Восстановление удаленных учетных записей пользователей и их членства в Active Directory

Переводы статьи Переводы статьи
Код статьи: 840001 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Можно использовать три способа восстановить удаленные учетные записи пользователей, учетные записи компьютеров и групп безопасности. Эти объекты называются участниками безопасности. Во всех трех методах принудительно восстановить удаленные объекты, а затем восстановите сведения о членстве в группах для удаленных участников. При восстановлении удаленных объектов, необходимо восстановить прежние значения MEMBER и Член групп атрибуты безопасности участника. Три метода являются:
  • Метод 1: Восстановление удаленных учетных записей пользователей, а затем добавьте восстановленных пользователей в их группы, используя средство командной строки Ntdsutil.exe (Microsoft Windows Server 2003 с пакетом обновления 1 [SP1] только)
  • Способ 2: Восстановление удаленных учетных записей пользователей, а затем добавьте восстановленных пользователей в их группы
  • Способ 3: Принудительно восстановите удаленные учетные записи и группы безопасности удаленных пользователей два раза
Примечание: Данная статья базы Знаний не охватывает сведения о функции корзины AD, включенных в Windows Server 2008 R2; Проверьте раздел ссылки на дополнительные сведения об этой функции.

Методов 1 и 2 обеспечивают удобство работы для пользователей домена и Администраторы, поскольку они сохранить дополнения к группам безопасности, которые были сделаны с момента последнего состояния системы резервного копирования и время удаления. В методе 3, вместо регулировки отдельных участников безопасности то откат безопасности группах состояние во время последнего резервного копирования.

Если у вас нет правильной архивной копии состояния системы и домен, где произошло удаление содержит контроллеры домена под управлением Windows Server 2003, можно программно или вручную восстановить удаленные объекты. Также можно использовать служебную программу Repadmin для определения, где и когда пользователь был удален.

Наиболее крупномасштабных операций удаления случайных. Корпорация Майкрософт рекомендует выполнить несколько шагов, чтобы запретить другим пользователям удалять объекты в пакетном режиме.

Примечание Во избежание случайного удаления или перемещения объектов (особенно подразделения), можно добавить два Deny записей управления доступом (ACE) в дескриптор безопасности каждого объекта (DENY «DELETE» & «Удалить ДЕРЕВО») и один Deny записей управления доступом (ACE) могут добавляться в дескриптор безопасности родительского элемента каждый объект (DENY «Удалить дочерний»). Для этого в Windows 2000 Server и Windows Server 2003 с помощью Active Directory-пользователи и компьютеры, ADSIEdit, LDP или средство командной строки DSACLS. Разрешения по умолчанию в схеме AD для подразделений могут быть изменены таким образом, чтобы эти записи ACE, включаются по умолчанию.

Например для защиты организационном подразделении, называется пользователей в домене AD, который является именем CONTOSO.COM случайно перемещен или удален из родительского организационного подразделения, называется MyCompany, сделать следующую конфигурацию:

Для подразделения MyCompany добавьте ЗАПРЕЩАЮЩАЯ для «Все» Кому УДАЛЕНИЕ ВСЕХ ДОЧЕРНИХ ОБЪЕКТОВ В консоли восстановления команда Только для этого объекта область действия:
DSACLS "OU MyCompany, DC = = CONTOSO, DC = COM" /D «EVERYONE: DC»

Для подразделения пользователей добавьте ЗАПРЕЩАЮЩАЯ для «Все» Кому УДАЛИТЬ и удалить ДЕРЕВО В консоли восстановления команда Только для этого объекта область действия:
DSACLS "OU = Users, OU MyCompany, DC = = CONTOSO, DC = COM" /D «EVERYONE: sddt»

Active Directory — пользователи и компьютеры оснастки в Windows Server 2008 включает Защита от случайного удаления объекта флажок Объект Вкладка.

Примечание В Дополнительные возможности флажок в поле должна быть включена для просмотра этой вкладки.

При создании подразделения с помощью Active Directory-пользователи и компьютеры в Windows Server 2008 Защитить контейнер от случайного удаления появится флажок. По умолчанию флажок установлен и может быть отменен.

Несмотря на то, что каждый объект в Active Directory можно настроить с помощью этих записей ACE, лучше всего подходит для организационных подразделений. Удаление или перемещение все конечные объекты могут иметь основной эффект. Эта конфигурация предотвращает такие удаления или перемещения. Действительно удалить или переместить объект с помощью такой конфигурации, сначала необходимо удалить запрещающих элементов ACE.

Дополнительная информация

В данной статье описывается восстановление пользователя учетные записи, учетные записи компьютеров и их членство в группах после их удалить из Active Directory. Вариантов в этом сценарии учетных записей пользователей учетные записи компьютеров или групп безопасности удалена по отдельности или в Некоторые комбинации. В этих случаях применяются одинаковые начальные этапы--вы принудительно восстановить или Восстановление AUTH, те объекты, которые были случайно удалены. Некоторые удаленные объекты требуют больше работы для восстановления. К таким объектам относятся объекты, такие как учетные записи пользователей, которые содержат атрибуты, которые являются обратной связи атрибутов другие объекты. Два из этих атрибутов managedBy) и Член групп.

При добавлении участников безопасности, таких как пользователь учетная запись, группа безопасности или учетной записи компьютера в группу безопасности, сделать следующие изменения в Active Directory:
  1. Будет добавлено имя участника безопасности MEMBER атрибут групп безопасности.
  2. Для каждого безопасности группы, пользователя, компьютера или Группа безопасности является членом, ссылка назад добавляемого участника безопасностиЧлен групп атрибут.
Аналогично когда пользователь, компьютер или группа удаляется из Active Directory выполняются следующие действия:
  1. Участник безопасности удаленных перемещается в удаленные Контейнер объектов.
  2. Число значений атрибутов, включая Член групп атрибут, исключается из удаленной системы безопасности участник.
  3. Участники безопасности удаленных удаляются из любой системы безопасности они были членами группы. Другими словами удаленные системы безопасности Участники будут удалены из групп безопасности MEMBER атрибут.
Когда восстановить удаленные участники безопасности и восстановления их членство в группах, Главное помнить в том, что каждый участник безопасности должен существовать в Active Directory, прежде чем восстанавливать его членство в группе. ( член может быть пользователь, компьютер или другой группы безопасности.) Чтобы переопределить это Объект, содержащий атрибуты, значения которого являются обратно правила более широко ссылки должны существовать в Active Directory перед объектом, который содержит ссылки вперед можно восстановить или изменены.

Хотя в этой статье основное внимание уделяется как восстановление удаленных учетных записей пользователей и их членства в группы безопасности, его основные понятия применяются одинаково для удаления других объектов. Это статьи применимы одинаково для которого атрибут значения использования удаленных объектов ссылки вперед и назад ссылки на другие объекты в Active Directory.

Вы можно использовать любой из трех методов восстановления участников безопасности. Когда вы Используйте метод 1, оставить на месте безопасности всех участников, которые были добавлены к любому Добавление группы безопасности через леса и только участники безопасности, были удалены из соответствующих доменов в их группы безопасности. Для пример, сделать резервную копию состояния системы, добавить пользователя в группу безопасности и Восстановите резервную копию состояния системы. При использовании методов 1 или 2, сохранение пользователи были добавлены в группы безопасности, содержащие удаленные пользователи между даты создания резервной копии состояния системы и даты, резервного копирования была восстановлена. При использовании способа 3 откате безопасности членства для обеспечения безопасности группы, содержащие удаленные пользователям свое состояние на время резервного копирования состояния системы.

Метод 1: Восстановление удаленных учетных записей пользователей, а затем добавьте восстановленных пользователей в их группы, используя средство командной строки Ntdsutil.exe (Microsoft Windows Server 2003 с пакетом обновления 1 [SP1] только)

Примечание Этот метод действует только на контроллерах домена, работающих под управлением В Windows Server 2003 с пакетом обновления 1. Если не установлен Windows Server 2003 с пакетом обновления 1 на контроллерах домена, которые используются для восстановления воспользуйтесь способом 2.

В Windows Server 2003 SP1, было добавлено с помощью программы Ntdsutil.exe средство командной строки, чтобы помочь администраторам более легко восстановить backlinks из удаленные объекты. Создаются два файла для каждого полномочного восстановления операция. Один файл содержит список восстановленных объектов. В другой файл — это файл LDF, который используется с утилита Ldifde.exe. Этот файл используется для восстановления backlinks для объектов, которые будут принудительно восстановлен. В Windows Server 2003 SP1, принудительное восстановление пользователя объект также создает LDIF-файлов с помощью членства в группах. Этот метод позволяет избежать двойные восстановления.

При использовании этого метода, выполните следующие Высокоуровневые действия:
  1. Проверьте, имеет ли глобальный каталог в домен пользователя не реплицируются в удаления, а затем предотвращения этого глобального каталога из репликация. Если нет никаких скрытых глобального каталога, найти последние версии резервное копирование состояния системы контроллера домена глобального каталога в удаленных пользователей основной домен.
  2. Восстановить все удаленные учетные AUTH, а затем разрешить Полная репликация этих учетных записей пользователей.
  3. Добавьте восстановленных пользователей всех групп во всех домены, учетные записи пользователей были членами, прежде чем они были удалены.
Чтобы использовать способ 1, выполните следующие действия:
  1. Проверьте, имеется ли домена глобального каталога контроллер в основном домене удаленного пользователя, который еще не реплицирован ни одного компонента для удаления.

    Примечание Сосредоточьтесь на глобальные каталоги, которые были бы частые расписания репликации.

    Если существует один или несколько из этих глобальных каталогов Использование командной строки средства Repadmin.exe немедленно отключить входящих подключений репликация. Чтобы сделать это, выполните следующие действия.
    1. Нажмите кнопку Начало, а затем нажмите кнопку Запустить.
    2. Тип cmd В диалоговом окне Открыть поле, а затем нажмите кнопку ОК.
    3. Введите следующую команду в командной строке и Нажмите клавишу ВВОД:
      repadmin/Options <recovery dc="" name=""></recovery> + DISABLE_INBOUND_REPL
      Примечание Если не может немедленно выдать команду Repadmin, удалите все подключение к сети из скрытых глобального каталога до можно использовать команду Repadmin Чтобы отключить входящую репликацию и немедленно вернуть сети возможности подключения.
    Этот контроллер домена будет называться восстановления контроллер домена. Если такой глобальный каталог не существует, перейдите к шагу 2.
  2. Лучше остановить внесение изменений в группы безопасности в лес, если выполняются все следующие операторы:
    • При использовании метода 1 auth пользователям восстановить удаленные или учетные записи компьютеров по пути различающееся имя (dn).
    • Удаление репликации в домен контроллеры в лесу, за исключением скрытых восстановления домена контроллер.
    • Вы не являетесь auth, восстановление группы безопасности или их родительские контейнеры.
    Если вы являетесь auth, восстановление группы безопасности или организации подразделение, контейнеры, содержащие учетные записи пользователей или групп безопасности временно Остановите эти изменения.

    Уведомления администраторов и технической поддержки Администраторы в соответствующих доменах в дополнение к пользователям домена домен, где произошло удаление об остановке эти изменения.
  3. Создайте новую резервную копию состояния системы в домене, где При удалении. Эту резервную копию можно использовать, если необходимо выполнить откат к изменения.

    Примечание Если резервное копирование состояния системы в текущий момент удаление, пропустите этот шаг и перейдите к шагу 4.

    Если идентифицирован восстановление контроллера домена на шаге 1, резервное копирование состояния системы сейчас.

    Если все глобальные каталоги, расположенные в домене, где произошло удаление Реплицировать удаление в резервную копию состояния системы глобального каталога в домен, где произошло удаление.

    При создании резервной копии можно вернуть восстановления контроллера домена его текущего состояния и выполнения Ваш восстановления снова плана при первой попытки выполнить не удалось.
  4. Если не удается найти скрытые глобального каталога домена контроллер домена, где произошло удаление пользователя, найти самые последние резервное копирование состояния системы контроллера домена глобального каталога в этом домене. Это архив состояния системы должен содержать удаленные объекты. Использовать этот домен контроллер контроллером домена восстановления.

    Только восстановление контроллеры домена глобального каталога в домене пользователя содержат глобальные и сведения о членстве в универсальных группах для групп безопасности, которые находятся в внешние домены. При отсутствии резервной копии состояния системы домена глобального каталога контроллер домена, где пользователи были удалены, нельзя использовать Член групп атрибут на восстановленные учетные записи пользователя для определения глобальных или членство в универсальной группе или восстановить членство во внешних доменах. Кроме того это хороший способ найти самую последнюю резервную копию состояния системы из контроллер домена не глобального каталога.
  5. Если вы знаете пароль для администратора, автономные учетная запись, запуск в режиме Dsrepair восстановления контроллера домена. Если не задан знать пароль учетной записи администратора в автономном режиме, сбросить пароль во время восстановления контроллера домена находится в обычном Active Directory режим.

    Можно использовать Setpwd средство командной строки для сброса пароля на контроллерах домена под управлением Microsoft Windows 2000 с пакетом обновления 2 (SP2) и более поздних while они находятся в оперативном режиме Active Directory.

    ПримечаниеКорпорация Майкрософт не поддерживает работу с Windows 2000.

    Для получения дополнительных сведений Изменение пароля администратора консоли восстановления, нажмите кнопку ниже номер статьи базы знаний Майкрософт:
    239803Изменение пароля администратора консоли восстановления на контроллере домена
    Администраторы домена Windows Server 2003 можно использовать контроллеры Установка пароля dsrm в Ntdsutil средство командной строки для сброса пароля для автономных учетная запись администратора.

    Для получения дополнительных сведений о том, как сбросить Администратора режима восстановления служб каталогов учетную запись, нажмите одну из следующих номер статьи базы знаний Майкрософт:
    322672Как сбросить пароль учетной записи администратора режима восстановления службы каталогов Windows Server 2003
  6. Нажмите клавишу F8 во время загрузки, чтобы начать восстановление контроллер домена в режиме Dsrepair. Войдите в консоль восстановления контроллер домена с учетной записью администратора в автономном режиме. Если сбросить пароль на шаге 5, используйте новый пароль.

    Если в домене восстановления контроллер является контроллером домена скрытое глобального каталога, не восстанавливать состояние системы. Перейдите к шагу 7.

    При создании домена восстановления контроллер с помощью резервной копии состояния системы, восстановить самую последнюю системы состояние резервной копии, сделанной на контроллере домена, восстановление, сейчас.
  7. AUTH восстановить удаленные учетные, удаленные учетные записи компьютеров или групп безопасности удаленных.

    Примечание Условия Восстановление AUTH и Принудительное восстановление ссылки на процесс использования Принудительное восстановление в Ntdsutil средство командной строки для увеличения номера версии определенных объекты или конкретных контейнеров и их подчиненных объектов. Как только Полная репликация происходит целевых объектов в домене восстановления контроллера локальной копии Active Directory становится полномочным для всех контроллеры доменов, совместно использующих этот раздел. Принудительное восстановление отличается от восстановления состояния системы. Заполняет восстановления состояния системы Локальная копия Active Directory с контроллера домена восстановленного версии объектов во время резервного копирования состояния системы внесены.

    Для получения дополнительных сведений о auth восстановление контроллера домена щелкните номер следующей статьи номер статьи базы знаний Майкрософт:
    241594Как выполнить принудительное восстановление контроллера домена Windows 2000


    Выполнить принудительное восстановление В консоли восстановления команда Ntdsutil командной строки средства и ссылки на путь к доменному имени (dn) Удаленные пользователи или контейнеров, содержащих удаленные пользователи.

    Когда Вы auth восстановления, использование домена имя (dn) пути, которые сели в дереве доменов как они должны быть во избежание возврат объектов, которые не связаны с удаление. Эти объекты могут включать объекты, которые были изменены после запуска системы была сделана резервная копия состояния.

    Восстановление удаленных пользователей AUTH в следующих заказ:
    1. Восстановление AUTH доменное имя (dn) для каждого удаления учетная запись пользователя, компьютера или группы безопасности.

      Удостоверяющий Восстановление отдельных объектов занимает больше времени, но менее Деструктивные, чем Принудительное восстановление просматривается все поддерево. Восстановление AUTH наименьшего общего родительский контейнер, хранящий удаленные объекты.

      Ntdsutil используется следующий синтаксис:
      Ntdsutil "Восстановление" "Восстановление объекта <object dn="" path=""></object>"q q
      Например для проверки подлинности восстановления удаленного пользователя JohnDoe В диалоговом окне MayberryВ Подразделение Contoso.com домена, используйте следующие команда:
      Ntdsutil «восстановление» "восстановить объект cn = JohnDoe, подразделение = Mayberry, dc = contoso, dc = com" q q
      Для проверки подлинности восстановить группы безопасности, удаленные ContosoPrintAccess В диалоговом окне Mayberry В Подразделение Contoso.com домен, выполните следующую команду:
      Ntdsutil «восстановление» "восстановить объект cn = ContosoPrintAccess, ou = Mayberry, dc = contoso, dc = com" q q


      Важные Использование кавычек является обязательным.

      Для каждого пользователя, восстановить, создать по крайней мере двух файлов. Эти файлы имеют следующие формат:

      ar_HHMMSS ГГГГММДД_objects.txt
      Этот файл содержит список восстановленных объекты. Используйте этот файл с Восстановление authoritatative Ntdsutil LDIF-файл из «создать» в любом домене в лесу, где он был член домена в локальные группы.

      ar_HHMMSS ГГГГММДД_links_usn.loc.ldf
      Если выполнить восстановление auth в глобальный каталог, один из Эти файлы создаются для каждого домена в лесу. Этот файл содержит сценарий, который можно использовать служебную программу Ldifde.exe. Сценарий восстановления backlinks для восстановленных объектов. В основном домене, сценарий Восстановление всех группах для восстановленных пользователей. В других доменах в лесу, где пользователь имеет членство в группах сценарий только восстановления универсальные и глобальные группы в группах. Сценарий не восстанавливает любого домена Членство в локальной группе. Участие в этих группах не отслеживаются глобальные каталог.
    2. AUTH восстановить только контейнеры Подразделений или обычное имя (CN) который размещения удаленных учетных записей пользователей или групп.

      Удостоверяющий Отработайте просматривается все поддерево действуют, когда Подразделения, который является целью Ntdsutil «восстановление» команда содержит подавляющее большинство объектов, выполняется попытка восстановления метод проверки подлинности. В идеальном случае целевое Подразделение содержит все объекты, которые вы пытаетесь восстановить метод проверки подлинности.

      Полномочный Восстановление в поддереве Подразделений восстанавливает все атрибуты и объекты находятся в контейнере. Любые изменения, которые были сделаны до момента, Восстановление резервной копии состояния системы происходит возврат к значениям во время резервное копирование. Учетные записи пользователей, учетные записи компьютеров и групп безопасности это откат может означать потерю самые последние изменения паролей для дома каталог в путь к профилю, место и контактные сведения для группы членство и дескрипторы безопасности, определенных для этих объектов и атрибуты.

      Ntdsutil используется следующий синтаксис:
      Ntdsutil "Восстановление" "Восстановление поддерева <container dn="" path=""></container>"q q
      Например, для восстановления auth Mayberry В Подразделение Contoso.com домен, выполните следующую команду:
      Ntdsutil «восстановление» "Восстановление поддерева ou = Mayberry, dc = contoso, dc = com" q q
    Примечание Повторите этот шаг для каждой одноранговой сети Подразделения, на котором удаленные пользователи или группы.

    Важные При восстановлении подчиненный объект OU, все удаленные родительские контейнеры удаленные подчиненные объекты должны быть явно auth восстановлен.

    Для каждого подразделения, восстановление, по крайней мере два файлы создаются. Эти файлы имеют следующий формат:

    ar_HHMMSS ГГГГММДД_objects.txt

    Этот файл содержит список принудительного Восстановленные объекты. Используйте этот файл с Восстановление authoritatative Ntdsutil LDIF-файл из «создать» в любом домене в лесу где восстановленные пользователи были членами группы локального домена.

    Для получения дополнительных сведений посетите следующий веб-узел корпорации Майкрософт:
    http://technet2.Microsoft.com/WindowsServer/en/Library/5ec3a3b1-c4b2-4c74-9d8a-61f7cb555f821033.mspx?mfr=true
    ar_HHMMSS ГГГГММДД_links_usn.loc.ldf
    Этот файл содержит сценарий, который можно использовать с Утилита Ldifde.exe. Сценарий восстановления backlinks для восстановленных объектов. В основном домене сценарий восстанавливает все членство в группах восстановленных пользователей.
  8. Если удаленные объекты были восстановлены в домене восстановления контроллер из-за восстановление состояния системы, удалите все сетевые кабели обеспечивают подключение к сети для всех остальных контроллеров домена, в лес.
  9. Перезагрузите контроллер домена восстановления в обычном активный Режим каталога.
  10. Введите следующую команду, чтобы отключить репликацию для восстановления контроллера домена:
    repadmin/Options <recovery dc="" name=""></recovery> + DISABLE_INBOUND_REPL
    Включение сетевого подключения к контроллеру домена восстановления состояние которых система была восстановлена.
  11. Объекты auth восстановить свои исходящие из восстановление контроллера домена к контроллерам домена в домене и в лес.

    Во время входящей репликации для восстановления контроллера домена остается отключенным, введите следующую команду для передачи объектов auth восстановлены для репликации между узлами контроллерах домена в домене, так и ко всем глобальные каталоги леса.
    repadmin /syncall /d /e /P <recovery dc=""> <naming context=""></naming></recovery>
    Если все следующие операторы являются ссылки имеет значение true, группа членства перестраиваются с восстановление и репликация удаленного пользователя учетные записи. Перейдите к шагу 14.

    Примечание Если один или несколько из следующих утверждений неверно, перейдите к шаг 12.
    • Лес работает в Windows Server 2003 леса функциональный уровень или в режим работы леса Windows Server 2003 предварительная версия уровень.
    • Только учетные записи пользователей и учетные записи компьютеров, которые были удалены, и не групп безопасности.
    • Удаленные пользователи были добавлены в группы безопасности во всех домены в лесу после леса был реагировать Windows Server режим работы леса 2003.
  12. На консоли восстановления контроллера домена, с помощью Утилита Ldifde.exe и ar_HHMMSS ГГГГММДДфайл _links_usn.loc.ldf Восстановите членство пользователя в группах. Чтобы сделать это, выполните следующие действия.
    • Нажмите кнопку Начало, нажмите кнопку Запустить, тип cmd В диалоговом окне Открыть поле, а затем нажмите кнопку ОК.
    • В командной строке введите следующую команду и Нажмите клавишу ВВОД:
      ldifde -i -f ar_HHMMSS ГГГГММДД_links_usn.loc.ldf
    LDIFDE может возникнуть ошибка, может появиться следующее сообщение об ошибке:
    Ошибка при добавлении строкиXXX>: Неверный синтаксис Ошибки со стороны сервера является «неверный параметр».
    Если номер строки в ссылки.LDF-файл ссылается на одну из трех атрибутов перемещаемых учетных данных, msPKIDPAPIMasterKeys, msPKIAccountCredentials или msPKIRoamingTimeStamp, обратитесь к следующей статье Microsoft Knowledge Base (КБ):
    2014074 Ошибка «неправильный параметр» попытка импорта файла LDF для принудительного восстановления
    Примечание В данной статье описываются изменения, которые необходимо импортировать файл LDF ссылки.
  13. Включить входящую репликацию для восстановления домена контроллер с помощью следующей команды:
    repadmin/Options <recovery dc="" name=""></recovery> -DISABLE_INBOUND_REPL
  14. Если удаленные пользователи были добавлены к локальным группам во внешних домены, выполните одно из следующих действий.
    • Вручную добавить удаленные пользователи с теми группы.
    • Восстановление состояния системы а auth каждого из локальные группы безопасности, которые содержит удаленные пользователи.
  15. Проверка членства в группах в контроллере домена восстановления домен и в глобальных каталогов в других доменах.
  16. Выполнить резервное копирование контроллеров домена в новое состояние системы восстановление домена контроллеру домена.
  17. Уведомить все администраторы леса, делегировать Администраторы, помочь администраторам службы поддержки в лесу и пользователи домена о завершении восстановления пользователя.

    Служба технической поддержки, возможно, Администраторы для сброса паролей учетных записей пользователей, восстановлены метод проверки подлинности и учетных записей компьютеров изменить пароль которого домена после восстановленной системы внесены.

    Пользователи меняли свои пароли после создания резервной копии состояния системы была произведена будет найти, что последний пароль больше не работает. У таких пользователи пытаются войти в систему с помощью своих предыдущих паролей, если они знают их. В противном случае необходимо сбросить пароль и выбрать администраторов службы поддержки справкиТребовать смену пароля при следующем входе в систему Установите флажок, предпочтительно на контроллере домена в том же сайте Active Directory, что пользователь находится в.

Способ 2: Восстановление удаленных учетных записей пользователей, а затем добавьте восстановленных пользователей в их группы

При использовании этого метода необходимо выполнить следующие высокоуровневые действия действия:
  1. Проверьте, имеет ли глобальный каталог в домен пользователя не реплицируются в удаления, а затем предотвращения этого глобального каталога из репликация. Если нет никаких скрытых глобального каталога, найти последние версии резервное копирование состояния системы контроллера домена глобального каталога в удаленных пользователей основной домен.
  2. Восстановить все удаленные учетные AUTH, а затем разрешить Полная репликация этих учетных записей пользователей.
  3. Добавьте восстановленных пользователей всех групп во всех домены, учетные записи пользователей были членами, прежде чем они были удалены.
Чтобы воспользоваться способом 2, выполните следующие действия:
  1. Проверьте, имеется ли домена глобального каталога контроллер в основном домене удаленного пользователя, который еще не реплицирован ни одного компонента для удаления.

    Примечание Сосредоточьтесь на глобальные каталоги, которые были бы частые расписания репликации.

    Если существует один или несколько из этих глобальных каталогов Использование командной строки средства Repadmin.exe немедленно отключить входящих подключений репликация. Чтобы сделать это, выполните следующие действия.
    1. Нажмите кнопку Начало, а затем нажмите кнопку Запустить.
    2. Тип cmd В диалоговом окне Открыть поле, а затем нажмите кнопку ОК.
    3. Введите следующую команду в командной строке и Нажмите клавишу ВВОД:
      repadmin/Options <recovery dc="" name=""></recovery> + DISABLE_INBOUND_REPL
      Примечание Если не может немедленно выдать команду Repadmin, удалите все подключение к сети из скрытых глобального каталога до можно использовать команду Repadmin Чтобы отключить входящую репликацию и немедленно вернуть сети возможности подключения.
    Этот контроллер домена будет называться восстановления контроллер домена. Если такой глобальный каталог не существует, перейдите к шагу 2.
  2. Решите ли добавления, удаления и изменения пользователя учетные записи, учетные записи компьютеров и групп безопасности необходимо временно остановить пока не выполнены все шаги восстановления.

    Чтобы поддерживать наиболее путь восстановления гибким, временно прерывается, вносить изменения в следующие элементы. Изменения включают сброс паролей пользователей домена, помочь администраторам службы поддержки и Администраторы домена, где произошло удаление, в дополнение к группе изменения членства в группах удаленных пользователей. Рассмотрите возможность дополнения, остановка Удаление и изменение следующих элементов:
    1. Учетные записи пользователей и атрибуты на пользователя Учетные записи
    2. Учетные записи компьютеров и атрибуты на компьютере Учетные записи
    3. Учетные записи служб
    4. Группы безопасности
    Лучше остановить внесение изменений в группы безопасности в лес, если выполняются все следующие операторы:
    • При использовании метода 2 для проверки подлинности пользователей восстановить удаленные или учетные записи компьютеров, их доменное имя (dn).
    • Удаление репликации в домен контроллеры в лесу, за исключением скрытых восстановления домена контроллер.
    • Вы не являетесь auth, восстановление группы безопасности или их родительские контейнеры.
    Если вы являетесь auth, восстановление группы безопасности или организации подразделение, контейнеры, содержащие учетные записи пользователей или групп безопасности временно Остановите эти изменения.

    Уведомления администраторов и технической поддержки Администраторы в соответствующих доменах в дополнение к пользователям домена домен, где произошло удаление об остановке эти изменения.
  3. Создайте новую резервную копию состояния системы в домене, где При удалении. Эту резервную копию можно использовать, если необходимо выполнить откат к изменения.

    Примечание Если резервное копирование состояния системы в текущий момент удаление, пропустите этот шаг и перейдите к шагу 4.

    Если идентифицирован восстановление контроллера домена на шаге 1, резервное копирование состояния системы сейчас.

    Если все глобальные каталоги, расположенные в домене, где произошло удаление Реплицировать удаление в резервную копию состояния системы глобального каталога в домен, где произошло удаление.

    При создании резервной копии можно вернуть восстановления контроллера домена его текущего состояния и выполнения Ваш восстановления снова плана при первой попытки выполнить не удалось.
  4. Если не удается найти скрытые глобального каталога домена контроллер домена, где произошло удаление пользователя, найти самые последние резервное копирование состояния системы контроллера домена глобального каталога в этом домене. Это архив состояния системы должен содержать удаленные объекты. Использовать этот домен контроллер контроллером домена восстановления.

    Только восстановление контроллеры домена глобального каталога в домене пользователя содержат глобальные и сведения о членстве в универсальных группах для групп безопасности, которые находятся в внешние домены. При отсутствии резервной копии состояния системы домена глобального каталога контроллер домена, где пользователи были удалены, нельзя использовать Член групп атрибут на восстановленные учетные записи пользователя для определения глобальных или членство в универсальной группе или восстановить членство во внешних доменах. Кроме того это хороший способ найти самую последнюю резервную копию состояния системы из контроллер домена не глобального каталога.
  5. Если вы знаете пароль для администратора, автономные учетная запись, запуск в режиме Dsrepair восстановления контроллера домена. Если не задан знать пароль учетной записи администратора в автономном режиме, сбросить пароль во время восстановления контроллера домена находится в обычном Active Directory режим.

    Можно использовать Setpwd средство командной строки для сброса пароля на контроллерах домена под управлением Microsoft Windows 2000 с пакетом обновления 2 (SP2) и более поздних while они находятся в оперативном режиме Active Directory.

    ПримечаниеКорпорация Майкрософт не поддерживает работу с Windows 2000.

    Для получения дополнительных сведений Изменение пароля администратора консоли восстановления, нажмите кнопку ниже номер статьи базы знаний Майкрософт:
    239803Изменение пароля администратора консоли восстановления на контроллере домена
    Администраторы домена Windows Server 2003 можно использовать контроллеры Установка пароля dsrm в Ntdsutil средство командной строки для сброса пароля для автономных учетная запись администратора.

    Для получения дополнительных сведений о том, как сбросить Администратора режима восстановления служб каталогов учетную запись, нажмите одну из следующих номер статьи базы знаний Майкрософт:
    322672Как сбросить пароль учетной записи администратора режима восстановления службы каталогов Windows Server 2003
  6. Нажмите клавишу F8 во время загрузки, чтобы начать восстановление контроллер домена в режиме Dsrepair. Войдите в консоль восстановления контроллер домена с учетной записью администратора в автономном режиме. Если сбросить пароль на шаге 5, используйте новый пароль.

    Если в домене восстановления контроллер является контроллером домена скрытое глобального каталога, не восстанавливать состояние системы. Перейдите к шагу 7.

    При создании домена восстановления контроллер с помощью резервной копии состояния системы, восстановить самую последнюю системы состояние резервной копии, сделанной на контроллере домена, восстановление, сейчас.
  7. AUTH восстановить удаленные учетные, удаленные учетные записи компьютеров или групп безопасности удаленных.

    Примечание Условия Восстановление AUTH и Принудительное восстановление ссылки на процесс использования Принудительное восстановление в Ntdsutil средство командной строки для увеличения номера версии определенных объекты или конкретных контейнеров и их подчиненных объектов. Как только Полная репликация происходит целевых объектов в домене восстановления контроллера локальной копии Active Directory становится полномочным для всех контроллеры доменов, совместно использующих этот раздел. Принудительное восстановление отличается от восстановления состояния системы. Заполняет восстановления состояния системы Локальная копия Active Directory с контроллера домена восстановленного версии объектов во время резервного копирования состояния системы внесены.

    Для получения дополнительных сведений о auth восстановление контроллера домена щелкните номер следующей статьи номер статьи базы знаний Майкрософт:
    241594Как выполнить принудительное восстановление контроллера домена Windows 2000


    Выполнить принудительное восстановление В консоли восстановления команда Ntdsutil командной строки средства и ссылки на путь к доменному имени (dn) Удаленные пользователи или контейнеров, содержащих удаленные пользователи.

    Когда Вы auth восстановления, использование домена имя (dn) пути, которые сели в дереве доменов как они должны быть во избежание возврат объектов, которые не связаны с удаление. Эти объекты могут включать объекты, которые были изменены после запуска системы была сделана резервная копия состояния.

    Восстановление удаленных пользователей AUTH в следующих заказ:
    1. Восстановление AUTH доменное имя (dn) для каждого удаления учетная запись пользователя, компьютера или группы безопасности.

      Удостоверяющий Восстановление отдельных объектов занимает больше времени, но менее Деструктивные, чем Принудительное восстановление просматривается все поддерево. Восстановление AUTH наименьшего общего родительский контейнер, хранящий удаленные объекты.

      Ntdsutil используется следующий синтаксис:
      Ntdsutil "Восстановление" "Восстановление объекта <object dn="" path=""></object>"q q
      Например для проверки подлинности восстановления удаленного пользователя JohnDoe В диалоговом окне MayberryВ Подразделение Contoso.com домена, используйте следующие команда:
      Ntdsutil «восстановление» "восстановить объект cn = JohnDoe, подразделение = Mayberry, dc = contoso, dc = com" q q
      Для проверки подлинности восстановить группы безопасности, удаленные ContosoPrintAccess В диалоговом окне Mayberry В Подразделение Contoso.com домен, выполните следующую команду:
      Ntdsutil «восстановление» "восстановить объект cn = ContosoPrintAccess, ou = Mayberry, dc = contoso, dc = com" q q


      Важные Использование кавычек является обязательным.

      Примечание Этот синтаксис доступна только в Windows Server 2003. Единственным синтаксис в Windows 2000 является следующий:
      Ntdsutil "Восстановление" "Восстановление поддерева путь DN объекта"
      Примечание Ntdsutil принудительное восстановление завершается неудачно при путь различающееся имя (DN) содержит расширенные символы или пробелы. В Порядок сценариев восстановления для успешного восстановления объекта» <dn path=""></dn>"команды должен быть передан как один Заполните строку.
      Чтобы обойти эту проблему, перенос DN, содержащие расширенные символы и пробелы с помощью escape обратная косая черта двойной кавычки последовательности. Вот пример:
      "Восстановление" Ntdsutil "восстановления объект \"CN=John Петров, Подразделение = NC Mayberry, DC = contoso, DC = com\" "q q

      Примечание Команды должен быть изменен Дополнительно, если Различающееся имя объектов being восстановить содержать запятые. Следующий пример:
      Ntdsutil «Восстановление» "восстановить объект \"CN=Doe\, Джон, OU = Mayberry NC, DC = contoso, DC = com\ "" q q

      Примечание Если объекты были восстановлены из ленты, помеченные удостоверяющих и Восстановление не работает должным образом и то же лента используется для восстановления NTDS базы данных еще раз USN версии объектов для восстановления принудительно должна быть увеличена выше, чем по умолчанию 100000 или объекты будут не выполнять репликацию после второй операции восстановления. Ниже синтаксис необходимые для сценария повышения версии выше, чем 100000 (по умолчанию): Ntdsutil «восстановление» "восстановить объект \"CN=Doe\, Джон, OU = Mayberry NC, DC = contoso, DC = com\» verinc 150000\ "" q q

      Примечание Если сценарий может запросить подтверждение на каждом объекте восстановленные можно отключить запросы. Для отключения вывода запроса используется следующий синтаксис: Ntdsutil "выключить всплывающие окна" "Восстановление" "Восстановление объекта \"CN=John Петров, Подразделение = NC Mayberry, DC = contoso, DC = com\ "verinc 150000\" "q q
    2. AUTH восстановить только контейнеры Подразделений или обычное имя (CN) который размещения удаленных учетных записей пользователей или групп.

      Удостоверяющий Отработайте просматривается все поддерево действуют, когда Подразделения, который является целью Ntdsutil «восстановление» команда содержит подавляющее большинство объектов, выполняется попытка восстановления метод проверки подлинности. В идеальном случае целевое Подразделение содержит все объекты, которые вы пытаетесь восстановить метод проверки подлинности.

      Полномочный Восстановление в поддереве Подразделений восстанавливает все атрибуты и объекты находятся в контейнере. Любые изменения, которые были сделаны до момента, Восстановление резервной копии состояния системы происходит возврат к значениям во время резервное копирование. Учетные записи пользователей, учетные записи компьютеров и групп безопасности это откат может означать потерю самые последние изменения паролей для дома каталог в путь к профилю, место и контактные сведения для группы членство и дескрипторы безопасности, определенных для этих объектов и атрибуты.

      Ntdsutil используется следующий синтаксис:
      Ntdsutil "Восстановление" "Восстановление поддерева <container dn="" path=""></container>"q q
      Например, для восстановления auth Mayberry В Подразделение Contoso.com домен, выполните следующую команду:
      Ntdsutil «восстановление» "Восстановление поддерева ou = Mayberry, dc = contoso, dc = com" q q
    Примечание Повторите этот шаг для каждой одноранговой сети Подразделения, на котором удаленные пользователи или группы.

    Важные При восстановлении подчиненный объект OU, все удаленные родительские контейнеры удаленные подчиненные объекты должны быть явно auth восстановлен.
  8. Если удаленные объекты были восстановлены в домене восстановления контроллер из-за восстановление состояния системы, удалите все сетевые кабели обеспечивают подключение к сети для всех остальных контроллеров домена, в лес.
  9. Перезагрузите контроллер домена восстановления в обычном активный Режим каталога.
  10. Введите следующую команду, чтобы отключить репликацию для восстановления контроллера домена:
    repadmin/Options <recovery dc="" name=""></recovery> + DISABLE_INBOUND_REPL
    Включение сетевого подключения к контроллеру домена восстановления состояние которых система была восстановлена.
  11. Объекты auth восстановить свои исходящие из восстановление контроллера домена к контроллерам домена в домене и в лес.

    Во время входящей репликации для восстановления контроллера домена остается отключенным, введите следующую команду для передачи объектов auth восстановлены для репликации между узлами контроллерах домена в домене, так и ко всем глобальные каталоги леса.
    repadmin /syncall /d /e /P <recovery dc=""> <naming context=""></naming></recovery>
    Если все следующие операторы являются ссылки имеет значение true, группа членства перестраиваются с восстановление и репликация удаленного пользователя учетные записи. Перейдите к шагу 14.

    Примечание Если один или несколько из следующих утверждений неверно, перейдите к шаг 12.
    • Лес работает в Windows Server 2003 леса функциональный уровень или в режим работы леса Windows Server 2003 предварительная версия уровень.
    • Только учетные записи пользователей и учетные записи компьютеров, которые были удалены, и не групп безопасности.
    • Удаленные пользователи были добавлены в группы безопасности во всех домены в лесу после леса был реагировать Windows Server режим работы леса 2003.
  12. Определить, какие группы безопасности, удаленные пользователи были члены и добавить их в эти группы.

    Примечание Для добавления пользователей в группы, пользователи, то auth кто вы исходящих реплицируемых на шаге 11 необходимо иметь и восстановлении в шаге 7 реплицируются на контроллеры домена в контроллер домена домена и для всех контроллеров домена глобального каталога в лес.

    Если на компьютере установлены программы подготовки группы для повторного заполнения членства в группах безопасности, восстановить с помощью этой программы сейчас пользователей в группы безопасности, которые они были членами, прежде чем они были удалены удалены. Для этого после того как все контроллеры домена прямых и транзитивные леса домена и серверы глобального каталога входящего трафика репликации восстановить метод проверки подлинности пользователей и любые восстановлены контейнеров.

    Если у вас нет такие программы, средства командной строки Ldifde.exe и Groupadd.exe средство командной строки можно автоматизировать эту задачу автоматически при запуске их в восстановление контроллера домена. Эти инструменты доступны из продуктов Майкрософт Техническая поддержка. В этом случае Ldifde.exe создает обмена данными LDAP Информационный файл формата LDIF, содержащий имена учетных записей пользователей и их групп безопасности, начиная с контейнер OU, администратор Указывает. Считывает Groupadd.exe Член групп атрибут для каждой учетной записи пользователя, указанной в файл LDF и затем создает отдельный и уникальные сведения LDIF для каждого домена в лес. Эта информация LDIF содержатся имена групп безопасности, Удаленные пользователи могут добавляться к таким образом, чтобы их членство в группах можно будут восстановлены. Для этого этапа восстановления, выполните следующие действия.
    1. Войдите в систему с консоли контроллера домена восстановления по с помощью учетной записи пользователя, который является членом домена администратор безопасности Группа.
    2. Использование LDIFDE Команда dump имена ранее удаленных учетных записей пользователей и их Член групп атрибуты, начиная с верхнего контейнер OU где При удалении. В LDIFDE команда использует следующий синтаксис:
      LDIFDE -d <dn path="" of="" container="" that="" hosts="" deleted="" users=""></dn> -r "(objectClass=user)" -l memberof -p поддерево -f user_membership_after_restore.ldf
      При удалении были добавлены учетные записи компьютера, используйте следующий синтаксис группы безопасности:
      LDIFDE -d <dn path="" of="" container="" that="" hosts="" deleted="" users=""></dn> -r "(objectClass=computer)" -l memberof -p поддерево -f computer_membership_after_restore.ldf
    3. Запустить Groupadd Команда для создания дополнительных LDF-файлов, содержащих имена домены и имена безопасности глобальные и универсальные группы, удаленные пользователи были членами. Команда Groupadd используется следующий синтаксис:
      Groupadd /after_restore users_membership_after_restore.ldf
      Повторите эту команду, если удален были добавлены учетные записи компьютера группы безопасности.
    4. Импорт каждого Groupadd_Fully.qualified.DomainNameфайл .ldf созданный на шаге 12 c контроллером домена одного глобального каталога, соответствующий файл LDF каждого домена. Используйте следующий синтаксис Ldifde:
      Ldifde –i –k –f Groupadd_<fully.qualified.domain.name></fully.qualified.domain.name>LDF
      Запустите файл LDF для домена, к которому пользователи были удалены из на любом контроллере домена, за исключением восстановления контроллера домена.
    5. На консоли каждого контроллера домена, который используется для импорта Groupadd_<fully.qualified.domain.name></fully.qualified.domain.name>LDF файл для определенного домена, исходящие реплицировать дополнения членства в группе на другие контроллеры домена и домена глобального каталога контроллеры в лесу с помощью следующей команды:
      repadmin /syncall /d /e /P <recovery dc=""> <naming context=""></naming></recovery>
  13. Чтобы отключить исходящую репликацию, введите следующий текст и нажмите клавишу ВВОД:
    repadmin/Options + DISABLE_OUTBOUND_REPL
    Примечание Чтобы снова включить исходящую репликацию, введите следующий текст и Нажмите клавишу ВВОД:
    repadmin/параметры - DISABLE_OUTBOUND_REPL
  14. Если удаленные пользователи были добавлены к локальным группам во внешних домены, выполните одно из следующих действий.
    • Вручную добавить удаленные пользователи с теми группы.
    • Восстановление состояния системы а auth каждого из локальные группы безопасности, которые содержит удаленные пользователи.
  15. Проверка членства в группах в контроллере домена восстановления домен и в глобальных каталогов в других доменах.
  16. Выполнить резервное копирование контроллеров домена в новое состояние системы восстановление домена контроллеру домена.
  17. Уведомить все администраторы леса, делегировать Администраторы, помочь администраторам службы поддержки в лесу и пользователи домена о завершении восстановления пользователя.

    Служба технической поддержки, возможно, Администраторы для сброса паролей учетных записей пользователей, восстановлены метод проверки подлинности и учетных записей компьютеров изменить пароль которого домена после восстановленной системы внесены.

    Пользователи меняли свои пароли после создания резервной копии состояния системы была произведена будет найти, что последний пароль больше не работает. У таких пользователи пытаются войти в систему с помощью своих предыдущих паролей, если они знают их. В противном случае необходимо сбросить пароль и выбрать администраторов службы поддержки справкиТребовать смену пароля при следующем входе в систему Установите флажок, предпочтительно на контроллере домена в том же сайте Active Directory, что пользователь находится в.

Способ 3: Принудительно восстановите удаленные пользователи и группы безопасности удаленных пользователей два раза

При использовании этого метода необходимо выполнить следующие высокоуровневые действия действия:
  1. Проверьте, имеет ли глобальный каталог в домен пользователя не реплицируются в удаления, а затем предотвращения этого контроллера домена из к входящей репликации удаления. Если нет никаких скрытых глобальный каталог, поиск самую последнюю резервную копию состояния системы контроллера домена глобального каталога в основной домен удаленного пользователя.
  2. Принудительно восстановить все удаленные учетные записи и все группы безопасности в домене удаленного пользователя.
  3. Дождитесь репликации для конечных пользователей, восстановленные и групп безопасности на все контроллеры домена в удаленных пользователей доменов и контроллеров домена глобального каталога в лесу.
  4. Повторите шаги 2 и 3, чтобы принудительно восстановить удаленные пользователи и группы безопасности. (При восстановлении состояния системы только один раз.)
  5. Если удаленные пользователи были членами группы безопасности в другие домены, принудительное восстановление безопасности группы, удаленные пользователи были членами этих доменов. Или, если резервное копирование состояния системы текущий, принудительно восстановить все группы безопасности в тех домены.
Чтобы удовлетворить требования, удалить членов группы должны быть восстановлен до групп безопасности, чтобы исправить ссылки членства в группе восстановления Оба типа объектов, два раза в этом методе. Первый восстановления переводит все учетные записи пользователей и групп в месте, а второй восстановления восстанавливает удалить группы и восстанавливает сведения о членстве в группах, включая сведения о членстве для вложенных групп.

Чтобы использовать метод 3, следуйте этой процедура:
  1. Проверьте, отображается ли контроллер домена глобального каталога существует в основном домене удаленных пользователей и еще не реплицирован в любой части удаление.

    Примечание Сосредоточьтесь на глобальные каталоги в домене, который имеет как минимум частые расписаний репликации. Если существует таких контроллеров домена, с помощью Средство командной строки Repadmin.exe немедленно отключить репликацию. Для сделать это, выполните следующие действия:
    1. Нажмите кнопку Начало, а затем нажмите кнопку Запустить.
    2. Тип Команда В диалоговом окне Открыть поле, а затем нажмите кнопку ОК.
    3. Тип repadmin/Options <recovery dc="" name=""></recovery>+ DISABLE_INBOUND_REPL в командной строке и нажмите клавишу ВВОД.

      Примечание Если не может немедленно выдать команду Repadmin, удалите все подключение к сети с контроллера домена, пока можно использовать команду Repadmin для отключить репликацию и немедленно вернуть подключения к сети.
    Этот контроллер домена будет называться восстановления контроллер домена.
  2. Не следует вносить изменения, добавления и удаления следующие элементы, пока не будут завершены все этапы восстановления. Изменения Включить сброс паролей пользователей домена, помочь администраторам службы поддержки и Администраторы домена, где произошло удаление, в дополнение к группе изменения членства в группах удаленных пользователей.
    1. Учетные записи пользователей и атрибуты на пользователя Учетные записи
    2. Учетные записи компьютеров и атрибуты на компьютере Учетные записи
    3. Учетные записи служб
    4. Группы безопасности

      Примечание Особенно Избегайте изменения членства в группах для пользователей, компьютеров, группы и учетные записи служб леса где удаления произошло.
    5. Уведомить все леса администраторов, делегированные Администраторы и Администраторы службы поддержки справки в лесу временный stand-DOWN.
    Так как в метод 2 требуется этот stand-down Принудительное восстановление группы безопасности всех удаленных пользователей. Таким образом, любые изменения, внесенные в группы после даты состояния системы резервного копирования будут потеряны.
  3. Создайте новую резервную копию состояния системы в домене, где При удалении. Эту резервную копию можно использовать, если необходимо выполнить откат к изменения.

    Примечание Если резервные копии состояния системы текущее до момента, Ошибка удаления, пропустите этот шаг и перейдите к шагу 4.

    Если определенный на первом шаге, резервное копирование состояния системы контроллера домена восстановления Теперь.

    Если все глобальные каталоги, расположенные в домене, где Удаление произошло, изменения, создания резервной копии состояния системы глобальный каталог в домене, где произошло удаление.

    Когда вы Создайте резервную копию, вы можете вернуться к началу статьи восстановления контроллера домена его Текущее состояние и снова выполнить план восстановления в случае первой попытки успешно.
  4. Если не удается найти скрытые глобального каталога домена контроллер домена, где произошло удаление пользователя, найти самые последние резервное копирование состояния системы контроллера домена глобального каталога в этом домене. Это архив состояния системы должен содержать удаленные объекты. Использовать этот домен контроллер контроллером домена восстановления.

    Только базы данных из контроллеры домена глобального каталога в домене пользователя содержат членства в группах сведения о внешних доменов в лесу. Если не состояние системы резервная копия контроллера домена глобального каталога в домене, где пользователи были удален, нельзя использовать Член групп атрибут на восстановленные учетные записи пользователя для определения глобальных или членство в универсальной группе или восстановить членство во внешних доменах. Переход к Следующий шаг. Если внешние запись во внешних членства в группах домены, добавьте восстановленных пользователей в группы безопасности в этих доменах после учетные записи пользователей были восстановлены.
  5. Если вы знаете пароль для администратора, автономные учетная запись, запуск в режиме Dsrepair восстановления контроллера домена. Если не задан знать пароль учетной записи администратора в автономном режиме, сбросить пароль во время восстановления контроллера домена находится в обычном Active Directory режим.

    Можно использовать Setpwd средство командной строки для сброса пароля на контроллерах домена под управлением Microsoft Windows 2000 с пакетом обновления 2 (SP2) и более поздних while они находятся в оперативном режиме Active Directory.

    ПримечаниеКорпорация Майкрософт не поддерживает работу с Windows 2000.

    Для получения дополнительных сведений Изменение пароля администратора консоли восстановления, нажмите кнопку ниже номер статьи базы знаний Майкрософт:
    239803Изменение пароля администратора консоли восстановления на контроллере домена
    Администраторы домена Windows Server 2003 можно использовать контроллеры Установка пароля dsrm в Ntdsutil средство командной строки для сброса пароля для автономных учетная запись администратора.

    Для получения дополнительных сведений о том, как сбросить Администратора режима восстановления служб каталогов учетную запись, нажмите одну из следующих номер статьи базы знаний Майкрософт:
    322672Восстановление службы каталогов восстановления пароля администратора для режима в Windows Server 2003
  6. Нажмите клавишу F8 во время загрузки, чтобы начать восстановление контроллер домена в режиме Dsrepair.Войдите в консоль восстановления домена контроллер с учетной записью администратора в автономном режиме. Если сбросить пароль в Шаг 5, используйте новый пароль.

    Если контроллер домена восстановления скрытое глобального каталога контроллера домена, не следует восстанавливать состояние системы. Перейти к шагу 7.

    Если при создании контроллера домена восстановления с помощью резервной копии состояния системы, восстановите самую последнюю резервную копию состояния системы Это стало для восстановления контроллера домена, который содержит удаленные объекты.
  7. AUTH восстановить удаленные учетные, удаленные учетные записи компьютеров или групп безопасности удаленных.

    Примечание Условия Восстановление AUTH и Принудительное восстановление ссылки на процесс использования Принудительное восстановление в Ntdsutil средство командной строки для увеличения номера версии определенных объекты или конкретных контейнеров и их подчиненных объектов. Как только Полная репликация происходит целевых объектов в домене восстановления контроллера локальной копии Active Directory становится полномочным для всех контроллеры доменов, совместно использующих этот раздел. Принудительное восстановление отличается от восстановления состояния системы. Заполняет восстановления состояния системы Локальная копия Active Directory с контроллера домена восстановленного версии объектов во время резервного копирования состояния системы внесены.

    Для получения дополнительных сведений о auth восстановление контроллера домена щелкните номер следующей статьи номер статьи базы знаний Майкрософт:
    241594Как выполнить принудительное восстановление контроллера домена Windows 2000


    Выполнить принудительное восстановление В консоли восстановления команда Ntdsutil средство командной строки, ссылаясь на путь к доменному имени (dn) Удаленные пользователи или контейнеров, содержащих удаленные пользователи.

    Когда Вы auth восстановления, использование домена имя (dn) пути, которые сели в дереве доменов как они должны быть во избежание возврат объектов, которые не связаны с удаление. Эти объекты могут включать объекты, которые были изменены после запуска системы была сделана резервная копия состояния.

    Восстановление удаленных пользователей AUTH в следующих заказ:
    1. Восстановление AUTH доменное имя (dn) для каждого удаления учетная запись пользователя, учетную запись компьютера или удаленные системы безопасности Группа.

      Принудительное восстановление конкретных объектов занимает больше времени, но являются менее Деструктивные, чем принудительное восстановление просматривается все поддерево. Метод проверки подлинности Восстановление наименьшего общего родительского контейнера, который содержит удаленные объекты.

      Ntdsutil используется следующий синтаксис:
      Ntdsutil "Восстановление" "Восстановление объекта <object dn="" path=""></object>"q q
      Например для проверки подлинности восстановления удаленного пользователя JohnDoe В диалоговом окне MayberryВ Подразделение Contoso.com домена, используйте следующие команда:
      Ntdsutil «восстановление» "восстановить объект cn = JohnDoe, подразделение = Mayberry, dc = contoso, dc = com" q q
      Для проверки подлинности восстановить группы безопасности, удаленные ContosoPrintAccess В диалоговом окне Mayberry В Подразделение Contoso.com домен, выполните следующую команду:
      Ntdsutil «восстановление» "восстановить объект cn = ContosoPrintAccess, ou = Mayberry, dc = contoso, dc = com" q q


      Важные Использование кавычек является обязательным.

      С помощью этой программы Ntdsutil формат, можно также автоматизировать принудительное восстановление многих объектов в пакетный файл или сценарий.
      Примечание Этот синтаксис доступна только в Windows Server 2003. Единственным синтаксис в Windows 2000 является использование: "Восстановление" ntdsutil "восстановления Поддерево путь DN объекта".
    2. AUTH восстановить только контейнеры Подразделений или обычное имя (CN) который размещения удаленных учетных записей пользователей или групп.

      Удостоверяющий Отработайте просматривается все поддерево действуют, когда Подразделения, который является целью Ntdsutil принудительного восстановления команда содержит подавляющее большинство объектов, выполняется попытка восстановления метод проверки подлинности. В идеальном случае целевое Подразделение содержит все объекты, которые вы пытаетесь восстановить метод проверки подлинности.

      Принудительное восстановление в Подразделении поддерево восстанавливает все атрибуты и объекты, которые находятся в контейнер. Любые изменения, внесенные времени, что система состояния резервного копирования восстанавливается происходит возврат к значениям во время резервного копирования. С помощью учетные записи пользователей, учетные записи компьютеров и групп безопасности, может означать отката потеря самые последние изменения паролей в основной каталог на путь к профилю, место и контактные сведения, членство в группах, а также любые дескрипторы безопасности, определенных для этих объектов и атрибуты.

      Ntdsutil используется следующий синтаксис:
      Ntdsutil "Восстановление" "Восстановление поддерева <container dn="" path=""></container>"q q
      Например, для восстановления auth Mayberry В Подразделение Contoso.com домен, выполните следующую команду:
      Ntdsutil «восстановление» "Восстановление поддерева ou = Mayberry, dc = contoso, dc = com" q q
    Примечание Повторите этот шаг для каждой одноранговой сети Подразделения, на котором удаленные пользователи или группы.

    Важные При восстановлении подчиненного объекта подразделения всех родительских контейнеры удаленные подчиненные объекты должны быть явно auth восстановлен.
  8. Перезагрузите контроллер домена восстановления в обычном активный Режим каталога.
  9. Реплицировать исходящие восстановленных объектов от восстановления контроллера домена к контроллерам домена в домене и в лесу.

    Во время входящей репликации для восстановления домена контроллер остается отключена, введите следующую команду для передачи принудительно восстановить объекты в домене многоузловой репликации контроллеры домена и глобальные каталоги леса.
    repadmin /syncall /d /e /P <recovery dc=""> <naming context=""></naming></recovery>
    После всех прямых и транзитивные контроллеры в леса домена и серверы глобального каталога реплицированы в восстановленных пользователей и все восстановленные контейнеры, перейдите к шагу 11.

    Если все следующие операторы являются ссылки имеет значение true, группа членства перестраиваются восстановление удаленных учетных записей пользователей. Перейдите к шагу 13.
    • Лес работает в Windows Server 2003 леса функциональный уровень или в режим работы леса Windows Server 2003 промежуточные уровень.
    • Только группы безопасности не были удалены.
    • Все удаленные пользователи были добавлены к безопасности группы во всех доменах леса.
    Попробуйте использовать команду Repadmin для ускорения Исходящая репликация пользователей из восстановленного контроллера домена.

    Если группы также были удалены, или если вы не может гарантировать, что все удаленные пользователи были добавлены в группы безопасности, после перехода на Windows Server 2003 леса или промежуточный режим работы, перейдите к шагу 12.
  10. Повторите шаги 7, 8 и 9 без восстановления системы состояние, а затем перейдите к шагу 11.
  11. Если удаленные пользователи были добавлены к локальным группам во внешних домены, выполните одно из следующих действий.
    • Вручную добавить удаленные пользователи с теми группы.
    • Восстановление состояния системы а auth каждого из локальные группы безопасности, которые содержит удаленные пользователи.
  12. Проверка членства в группах в контроллере домена восстановления домен и в глобальных каталогов в других доменах.
  13. Используйте следующую команду, чтобы включить входящую репликацию на контроллер домена восстановления:
    repadmin/Options имя контроллера домена для восстановления -DISABLE_INBOUND_REPL
  14. Выполнить резервное копирование контроллеров домена в новое состояние системы контроллер домена восстановления домена и глобальные каталоги в другие домены лес.
  15. Уведомить все леса администраторов, делегированные Администраторы, Администраторы службы поддержки справки в лесу и пользователей в о завершении восстановления пользователя домена.

    Помочь администраторам службы поддержки Возможно, потребуется переустановить пароли учетных записей пользователей auth восстановлена и компьютера учетные записи, чей пароль домена изменен после восстановленная система была внесены.

    Пользователи меняли свои пароли после создания резервной копии состояния системы была произведена будет найти, что последний пароль больше не работает. У таких пользователи пытаются войти в систему с помощью своих предыдущих паролей, если они знают их. В противном случае администраторы справки технической поддержки необходимо сбросить пароль сТребовать смену пароля при следующем входе в систему флажок установлен, желательно на контроллере домена в том же сайте Active Directory, пользователь расположение.

Восстановление удаленных пользователей на контроллере домена Windows Server 2003, если у вас нет допустимых резервную копию

Если отсутствует текущее резервное копирование состояния системы в домене где пользователя учетные записи или группы безопасности были удалены и произошло удаление доменов содержат контроллеры домена Windows Server 2003, выполните следующие действия вручную восстанавливать удаленные объекты из контейнера удаленных объектов:
  1. Следуйте указаниям «как вручную отменить удаление объектов раздел в контейнере удаленных объектов», чтобы захоронению удаленные пользователи компьютеры, группы или все из них.
  2. Чтобы изменить с помощью Active Directory-пользователи и компьютеры учетная запись с отключенной поддержкой. (Учетная запись появится в исходном документе ПОДРАЗДЕЛЕНИЕ).
  3. Использование массового сброса возможности в Windows Server 2003 версия Active Directory-пользователи и компьютеры, чтобы выполнить массовый Сброс на «пароль необходимо сменить при следующем входе в систему» параметр политики, на основной каталог на путь к профилю и на членстве в группах для удаленной учетной записи, как требуется. Можно также использовать программный эквивалент этих компонентов.
  4. Если используется Microsoft Exchange 2000 или более поздней версии, восстановление Почтовый ящик Exchange для удаленного пользователя.
  5. Если используется Exchange 2000 или более поздней, повторно сопоставить удаленные пользователь с почтовым ящиком Exchange.
  6. Убедитесь, что восстановленный пользователь может войти в систему и доступ к локальной каталоги, общие папки и файлы.
С помощью можно автоматизировать некоторые или все следующие действия для восстановления следующие методы:
  • Написать сценарий, автоматизирующий действия ручного восстановления указанные в шаге 1. При написании такого сценария, рассмотрим область видимости удалить объект по дате, времени и последний известный родительский контейнер, а затем Автоматизация Восстановление удаленного объекта. Чтобы автоматизировать восстановление изменить isDeleted атрибут с TRUE на FALSE и изменение относительно различающееся имя для значения, определенные в lastKnownParent атрибут или в новое Подразделение или контейнер общего имени (CN) указанный администратором. (Относительное различающееся имя также называется как RDN).
  • Приобрести программу корпорацией Майкрософт, который поддерживает Восстановление удаленных объектов на контроллерах домена Windows Server 2003. Один Такая программа является AdRestore. Отмена удаления AdRestore использует Windows Server 2003 примитивы для восстановления объектов по отдельности. Aelita Software Corporation и Commvault системы обладают undelete продукты, которые поддерживают функциональные возможности на Контроллеры домена под управлением Windows.

    Для получения AdRestore, посетите следующий веб-узел:
    http://TechNet.Microsoft.com/en-us/Sysinternals/bb963906.aspx
Корпорация Майкрософт предоставляет контактные данные независимых производителей, чтобы помочь пользователям получить необходимую техническую поддержку. Эта информация может быть изменена без предварительного уведомления. Корпорация Майкрософт не поддерживает гарантирует точность этой контактной информации о независимых производителей.

Вручную отменить удаление объектов в контейнере удаленных объектов

Чтобы вручную восстановить объекты в контейнере удаленных объектов выполните следующие действия.
  1. Нажмите кнопку Начало, нажмите кнопку Запустить, затем введите Ldp.exe.

    Примечание Если средство Ldp не установлен, установите средства поддержки с установочного диска Windows Server 2003.
  2. Использование Подключение меню в Ldp для выполнения подключить операций и операций привязки к домену Windows Server 2003 контроллер.

    Укажите учетные данные администратора домена во время привязки операция.
  3. На Параметры меню, нажмите кнопкуЭлементы управления.
  4. В Загрузка предварительно ВыберитеВозврат удаленных объектов.

    Примечание В 1.2.840.113556.1.4.417 Перемещение элемента управления Активных элементов управленияокно.
  5. В группе Тип элемента управления, нажмите кнопкуСервери нажмите кнопку ОК.
  6. На Представление меню, нажмите кнопкуДерево, введите различающееся имя пути удаленных объектов в домене, где произошло удаление, а затем нажмитеОК.

    Примечание Различающееся имя пути также называется путь DN. Для пример, если произошло удаление в домене contoso.com, этот путь будет быть следующий путь:
    CN = удаленные объекты, dc = contoso, dc = com
  7. В левой части окна дважды щелкните Удаленный объект-контейнер.

    Примечание Как результат Idap запроса поиска только 1000 объектов по умолчанию. Пример FOT, если существует более 1000 объектов в контейнере удаленных объектов не все объекты отображаются в этом контейнере. Если целевой объект не отображается, используйте Ntdsutilи затем установите максимальное число с помощью MaxPageSize для получения результатов поиска.
  8. Дважды щелкните объект, который требуется восстановить или восстанавливать.
  9. Щелкните правой кнопкой мыши объект, который нужно восстановить, а затем Нажмите кнопку Изменить.

    Измените значение параметра isDeleted путь DN в одном каталоге облегченного доступа к каталогам и атрибут Операция изменения Access Protocol (LDAP). Для настройкиИзменить диалоговое окно, выполните следующие действия:
    1. В Изменить запись атрибутов поле типа isDeleted.

      Оставьте Значение поле пустым.
    2. Нажмите кнопку Удалить Кнопка выбора параметра и Нажмите кнопку Введите Чтобы сделать первый две записи в Список записей диалоговое окно.

      Важные Не нажимайте кнопку Запустить.
    3. В Атрибут поле типа distinguishedName.
    4. В Значения Введите новое различающееся имя путь восстановленный объект.

      Например, чтобы восстановить JohnDoe учетная запись пользователя в Подразделение Mayberry использовать следующий путь DN:
      ,CN=JohnDoe, ou =Mayberry, dc =Ярославль, dc =COM
      Примечание Чтобы восстановить удаленный объект его оригинал контейнер, добавить значение удаляемого объекта lastKnownParent атрибут значение CN, а затем вставьте путь DN в Значения поле.
    5. В Операция Выберите ЗАМЕНА.
    6. Нажмите кнопку ВВЕДИТЕ.
    7. Выберите Синхронный загрузке поле.
    8. Выберите Расширенный загрузке поле.
    9. Нажмите кнопку ЗАПУСТИТЬ.
  10. Восстанавливать объекты, нажмите кнопкуЭлементы управления на Параметры меню, нажмите кнопку Ознакомьтесь с Удаление из (1.2.840.113556.1.4.417) Активных элементов управления поле списка.
  11. Сброс паролей учетных записей пользователей, профилей, домашних каталогов и членство в группах для удаленных пользователей.

    Когда объект был удаляются все значения атрибутов, за исключением SID, ObjectGUID, LastKnownParent и SAMAccountName был отброшен.
  12. Включение восстановленный учетной записи в Active Directory-пользователи и компьютеров.

    Примечание Восстановленный объект имеет тот же SID основного как имел до удаление, но объект должны быть добавлены еще раз одни и те же группы безопасности для иметь тот же уровень доступа к ресурсам. Первый выпуск Windows Server 2003 не сохраняется. sIDHistory атрибут на восстановленный учетные записи, учетные записи компьютеров и группы безопасности. Сохранить Windows Server 2003 с пакетом обновления 1 sIDHistory атрибут на удаленные объекты.
  13. Удаление атрибутов Microsoft Exchange и повторное подключение пользователя почтовый ящик Exchange.

    Примечание Восстановление удаленных объектов поддерживается после удаления выполняется на контроллере домена Windows Server 2003. Восстановление из удалена объекты не поддерживается во время удаления в домене Windows 2000 контроллер, который впоследствии обновлены до Windows Server 2003.

    Примечание Если удаление выполняется на контроллере домена Windows 2000 в домен, lastParentOf атрибут не заполнен в домене Windows Server 2003 контроллеры.

Как определить, когда и где произошло удаление

При удалении пользователей из-за массового удаления нужно Узнайте, где начинается удаление. Для этого выполните следующие действия.
  1. Если аудит был правильно настроен для отслеживания Удаление подразделения (OU) контейнеров или подчиненных объектов, использование Служебная программа, которая выполняет поиск контроллеров домена в журнале событий безопасности домен, где произошло удаление. Один такой программа, которая выполняет поиск журналов событий в пределах области набор контроллеров домена является служебной программой EventCombMT. EventCombMT Представляет набор средств Windows Server 2003 Resource Kit Tools.

    Для Дополнительные сведения о получении Windows Server 2003 Resource Kit Tools средства установки, посетите веб-страницу корпорации Майкрософт:
    http://TechNet.Microsoft.com/en-us/WindowsServer/bb693323.aspx
  2. Выполните действия 1-7 в «как вручную отменить удаление раздел объектов в контейнере удаленных объектов» для обнаружения удаленных безопасности участников. Если дерево было удалено, выполните следующие действия для нахождения родительского контейнер удаленных объектов.
  3. Скопируйте значение objectGUID атрибут в буфер обмена Windows.

    Это можно вставить значение при вводе команды Repadmin на шаге 4.
  4. Введите следующую команду:
    repadmin /showmeta GUID =objectGUID>ПОЛНОЕ ДОМЕННОЕ ИМЯ>
    Например если objectGUID удаленного объекта или контейнера — полное доменное имя и 791273b2-eba7-4285-a117-aa804ea76e95 (FQDN) является dc.contoso.com, введите следующую команду:
    repadmin /showmeta GUID = 791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com
    Синтаксис данной команды необходимо включить удаленные GUID объект или контейнер и полное доменное имя сервера, который требуется от источника.
  5. В окне командной строки Repadmin найти исходную дату контроллер домена и времени isDeleted атрибут. Например, сведения о isDeleted атрибут отображается в пятой строке следующий пример Вывод:
    Loc.USN  Originating DC                  Org.USN  Org.Time/Date       Ver  Attribute
    -----------------------------------------------------------------------------------------------
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  objectClass
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  ou
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  instanceType
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  whenCreated
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   1  isDeleted
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  nTSecurityDescriptor
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  name
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   1  lastKnownParent
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  objectCategory
  6. Если имя исходного контроллера домена в во втором столбце выходных данных отображается в виде буквенно цифровой идентификатор GUID 32 символов, используйте Команда Ping для разрешения в IP-адрес и имя GUID контроллер домена, который начинается удаление. Команда Ping использует Следующий синтаксис:
    ping –a <originating dc="" guid=""></originating>контроллеры ._msdomain.<fully qualified="" path="" for="" forest="" root=""></fully>>
    Примечание "-" Параметра чувствительно к регистру. Использование полного имени домена Имя корневого домена леса независимо от домена, адресом отправителя контроллер домена находится в.

    Например если исходный домен контроллер находились в любом домене в лесу Contoso.com и имел GUID 644eb7e7-1566-4f29-a778-4b487637564b, введите следующую команду:
    Проверка связи –a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com
    Выходные данные, возвращаемые этой команды следующий:
    Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:
    
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
  7. Просмотр журнала безопасности контроллера домена, была создана удаления на или о времени, которое было указано, что в выходных данных команды Repadmin на шаге 5.

    Наклоны время подумать о и изменения часового пояса между компьютерами, которые использовались для прибытия на это точка. Если удалить включен аудит для контейнеров OU и удаленные объекты внимания зарплаты для соответствующего аудита событий. Если аудит включено, обратите внимание на пользователей, разрешения на удаление контейнеров OU подчиненные объекты в их и которые также проверены исходного контроллера домена, в то время перед удалением.

Как уменьшить воздействие Групповое удаление в будущем

Ключи для минимизации влияния массовому удалению пользователей, компьютеров и безопасности группы, проверьте наличие последних резервное копирование состояния системы, тщательный контроль доступа для привилегированных учетных записей, чтобы тщательный контроль эти учетные записи действия и наконец, на практике восстановления от массового удаления.

Каждый день происходят изменения состояния системы. К ним изменения могут включать сброс паролей учетных записей пользователей и учетных записей компьютеров Помимо изменений членства в группах и другие изменения атрибутов пользователя учетные записи, учетные записи компьютеров и групп безопасности. В случае сбоя оборудования программное обеспечение завершается с ошибкой или веб-узла происходит другой аварии можно для восстановления резервных копий, сделанных после каждого значительного набора изменений в Каждый домен Active Directory и веб-узла в составе леса. Если не поддерживается текущего резервного копирования, может привести к потере данных или может возникнуть необходимость отката восстановленных объектов.

Корпорация Майкрософт рекомендует предпринять следующие шаги, чтобы предотвратить Групповое удаление:
  1. Не сообщайте пароль для встроенной учетной записи администратора учетные записи или разрешить общие административные учетные записи пользователей для совместного использования. Если известен пароль для встроенной учетной записи администратора, изменение пароля и определение внутреннего процесса, для предотвращения его использования. События аудита для Общие учетные записи делает невозможным для установления личности пользователя кто внесение изменений в Active Directory. Таким образом использование общего пользователя учетные записи должны быть не рекомендуется.
  2. Очень редко, учетные записи пользователей, учетные записи компьютеров и группы безопасности преднамеренно удален. Это особенно верно для дерева удаленные элементы. Исключить возможность делегированных администраторам и службы Удалите эти объекты из возможность создавать и управлять учетными записями пользователей учетные записи компьютеров, группы безопасности, контейнеров OU и их атрибуты. GRANT только наиболее привилегированных учетных записей пользователей или безопасность группам права на выполнение Удаление дерева. Эти привилегированных учетных записей пользователей могут включать предприятия «Администраторы».
  3. Предоставить доступ только к классу делегированный администратор Объект, который администраторы могут управлять. Например, лучше, если администратор службы поддержки справки, которого основной является изменение свойств учетной записи пользователя нет разрешений для создания и удаления компьютера учетные записи, группы безопасности или контейнеров OU. Это ограничение также применяется к удаление разрешений для администраторов других определенного объекта классы.
  4. Поэкспериментируйте с параметрами аудита для отслеживания операций удаления в лаборатории домена. Вы удовлетворены результатами, примените лучшим решение для реального домена.
  5. Оптовый управления доступом и аудита изменений на контейнеры Убедитесь в десятки тысяч объектов, на которых размещены базы данных Active Directory значительно вырасти, особенно в доменах Windows 2000. Используйте проверочный домен, зеркально отображает домен производства для оценки потенциальных изменений, чтобы освободить место на диске. Проверка жесткого диска тома, содержащие файлы Ntds.dit и журнал файлы контроллеры домена производственные свободного дискового пространства. Избегайте Установка управления доступом и аудита изменений в заголовке контроллера домена сети. Внесение этих изменений без необходимости применить ко всем объектам всех классы контейнеров в секции. Например избежать внесения изменения в системе доменных имен (DNS) и изменившихся связей (DLT) запись трассировки Регистрация в CN = СИСТЕМНАЯ папка раздела домена.
  6. Использование структуры Подразделений рекомендации для отдельных пользователей учетные записи, учетные записи компьютеров, группы безопасности и учетных записей служб в свои собственные организационное подразделение. При использовании такой структуры можно применить на уровне пользователей таблицы управления доступом (DACL) для объектов одного класса для делегирована Администрирование и позволяют им объекты восстанавливаются в соответствии с к классу объектов, если они должны быть восстановлены. Структура Подразделений рекомендации Описанное в разделе «Создание организационных Разработка единицы» Наиболее практического Active Directory разработки для управления сетями Windows Технический документ. Чтобы загрузить этот технический документ, посетите веб-узел Веб-узел Майкрософт:
    http://TechNet.Microsoft.com/en-us/library/Bb727085.aspx
  7. Тестирование в лабораторных условиях, отражающую Групповое удаление вашего домен производства. Выберите способ восстановления, имеет смысл, а затем Настройте его для вашей организации. Необходимо выяснить следующее:
    • Имена контроллеров домена в каждом домене, регулярного резервного копирования
    • Место хранения резервных копий

      В идеале эти изображения хранятся на дополнительный жесткий диск, глобальный каталог в локальной Каждый домен в лесу.
    • Какие члены организации службы поддержки справки Контакт
    • Лучший способ сделать этот контакт
  8. Большая часть Групповое удаление учетных записей пользователей компьютера учетные записи и группы безопасности, которые корпорация Майкрософт видит случайного. Обсуждение Этот сценарий с ИТ-персонала и разработать план внутренних действий. В Сначала фокус, на раннее обнаружение и возвращение функциональные возможности вашего домена пользователи и организации как можно быстрее. Также можно выполнить действия для предотвращения случайного Групповое удаление пресечению редактируя списки управления доступом (ACL) подразделений. Для получения дополнительных сведений о способах предотвращения случайного Групповое удаление с помощью средств интерфейса Windows посетите следующий веб-узел корпорации Майкрософт для просмотра «Защита от случайного массовых операций удаления в Active Directory»:
    http://TechNet.Microsoft.com/en-us/library/cc773347 (WS.10) .aspx
    Для получения дополнительных сведений о способах предотвращения случайного Групповое удаление с помощью Dsacls.exe в командной строке или с помощью сценария посетите следующий веб-узел корпорации Майкрософт для просмотра «Сценарий подразделениями (OU), защита от случайного удаления»:
    http://go.Microsoft.com/fwlink/?LinkId = 162623

Средства и сценарии, которые могут помочь восстановить Групповое удаление

Считывает служебной программы командной строки Groupadd.exe Член групп атрибут в коллекции пользователей в Подразделении и строит .ldf восстановить файл, который добавляет каждый учетной записи пользователя для группы безопасности в каждом домене в лесу.

Groupadd.exe автоматически обнаруживает доменов и группы безопасности, удаленные пользователи были членами и добавляет их обратно тем группы. Этот процесс объясняется более подробно на шаге 11 метод 1.

Groupadd.exe выполняется на контроллерах домена, следующие:
  • Контроллеры домена Windows Server 2003
  • Контроллеры домена Windows 2000, которые имеют.NET 1.1 Framework установлен
Groupadd.exe используется следующий синтаксис:
groupadd /after_restore ldf_file [/before_restore ldf_file]
В этой папке ldf_file представляет имя файл LDF для использования с предыдущего аргумента after_restore Представляет файл источника данных, и before_restore представляет данные пользователя рабочей среде. (Файл источника данных является хорошим пользователя данные).

Для получения Groupadd.exe, обратитесь в службу технической поддержки корпорации Майкрософт Службы.

В Продукты независимых производителей, обсуждаемые в данной статье, производятся компаниями являются независимыми от корпорации Майкрософт. Корпорация Майкрософт не дает никаких гарантий, подразумеваемых или в противном случае относительно производительности или надежности этих продукты.

Ссылки

Для получения дополнительных сведений о том, как восстановить объект, содержащий знаки расширенного набора щелкните следующие номера статей базы знаний Майкрософт:
886689Ntdsutil принудительное восстановление завершается неудачно, если различающееся имя содержит знаки национальных алфавитов в Windows Server 2003 и Windows 2000
Для получения дополнительных сведений щелкните следующие номера статей базы знаний Майкрософт:
824684Стандартные термины, используемые при описании обновлений программных продуктов Майкрософт
910823 Сообщение об ошибке при попытке импорта LDF-файлов на компьютере под управлением Windows Server 2003 с пакетом обновления 1: "Ошибка при добавлении строки LineNumber: нет такого объекта»
937855 После восстановления удаленных объектов путем выполнения принудительного восстановления на контроллере домена под управлением Windows Server 2003 связанных атрибутов некоторые объекты не реплицируются на другие контроллеры домена

Дополнительные сведения о том, как использовать функцию Корзина AD, включенных в Windows Server 2008 R2 на Active Directory корзины ячейки пошаговое руководство доступных этот веб-узел корпорации Майкрософт:http://TechNet.Microsoft.com/en-us/library/dd392261 (WS.10) .aspx

Свойства

Код статьи: 840001 - Последний отзыв: 11 сентября 2011 г. - Revision: 5.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • операционная система Microsoft Windows 2000 Server
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
Ключевые слова: 
kbhowto kbwinservds kbactivedirectory kbmt KB840001 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:840001

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com