用を検討します。

    グループも削除された場合、または、フォレストの機能レベル "Windows Server 2003 中間" への移行後に、削除されたユーザーがすべてのセキュリティ グループに所属していたことが確実でない場合は、手順 12. に進みます。
  10. システム状態を復元せずに手順 7. 〜 9. を繰り返し、手順 11. に進みます。
  11. 削除されたユーザーが、外部ドメインのローカル グループに所属していた場合は、以下のいずれかを実行します。
    • 削除されたユーザーを手動で元のグループに追加します。
    • システム状態を復元し、削除されたユーザーが所属していたローカル セキュリティ グループに対して Authoritative Restore を実行します。
  12. 回復ドメイン コントローラが所属するドメインのグループ メンバシップの内容と、他のドメインのグローバル カタログにあるグループ メンバシップの内容を検証します。
  13. 次のコマンドを実行して、回復ドメイン コントローラへの入力方向のレプリケーションを有効にします。
    repadmin /options recovery dc name -DISABLE_INBOUND_REPL
  14. 回復ドメイン コントローラが所属するドメインにあるドメイン コントローラ、およびフォレストの他のドメインにあるグローバル カタログ サーバーで、システム状態のバックアップを新しく作成します。
  15. フォレスト内のすべてのフォレスト管理者、委任された管理者、ヘルプ デスク管理者、およびドメインのユーザーに、ユーザー復元作業が完了したことを通知します。

    Authoritative Restore によって復元したユーザー アカウントおよびコンピュータ アカウントについて、復元したシステムが最初に構築されてからこれらのアカウントのドメイン パスワードが変更されていた場合、ヘルプ デスク管理者は必要に応じてこれらのアカウントのパスワードをリセットします。

    システム状態のバックアップが作成されてからユーザーがパスワードを変更した場合、最新のパスワードは無効になります。これらのユーザーが以前のパスワードを覚えている場合は、そのパスワードを使用してログオンするように指示します。ユーザーが以前のパスワードを覚えていない場合、ヘルプ デスク管理者はユーザーのパスワードをリセットし、ユーザーのプロパティで [ユーザーは次回ログオン時にパスワード変更が必要] チェック ボックスをオンにする必要があります。この操作は、なるべくユーザーと同じ Active Directory サイトにあるドメイン コントローラで実行してください。

システム状態の正常なバックアップがない場合に Windows Server 2003 ドメイン コントローラから削除されたユーザーを復元する

ユーザー アカウントまたはセキュリティ グループが削除されたドメインに、システム状態の最新のバックアップがなく、削除が発生したドメインに Windows Server 2003 ドメイン コントローラが含まれている場合は、以下の手順を実行して、削除されたオブジェクトを Deleted Objects コンテナから手動で復元します。
  1. この資料の「Deleted Objects コンテナにあるオブジェクトを手動で復元する」に記載されている手順を実行して、削除されたユーザー、コンピュータ、グループ、またはそのすべてを復元します。
  2. Active Directory ユーザーとコンピュータ MMC スナップインを使用して、無効なアカウントを有効にします。このアカウントは、元の OU に復元されます。
  3. Windows Server 2003 版の Active Directory ユーザーとコンピュータ MMC スナップインには、複数のユーザーの設定を一度にリセットする機能があります。これを使用して、"ユーザーは次回ログオン時にパスワード変更が必要" ポリシー設定、ホーム ディレクトリ、プロファイル パス、および削除されたアカウントのグループ メンバシップを必要に応じて一度にリセットします。プログラムを使用して、これらと同等の処理を実行することもできます。
  4. Microsoft Exchange 2000 以降が使用されていた場合は、削除されたユーザーの Exchange メールボックスを修復します。
  5. Microsoft Exchange 2000 以降が使用されていた場合は、削除されたユーザーと Exchange メールボックスを関連付けます。
  6. 復元したユーザー アカウントを使用してログオンし、ローカル ディレクトリ、共有ディレクトリ、およびファイルにアクセスできることを確認します。
以下の方法を使用することにより、上記の回復手順の一部またはすべてを自動的に実行できます。
  • 手順 1. に記載されている手動の手順を自動実行するスクリプトを作成します。このようなスクリプトを作成する場合は、削除されたオブジェクトの日付、時刻、および最新の既知の親コンテナを指定して、復元の適用範囲を正確に定めてください。自動実行によってオブジェクトを再び有効にするには、スクリプトを使用して isDeleted 属性を True から False に変更します。次に、lastKnownParent 属性、新しい OU、または管理者が指定した共通名 (CN) のいずれかによって定義された値を指す相対識別名をスクリプトで変更します。相対識別名は RDN と呼ばれることもあります。
  • Windows Server 2003 ドメイン コントローラから削除されたオブジェクトを再び有効にする、サードパーティのプログラムを入手します。このような製品の 1 つに AdRestore があります。このプログラムは、Windows Server 2003 の削除の取り消しプリミティブを使用して、削除されたオブジェクトを個別に復元します。Windows Server 2003 ベースのドメイン コントローラでのオブジェクトの削除取り消しをサポートする製品は Aelita Software Corporation および Commvault Systems からも提供されています。

    AdRestore を入手するには、次のマイクロソフト Web サイトを参照してください。
    http://www.microsoft.com/technet/sysinternals/utilities/AdRestore.mspx
他社テクニカル サポートのお問い合わせ窓口は、ユーザーの便宜のために提供されているものであり、将来予告なしに変更されることがあります。マイクロソフトは、掲載している情報に対して、いかなる責任も負わないものとします。

Deleted Objects コンテナにあるオブジェクトを手動で復元する

Deleted Objects コンテナにあるオブジェクトを手動で復元するには、以下の手順を実行します。
  1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、ldp.exe と入力し、Enter キーを押します。

    : Ldp ユーティリティがコンピュータにインストールされていない場合は、Windows Server 2003 のインストール CD に含まれているサポート ツールをインストールします。
  2. 以下の手順で、Windows Server 2003 ドメイン コントローラへの接続およびバインドを実行します。

    バインドの実行中には、ドメイン管理者の資格情報を指定します。
  3. [Options] メニューの [Controls] をクリックします。
  4. [Load Predefined] ボックスの一覧の [Return Deleted Objects] をクリックします。

    : [Active Controls] ボックスの一覧に、[1.2.840.113556.1.4.417] が表示されます。
  5. [Control Type] の [Server] をクリックし、[OK] をクリックします。
  6. [View] メニューの [Tree] をクリックし、削除が行われたドメインにあった、削除されたオブジェクトへの識別名 (DN) パスを [BaseDN] ボックスに入力し、[OK] をクリックします。

    : 識別名パスは DN パスとも呼ばれます。たとえば、contoso.com ドメインでオブジェクトが削除された場合の DN パスの例を次に示します。
    cn=Deleted Objects,dc=contoso,dc=com
  7. 左側のウィンドウで、Deleted Object コンテナをダブルクリックします。

    : LDAP クエリの検索結果で応答が返されるのは、デフォルトで、1000 オブジェクトのみです。たとえば、Deleted Objects コンテナに 1000 を超えるオブジェクトが存在する場合、このコンテナに表示されないオブジェクトがあります。目的のオブジェクトが表示されない場合は、ntdsutil を使用して、maxpagesize で最大数を設定し、検索結果を取得します。
  8. 削除を取り消す (再び有効にする) オブジェクトをダブルクリックします。
  9. 復元するオブジェクトを右クリックし、[Modify] をクリックします。

    isDeleted 属性の値、および単一の LDAP (Lightweight Directory Access Protocol) 変更操作を指す DN パスの値を変更します。[Modify] ダイアログ ボックスでこの構成を行うには、以下の手順を実行します。
    1. [Edit Entry] の [Attribute] ボックスに isDeleted と入力します。

      [Value] ボックスは空白のままにします。
    2. [Operation] の [Delete] をクリックし、[Enter] をクリックします。これにより、2 つのエントリの最初のエントリが [Entry List] ボックスに作成されます。

      重要 : この時点では [Run] をクリックしないでください。
    3. [Attribute] ボックスに distinguishedName と入力します。
    4. [Values] ボックスに、復元するオブジェクトの新しい DN パスを入力します。

      たとえば、JohnDoe のユーザー アカウントを Mayberry OU に復元する場合、以下の DN パスを使用します。
      cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com
      : 削除されたオブジェクトを元のコンテナに復元する場合、元のオブジェクトの lastKnownParent 属性の値を CN の値として指定したものを追加し、この完全な DN パスを [Value] ボックスに貼り付けます。
    5. [Operation] の [Replace] をクリックします。
    6. [Enter] をクリックします。
    7. [Synchronous] チェック ボックスをオンにします。
    8. [Extended] チェック ボックスをオンにします。
    9. [Run] をクリックします。
  10. オブジェクトを復元した後、[Options] メニューの [Controls] をクリックします。[Check Out] をクリックして、[Active Controls] ボックスの一覧から (1.2.840.113556.1.4.417) を削除します。
  11. 削除されたユーザーのユーザー アカウントのパスワード、プロファイル、ホーム ディレクトリ、およびグループ メンバシップを設定し直します。

    このオブジェクトが削除された時点で、SID、ObjectGUID、LastKnownParent、および SAMAccountName 属性を除くすべての属性が既に削除されています。
  12. Active Directory ユーザーとコンピュータ MMC スナップインを使用して、復元したアカウントを再び有効にします。

    : 復元したオブジェクトのプライマリ SID は、そのオブジェクトが削除される前と同じです。ただし、リソースへのアクセス許可のレベルを以前と同じにするためには、復元したオブジェクトを削除される前と同じセキュリティ グループに追加し直す必要があります。Windows Server 2003 の最初のリリースでは、復元したユーザー アカウント、コンピュータ アカウント、およびセキュリティ グループの sIDHistory 属性が保持されません。Windows Server 2003 Service Pack 1 では、削除されたオブジェクトの sIDHistory 属性が保持されます。
  13. Microsoft Exchange の属性を削除し、復元したユーザーを Exchange メールボックスに再び関連付けます。

    : 削除されたオブジェクトの復元は、Windows Server 2003 ドメイン コントローラで削除が発生した場合にサポートされます。Windows 2000 ドメイン コントローラでオブジェクトが削除され、その後このドメイン コントローラを Windows Server 2003 にアップグレードした場合、削除されたオブジェクトの復元はサポートされません。

    : ドメイン内にある Windows 2000 ドメイン コントローラのオブジェクトが削除された場合、lastParentOf 属性は Windows Server 2003 ドメイン コントローラにレプリケートされません。

削除が行われた日時と場所を特定する

一度に多数のオブジェクトの削除を行ったためにユーザーが削除された場合、削除が行われた場所を必要に応じて特定できます。これを行うには、以下の手順を実行します。
  1. 監査機能が正しく構成され、組織単位 (OU) コンテナおよびその下位のオブジェクトの削除が追跡されていた場合、削除が行われたドメインのドメイン コントローラでセキュリティ イベント ログを検索するユーティリティを使用します。特定の範囲にあるドメイン コントローラのイベント ログを検索するユーティリティの 1 つに EventCombMT があります。EventCombMT ユーティリティは、Microsoft Windows Server 2003 Resource Kit Tools に含まれています。

    Windows Server 2003 Resource Kit Tools の入手方法の詳細については、次のマイクロソフト Web サイトを参照してください。
    http://www.microsoft.com/windows/reskits/default.asp
  2. この資料の「Deleted Objects コンテナにあるオブジェクトを手動で復元する」の手順 1. 〜 7. を実行して、削除されたセキュリティ プリンシパルを見つけます。ツリーが削除された場合は、以下の手順を実行して、削除されたオブジェクトの親コンテナを見つけます。
  3. objectGUID 属性の値を Windows クリップボードにコピーします。

    ここでコピーした値は、手順 4. の Repadmin コマンドを入力するときに貼り付けることができます。
  4. 次のコマンドを入力します。
    repadmin /showmeta GUID=<objectGUID> <FQDN>
    たとえば、削除されたオブジェクトまたはコンテナの objectGUID 属性の値が 791273b2-eba7-4285-a117-aa804ea76e95 であり、完全修飾ドメイン名 (FQDN) が dc.contoso.com の場合、以下のコマンドを実行します。
    repadmin /showmeta GUID=791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com
    このコマンドの構文には、削除されたオブジェクトまたはコンテナの GUID、および作成元サーバーの FQDN を含める必要があります。
  5. Repadmin コマンドの出力の中から、出力の作成日時、および isDeleted 属性のドメイン コントローラを見つけます。たとえば、isDeleted 属性の情報は以下の出力例の 5 行目に表示されています。
    Loc.USN  Originating DC                  Org.USN  Org.Time/Date       Ver  Attribute
    -----------------------------------------------------------------------------------------------
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  objectClass
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  ou
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  instanceType
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  whenCreated
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   1  isDeleted
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  nTSecurityDescriptor
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  name
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   1  lastKnownParent
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  objectCategory
  6. 出力の 2 列目にある、作成元のドメイン コントローラ名が 32 文字の英数字の GUID で表示されている場合は、ping コマンドを実行して、GUID から、削除が行われたドメイン コントローラの IP アドレスおよびドメイン コントローラ名を取得できます。ping コマンドの構文は以下のとおりです。
    ping ?a <originating DC GUID>._msdomain controllers.<fully qualified path for forest root domain>
    : "-a" オプションの引数では大文字と小文字が区別されます。作成元のドメイン コントローラが所属しているドメインに関係なく、フォレストのルート ドメインの完全修飾ドメイン名を使用してください。

    たとえば、作成元のドメイン コントローラが Contoso.com フォレストのすべてのドメインに含まれており、GUID が 644eb7e7-1566-4f29-a778-4b487637564b の場合、以下のコマンドを実行します。
    ping ?a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com
    このコマンドの出力は、次のようになります。
    Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:
    
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
  7. 削除が行われたドメイン コントローラのセキュリティ ログ、または手順 5. の Repadmin の出力に示されている日時付近のセキュリティ ログを参照します。

    このとき、削除が行われた日時と場所を特定するために使用したコンピュータで、時計のずれやタイム ゾーン設定の違いがないかどうかに注意します。OU コンテナや削除されたオブジェクトについて削除の監査が有効になっている場合、これに関連する監査イベントにも注意します。監査が無効になっている場合、OU コンテナや下位のオブジェクトを削除する権限を持ち、削除が行われる前に元のドメイン コントローラで認証されていたユーザーの存在に注意します。

将来多数のオブジェクトが削除された場合の影響を最小限にとどめる

多数のユーザー、コンピュータ、およびセキュリティ グループが削除された場合の影響を最小限にとどめるためには、システム状態の最新のバックアップを作成しておくこと、特権ユーザー アカウントへのアクセスを厳重に制限すること、これらのユーザー アカウントで実行可能な操作を厳重に制限すること、および大量に削除されたオブジェクトの復元を完了することが重要です。

システム状態は毎日変更されます。この変更内容には、ユーザー アカウントやコンピュータ アカウントのパスワードのリセット、グループ メンバシップの変更、およびユーザー アカウントやコンピュータ アカウント、セキュリティ グループにある他の属性の変更も含まれます。ハードウェアやソフトウェアで異常が発生したり、その他の障害がサイトで発生したりした場合、フォレストの Active Directory ドメインやサイトで重要な変更が行われた後に作成されたバックアップを使用して、これらを復元する必要があります。最新のバックアップが確保されていなかった場合、データが失われることや、復元したオブジェクトのロールバックが必要になることがあります。

マイクロソフトでは、多数のオブジェクトが一度に削除されることを防止するために、以下の方法を採用することをお勧めします。
  1. 組み込みの管理者アカウントのパスワードを共有したり、共通の管理ユーザー アカウントを共有したりしないようにします。組み込みの管理者アカウントのパスワードを他のユーザーに知らせていた場合は、パスワードを変更し、管理者アカウントを使用しないように社内の運用方法を定義してください。アカウントが複数のユーザーによって共有されていると、Active Directory を変更したユーザーを監査イベントで特定することが不可能になるため、ユーザー アカウントを複数のユーザーで共有しないようにする必要があります。
  2. ユーザー アカウント、コンピュータ アカウント、およびセキュリティ グループの意図的な削除が必要になることは非常にまれです。特に、ツリーを意図的に削除する必要はまずありません。サービスおよび "委任された管理者" がこれらのオブジェクトを削除する権限と、ユーザー アカウント、コンピュータ アカウント、セキュリティ グループ、OU コンテナおよびこれらの属性の作成と管理を行う権限を分離します。ツリーの削除を実行できる権限の許可は、最も高い特権を持つユーザー アカウントまたはセキュリティ グループのみに限定します。このような特権を持つユーザー アカウントには、エンタープライズ管理者などがあります。
  3. 委任された管理者には、それらの管理者による管理が許可されているオブジェクトのクラスにのみアクセスできる権限を与えます。たとえば、ユーザー アカウントのプロパティの変更が主要業務であるヘルプ デスク管理者には、コンピュータ アカウント、セキュリティ グループ、または OU コンテナの作成や削除を行うアクセス許可を付与しないことをお勧めします。他の特定のオブジェクト クラスの管理者に付与する削除アクセス許可も同じように制限する必要があります。
  4. 監査を有効にしたテスト環境で、オブジェクトの削除が追跡されるかどうかを確認します。オブジェクトの削除が正常に追跡されていることを確認してから、最適な解決方法を運用環境のドメインに適用します。
  5. 数万個ものオブジェクトを含んでいるコンテナに対してアクセス制御や監査の設定を大幅に変更すると、特に Windows 2000 ドメインにおいて Active Directory のデータベースのサイズが著しく増大することがあります。運用環境のドメインを完全に再現したテスト用のドメインを構築し、ハード ディスクの空き容量の変化を確認します。運用環境ドメインで、Ntds.dit ファイルおよびドメイン コントローラのログ ファイルが保存されている、ハード ディスク上のボリュームを調べ、空き容量を確認します。ネットワークの主要なドメイン コントローラで、アクセス制御や監査の設定を変更しないようにします。このような変更を行うと、パーティションに含まれるすべてのコンテナ、すべてのクラス、およびすべてのオブジェクトに対して不要な変更が行われる可能性があります。たとえば、"Domain" パーティションの CN=System フォルダに登録されている、DNS (Domain Name System) や分散リンク トラッキング (DLT) のレコードを変更しないようにします。
  6. 最適な OU 構造を使用して、組織単位に含まれるユーザー アカウント、コンピュータ アカウント、セキュリティ グループ、およびサービス アカウントを分割します。最適な OU 構造を採用することにより、委任された管理者に割り当てられている 1 つのクラスのオブジェクトに対して随意アクセス制御リスト (DACL) を適用できます。また、オブジェクトの復元が必要になったときに、オブジェクトが属しているクラスに従ってオブジェクトを復元することも可能です。最適な OU 構造については、ホワイト ペーパー『Best Practice Active Directory Design for Managing Windows Networks』の「Creating an Organizational Unit Design」 (英語情報) を参照してください。このホワイト ペーパーを入手するには、次のマイクロソフト Web サイトを参照してください。

    http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/bpaddsgn.mspx
  7. 運用環境のドメインを完全に再現したテスト環境で、多数のオブジェクトを一度に削除するテストを行います。この資料に記載されている回復方法のうち、妥当なものを使用し、組織に合わせて回復方法をカスタマイズしてください。以下についても必要に応じて確認しておきます。
    • 定期的なバックアップが行われている各ドメイン内のドメイン コントローラの名前
    • バックアップ イメージの保存場所

      これらのバックアップ イメージ ファイルは、フォレストの各ドメインにあるグローバル カタログ サーバーに直接接続された専用のハード ディスクに保存しておくのが理想です。
    • ヘルプ デスク組織の担当者のうち、連絡を取る必要のある人物
    • 担当者への最適な連絡方法
  8. 多数のユーザー アカウント、コンピュータ アカウント、およびセキュリティ アカウントが一度に削除されるのは、操作の誤りが原因であることがほとんどです。発生する可能性のある事態について IT 担当者と相談し、内部用のアクション プランを作成してください。削除されたオブジェクトを早期に発見することと、ドメイン ユーザーおよび業務の機能を一刻も早く復旧することを最優先します。

多数のオブジェクトが削除された場合の回復に役立つツールおよびスクリプト

Groupadd.exe コマンド ライン ユーティリティは、OU に属している多数のユーザーから memberOf 属性を読み取り、フォレスト内の対応するドメインにユーザー アカウントを復元するための .ldf ファイルを作成します。

Groupadd.exe を実行すると、削除されたユーザーが所属していたドメインおよびセキュリティ グループが自動的に検出され、これらのユーザーが元のグループに復元されます。この処理の詳細については、この資料の「方法 1 : 削除されたユーザー アカウントを復元し、復元したユーザーを元のグループに追加する」の手順 12. を参照してください。

Groupadd.exe は以下のドメイン コントローラで動作します。
  • Windows Server 2003 ドメイン コントローラ
  • .NET Framework 1.1 がインストールされた Windows 2000 ドメイン コントローラ
Groupadd.exe の構文は次のとおりです。
groupadd /after_restore ldf_file [/before_restore ldf_file]
上記の構文で、ldf_file は、直前の引数で使用される .ldf ファイルの名前を表します。after_restore はユーザー ファイルのデータ ソースを、before_restore は運用環境から取得するユーザー データをそれぞれ表します。ユーザー ファイルのデータ ソースには、正常なユーザー データを使用します。

Groupadd.exe を入手するには、Microsoft Product Support Services にお問い合わせください。

この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。明示または黙示にかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。

関連情報

拡張文字を含むオブジェクトを復元する方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
886689 Windows Server 2003 および Windows 2000 で識別名 (DN) パスに拡張文字が含まれると Ntdsutil の Authoritative Restore 操作が失敗する
910823 Windows Server 2003 Service Pack 1 を実行しているコンピュータで .ldf ファイルをインポートしようとすると、エラー メッセージ "エラー (行 行番号: No Such Object)" が表示される

プロパティ

文書番号: 840001 - 最終更新日: 2007年6月14日 - リビジョン: 8.2
この資料は以下の製品について記述したものです。
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional
  • Microsoft Windows 2000 Server
キーワード:?
kbhowto kbactivedirectory kbwinservds KB840001
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com