วิธีการคืนค่าบัญชีผู้ใช้ที่ถูกลบและสมาชิกของกลุ่มใน Active Directory

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 840001 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

คุณสามารถใช้วิธีการสามวิธีในการคืนค่าบัญชีผู้ใช้, บัญชีคอมพิวเตอร์ และกลุ่มการรักษาความปลอดภัยที่ถูกลบออก สิ่งเหล่านี้ถูกเรียกโดยรวมว่าการรักษาความปลอดภัย ในทั้งสามวิธีการ คุณคืนค่าวัตถุถูกลบ authoritatively และจากนั้น คุณคืนค่าข้อมูลการเป็นสมาชิกของกลุ่มสำหรับการรักษาความปลอดภัยที่ถูกลบ เมื่อคุณคืนค่าวัตถุที่ถูกลบ คุณต้องคืนค่าเดิมของสมาชิกและmemberOfแอตทริบิวต์ในการรักษาความปลอดภัยที่ได้รับผลกระทบ สามวิธีคือนี้คือ::
  • วิธีที่ 1: การคืนค่าบัญชีผู้ใช้ที่ถูกลบ แล้ว เพิ่มผู้ใช้'การคืนค่ากลับไปยังกลุ่มของตนเอง โดยใช้เครื่องมือ Ntdsutil.exe บรรทัดคำสั่ง (Microsoft Windows Server 2003 Service Pack 1 [SP1] เท่านั้น)
  • วิธีที่ 2: การคืนค่าบัญชีผู้ใช้ที่ถูกลบ แล้ว เพิ่มผู้ใช้'การคืนค่ากลับไปยังกลุ่มของตนเอง
  • วิธีที่ 3: Authoritatively คืนบัญชีผู้ใช้ที่ถูกลบและกลุ่มการรักษาความปลอดภัยของผู้ใช้ที่ถูกลบสองครั้ง
หมายเหตุ::บทความ KB นี้ไม่รวมรายละเอียดของคุณลักษณะ AD ถังรีไซเคิลที่รวมอยู่ใน Windows Server 2008 R2 โปรดตรวจสอบในส่วนการอ้างอิงสำหรับรายละเอียดเพิ่มเติมในลักษณะการทำงานนี้

วิธีที่ 1 และ 2 ให้ประสบการณ์ที่ดีขึ้นสำหรับผู้ใช้โดเมนและผู้ดูแลระบบได้เนื่องจากพวกเขารักษาเพิ่มไปยังกลุ่มรักษาความปลอดภัยที่ทำระหว่างเวลาสถานะระบบล่าสุดทำสำรอง และเวลาเกิดขึ้นในการลบ ในวิธี 3 แทนที่การทำให้แต่ละการปรับปรุงการรักษาความปลอดภัย คุณย้อนกลับความปลอดภัยสมาชิกของกลุ่มให้เป็นสถานะในเวลาของการสำรองข้อมูลล่าสุด

ถ้าคุณไม่ได้รับการสำรองข้อมูลที่ถูกต้องของสถานะของระบบ และโดเมนที่เกิดขึ้นในการลบประกอบด้วยตัวควบคุมโดเมนที่ใช้ Windows Server 2003 คุณสามารถด้วยตนเอง หรือโดยทางโปรแกรมแก้ไขวัตถุที่ถูกลบ คุณยังสามารถใช้โปรแกรมอรรถประโยชน์ Repadmin เพื่อกำหนดว่าเมื่อใด และโดยที่ผู้ใช้ที่ถูกลบ

การลบที่ large-scale มากที่สุดโดยไม่ตั้งใจได้ Microsoft แนะนำว่า คุณดำเนินการขั้นตอนต่าง ๆ เพื่อป้องกันไม่ให้บุคคลอื่นลบวัตถุที่มีขนาดใหญ่

หมายเหตุ:เมื่อต้องการป้องกันการลบโดยไม่ตั้งใจหรือความเคลื่อนไหวของวัตถุ (หน่วยองค์กรโดยเฉพาะอย่างยิ่ง), สองปฏิเสธการเข้าถึงตัวควบคุมรายการ (ACEs) ที่สามารถเพิ่มลงในตัวบอกเกี่ยวกับความปลอดภัยของแต่ละวัตถุ (DENY "ลบ" & "ลบทรี") และหนึ่งปฏิเสธการเข้าถึงตัวควบคุมรายการ (ACEs) ที่สามารถเพิ่มลงในตัวบอกเกี่ยวกับความปลอดภัยของพาเรนต์ของแต่ละวัตถุ (DENY "DELETE ลูก") เมื่อต้องการทำเช่นนี้ ใน Windows 2000 Server และ ใน Windows Server 2003 ใช้ผู้ ใช้ของไดเรกทอรีที่ใช้งานอยู่ และคอมพิวเตอร์ ADSIEdit, LDP หรือเครื่องมือบรรทัดคำสั่ง DSACLS คุณยังสามารถเปลี่ยนสิทธิ์เริ่มต้นใน AD schema สำหรับหน่วยงานเพื่อให้ ACEs เหล่านี้จะรวมอยู่ โดยค่าเริ่มต้น

ตัวอย่างเช่น การป้องกันหน่วยงานที่เรียกว่าผู้ใช้ในโดเมน AD ที่เรียกว่า CONTOSO.COM จากโดยไม่ตั้งใจถูกย้าย หรือถูกลบออกจากนั้นแม่หน่วยองค์กรที่เรียกว่าเว็บไซต์ MyCompany ทำการกำหนดค่าต่อไปนี้:

สำหรับการ MyCompany หน่วยองค์กร เพิ่ม ACE ปฏิเสธสำหรับEveryoneเมื่อต้องการลบลูกด้วยการวัตถุนี้เท่านั้นขอบเขต::
DSACLS " OU = MyCompany, DC = CONTOSO, DC = COM " /D "EVERYONE: DC"

สำหรับผู้ใช้งานหน่วย เพิ่ม ACE ปฏิเสธสำหรับEveryoneเมื่อต้องการลบและการลบแผนภูมิด้วยการวัตถุนี้เท่านั้นขอบเขต::
DSACLS " OU = Users, OU = MyCompany, DC = CONTOSO, DC = COM " /D "EVERYONE: SDDT"

ผู้ใช้ของไดเรกทอรีที่ใช้งานอยู่และคอมพิวเตอร์สแนปอินใน Windows Server 2008 รวมคำป้องกันวัตถุจากการลบโดยไม่ตั้งใจกล่องกาเครื่องหมายที่อยู่ในนั้นวัตถุแท็บ

หมายเหตุ:กระบวนการคุณลักษณะขั้นสูงกล่องกาเครื่องหมายที่ต้องเปิดใช้งานเพื่อดูแท็บนั้น

เมื่อคุณสร้างการเพิ่มหน่วยองค์กร โดยผู้ใช้ของไดเรกทอรีที่ใช้งานอยู่และคอมพิวเตอร์ใน Windows Server 2008,ป้องกันการลบโดยไม่ตั้งใจคอนเทนเนอร์กล่องกาเครื่องหมายปรากฏขึ้น โดยค่าเริ่มต้น กล่องกาเครื่องหมายถูกเลือก และสามารถ deselected

Although you can configure every object in Active Directory by using these ACEs, this is best suited for organizational units. Deletion or movements of all leaf objects can have a major effect. This configuration prevents such deletions or movements. To really delete or move an object by using such a configuration, the Deny ACEs must be removed first.

ข้อมูลเพิ่มเติม

This step-by-step article discusses how to restore user accounts, computer accounts, and their group memberships after they have been deleted from Active Directory. In variations of this scenario, user accounts, computer accounts, or security groups may have been deleted individually or in some combination. In all these cases, the same initial steps apply--you authoritatively restore, orauth restore, those objects that were inadvertently deleted. Some deleted objects require more work to be restored. These objects include objects such as user accounts that contain attributes that are back links of the attributes of other objects. Two of these attributes aremanagedByและmemberOf.

When you add security principals such as a user account, a security group, or a computer account to a security group, you make the following changes in Active Directory:
  1. The name of the security principal is added to thememberattribute of each security group.
  2. For each security group that the user, the computer, or the security group is a member of, a back link is added to the security principal'smemberOfแอตทริบิวต์
Similarly, when a user, a computer, or a group is deleted from Active Directory, the following actions occur:
  1. The deleted security principal is moved into the deleted objects container.
  2. A number of attribute values, including thememberOfattribute, are stripped from the deleted security principal.
  3. Deleted security principals are removed from any security groups that they were a member of. In other words, the deleted security principals are removed from each security group'smemberแอตทริบิวต์
When you recover deleted security principals and restore their group memberships, the key point to remember is that each security principal must exist in Active Directory before you restore its group membership. (The member may be a user, a computer, or another security group.) To restate this rule more broadly, an object that contains attributes whose values are back links must exist in Active Directory before the object that contains that forward link can be restored or modified.

Although this article focuses on how to recover deleted user accounts and their memberships in security groups, its concepts apply equally to other object deletions. This article's concepts apply equally to deleted objects whose attribute values use forward links and back links to other objects in Active Directory.

You can use either of the three methods to recover security principals. When you use method 1, you leave in place all security principals that were added to any security group across the forest, and you add only security principals that were deleted from their respective domains back to their security groups. For example, you make a system state backup, add a user to a security group, and then restore the system state backup. When you use methods 1 or 2, you preserve any users who were added to security groups that contain deleted users between the dates that the system state backup was created and the date that the backup was restored. When you use method 3, you roll back security group memberships for all the security groups that contain deleted users to their state at the time that the system state backup was made.

Method 1: Restore the deleted user accounts, and then add the restored users back to their groups by using the Ntdsutil.exe command-line tool (Microsoft Windows Server 2003 with Service Pack 1 [SP1] only)

หมายเหตุ:This method is valid only on domain controllers that are running Windows Server 2003 with SP1. If Windows Server 2003 SP1 has not been installed on the domain controllers that you use for recovery, use Method 2.

In Windows Server 2003 SP1, functionality was added to the Ntdsutil.exe command-line tool to help administrators more easily restore the backlinks of deleted objects. Two files are generated for each authoritative restore operation. One file contains a list of authoritatively restored objects. The other file is an .ldf file that is used with the Ldifde.exe utility. This file is used to restore the backlinks for the objects that are authoritatively restored. In Windows Server 2003 SP1, an authoritative restoration of a user object also generates LDIF files with the group membership. This method avoids a double restoration.

When you use this method, you perform the following high-level steps:
  1. ตรวจสอบดูว่า แค็ตตาล็อกส่วนกลางในโดเมนของผู้ใช้ที่มีการจำลองแบบไม่ในการลบ และจากนั้น ป้องกันนั้นแค็ตตาล็อกส่วนกลาง replicating ถ้าไม่มีแค็ตตาล็อกส่วนกลาง latent ค้นหาข้อมูลสถานะระบบสำรองล่าสุดของตัวควบคุมโดเมนของแค็ตตาล็อกส่วนกลางในโดเมนที่บ้านของผู้ใช้ที่ถูกลบ
  2. รับรองความถูกต้องคืนค่าบัญชีผู้ใช้ที่ถูกลบทั้งหมด และจากนั้น ทำให้สิ้นสุดการจบการจำลองแบบของบัญชีผู้ใช้เหล่านั้น
  3. เพิ่มผู้ใช้ที่คืนค่าทั้งหมดกลับไปยังกลุ่มทั้งหมดในโดเมนทั้งหมดที่บัญชีผู้ใช้ได้เป็นสมาชิกของก่อนที่จะถูกลบ
เมื่อต้องการใช้วิธีที่ 1 ให้ปฏิบัติดังนี้:
  1. ตรวจสอบเพื่อดูว่า มีตัวควบคุมโดเมนของแค็ตตาล็อกส่วนกลางในของผู้ใช้ที่ถูกลบโดเมนภายในบ้านที่ไม่มีการจำลองแบบส่วนใดส่วนหนึ่งของการลบ

    หมายเหตุ:เน้นในแค็ตตาล็อกส่วนกลางที่มีการกำหนดเวลาการจำลองแบบน้อยที่สุดที่ใช้บ่อย

    ถ้าอย่างน้อยหนึ่งเหล่านี้แค็ตตาล็อกส่วนกลางมีอยู่ ใช้เครื่องมือบรรทัดคำสั่ง Repadmin.exe ทันทีให้ปิดใช้งานการจำลองแบบขาเข้า โดยให้ทำตามขั้นตอนต่อไปนี้::
    1. คลิกเริ่มการทำงานแล้ว คลิกเรียกใช้.
    2. ประเภท:cmdในการOPENกล่อง แล้วคลิกตกลง.
    3. ให้พิมพ์คำสั่งต่อไปนี้ที่พร้อมท์รับคำสั่ง แล้วกด ENTER::
      repadmin /options<recovery dc="" name=""></recovery>+ disable_inbound_repl
      หมายเหตุ:ถ้าคุณไม่สามารถออกคำสั่ง Repadmin ทันที เอาการเชื่อมต่อเครือข่ายทั้งหมดจากในแค็ตตาล็อกส่วนกลาง latent จนกว่าคุณสามารถใช้ Repadmin เพื่อปิดใช้งานการจำลองแบบขาเข้า และจากนั้น ทันทีกลับเชื่อมต่อเครือข่าย
    ตัวควบคุมโดเมนนี้จะถูกเรียกว่าตัวควบคุมโดเมนการกู้คืน ถ้าไม่มีแค็ตตาไม่เช่นสากลล็อก ไปที่ขั้นตอนที่ 2
  2. เป็นที่ดีที่สุดเพื่อหยุดการทำการเปลี่ยนแปลงไปยังกลุ่มรักษาความปลอดภัยในฟอเรสต์ถ้าใบแจ้งยอดทั้งหมดที่ต่อไปนี้เป็นจริง:
    • คุณกำลังใช้วิธีที่ 1 การรับรองความถูกต้องผู้ใช้การคืนค่าที่ถูกลบหรือบัญชีคอมพิวเตอร์ ด้วยเส้นทางของชื่อที่แตกต่าง (dn)
    • การลบได้การจำลองแบบไปยังตัวควบคุมโดเมนทั้งหมดในฟอเรสต์ยกเว้นตัวควบคุมโดเมนการกู้คืน latent
    • คุณไม่คืนค่ากลุ่มความปลอดภัยหรือคอนเทนเนอร์หลักของการรับรองความถูกต้อง
    ถ้าคุณมีการรับรองความถูกต้องในการคืนค่ากลุ่มความปลอดภัยหรือหน่วยองค์กร (OU) คอนเทนเนอร์ที่โฮสต์กลุ่มความปลอดภัยหรือบัญชีผู้ใช้ หยุดชั่วคราวเปลี่ยนแปลงเหล่านี้ทั้งหมด

    แจ้งให้ผู้ดูแล และช่วยให้ผู้ดูแลระบบโต๊ะทำงานในโดเมนที่เหมาะสมนอกเหนือจากการผู้ใช้โดเมนในโดเมนที่การลบที่เกิดขึ้นเกี่ยวกับการหยุดการเปลี่ยนแปลงเหล่านี้
  3. สร้างสำเนาสำรองสถานะระบบใหม่ในโดเมนที่เกิดขึ้นในการลบ คุณสามารถใช้การสำรองข้อมูลนี้ถ้าคุณต้องการย้อนกลับการเปลี่ยนแปลงของคุณ

    หมายเหตุ:หากระบบการสำรองข้อมูลสถานะปัจจุบันจนถึงจุดของการลบ ข้ามขั้นตอนนี้ และไปที่ขั้นตอนที่ 4

    ถ้าคุณระบุตัวควบคุมโดเมนการกู้คืนในขั้นตอนที่ 1 สำรองสถานะระบบในขณะนี้

    ถ้าแค็ตตาล็อกทั้งหมดที่ส่วนรวมอยู่ในโดเมนที่ซึ่งเกิดขึ้นในการลบการจำลองแบบในการลบ สำรองสถานะระบบของแค็ตตาล็อกส่วนกลางในโดเมนที่เกิดขึ้นในการลบ

    เมื่อคุณสร้างการสำรองข้อมูล คุณสามารถกลับตัวควบคุมโดเมนการกู้คืนข้อมูลให้อยู่ในสถานะปัจจุบัน และดำเนินการแผนการกู้คืนข้อมูลของคุณอีกครั้งถ้าคุณลองแรกไม่สำเร็จ
  4. ถ้าคุณไม่พบตัวควบคุมโดเมน latent การแค็ตตาล็อกส่วนกลางในโดเมนที่เกิดขึ้นในการลบผู้ใช้ ค้นหาข้อมูลสถานะระบบสำรองล่าสุดของตัวควบคุมโดเมนของแค็ตตาล็อกส่วนกลางในโดเมนนั้น การสำรองข้อมูลสถานะระบบนี้ควรประกอบด้วยวัตถุที่ถูกลบ ใช้ตัวควบคุมโดเมนนี้เป็นตัวควบคุมโดเมนการกู้คืน

    เฉพาะ restorations ของตัวควบคุมโดเมนแค็ตตาล็อกส่วนกลางในโดเมนของผู้ใช้ที่ประกอบด้วยข้อมูลเป็นสมาชิกของกลุ่มส่วนกลาง และที่หลากหลายสำหรับกลุ่มความปลอดภัยที่อยู่ในโดเมนภายนอก ถ้าไม่มีสำเนาสำรองสถานะระบบของตัวควบคุมโดเมนแค็ตตาล็อกส่วนกลางในโดเมนที่ผู้ใช้ที่ได้ถูกลบออก คุณไม่สามารถใช้การmemberOfแอตทริบิวต์ในบัญชีผู้ใช้ที่คืนค่า การตรวจสอบการเป็นสมาชิกของกลุ่มสากล หรือ universal หรือกู้คืนเป็นสมาชิกในโดเมนภายนอก นอกจากนี้ มันจะขอแนะนำในการค้นหาข้อมูลสถานะระบบสำรองล่าสุดของตัวควบคุมโดเมนของแค็ตตาล็อกแบบส่วนกลาง
  5. ถ้าคุณทราบรหัสผ่านสำหรับบัญชีผู้ดูแลออฟไลน์ เริ่มต้นตัวควบคุมโดเมนการกู้คืนในโหมด Dsrepair ถ้าคุณไม่ทราบรหัสผ่านสำหรับบัญชีผู้ดูแลออฟไลน์ ตั้งค่าใหม่รหัสผ่านในขณะที่ตัวควบคุมโดเมนการกู้คืนจะยังคงอยู่ใน Active Directory ปกติโหมด

    คุณสามารถใช้ได้setpwdcommand-line tool to reset the password on domain controllers that are running Microsoft Windows 2000 Service Pack 2 (SP2) and later while they are in online Active Directory mode.

    หมายเหตุ:Microsoft no longer supports Windows 2000.

    For more information about changing the Recovery Console administrator password, click the following article number to view the article in the Microsoft Knowledge Base:
    239803How to change the Recovery Console administrator password on a domain controller
    Administrators of Windows Server 2003 domain controllers can use theset dsrm passwordคำสั่งในการNtdsutilcommand-line tool to reset the password for the offline administrator account.

    For more information about how to reset the Directory Services Restore Mode administrator account, click the following article number to view the article in the Microsoft Knowledge Base:
    322672How to reset the Directory Services Restore Mode administrator account password in Windows Server 2003
  6. Press F8 during the startup process to start the recovery domain controller in Dsrepair mode. Log on to the console of the recovery domain controller with the offline administrator account. If you reset the password in step 5, use the new password.

    If the recovery domain controller is a latent global catalog domain controller, do not restore the system state. Go to step 7.

    If you are creating the recovery domain controller by using a system state backup, restore the most current system state backup that was made on the recovery domain controller now.
  7. Auth restore the deleted user accounts, the deleted computer accounts, or the deleted security groups.

    หมายเหตุ:The termsauth restoreและauthoritative restorerefer to the process of using theauthoritative restoreคำสั่งในการNtdsutilcommand-line tool to increment the version numbers of specific objects or of specific containers and all their subordinate objects. As soon as end-to-end replication occurs, the targeted objects in the recovery domain controller's local copy of Active Directory become authoritative on all the domain controllers that share that partition. An authoritative restoration is different from a system state restoration. A system state restoration populates the restored domain controller's local copy of Active Directory with the versions of the objects at the time that the system state backup was made.

    For more information about auth restoring a domain controller, click the following article number to view the article in the Microsoft Knowledge Base:
    241594How to perform an authoritative restore to a domain controller in Windows 2000


    Authoritative restorations are performed with theNtdsutilcommand-line tool and refer to the domain name (dn) path of the deleted users or of the containers that host the deleted users.

    When you auth restore, use domain name (dn) paths that are as low in the domain tree as they have to be to avoid reverting objects that are not related to the deletion. These objects may include objects that were modified after the system state backup was made.

    Auth restore deleted users in the following order:
    1. Auth restore the domain name (dn) path for each deleted user account, computer account, or security group.

      Authoritative restorations of specific objects take longer but are less destructive than authoritative restorations of a whole subtree. Auth restore the lowest common parent container that holds the deleted objects.

      Ntdsutiluses the following syntax:
      ntdsutil "authoritative restore" "restore object<object dn="" path=""></object>"q q
      ตัวอย่างเช่น การรับรองความถูกต้องคืนค่าผู้ใช้ที่ถูกลบJohnDoeในการMayberryOU ของContoso.comโดเมน ใช้คำสั่งต่อไปนี้:
      ntdsutil "การคืนค่าที่มีสิทธิ์" "การคืนค่าวัตถุ cn = JohnDoe, ou = Mayberry, dc = contoso, dc = com " q q
      เมื่อต้องการการรับรองความถูกต้องคืนค่ากลุ่มการรักษาความปลอดภัยที่ถูกลบContosoPrintAccessในการMayberryOU ของContoso.comโดเมน ใช้คำสั่งต่อไปนี้:
      ntdsutil "การคืนค่าที่มีสิทธิ์" "การคืนค่าวัตถุ cn = ContosoPrintAccess, ou = Mayberry, dc = contoso, dc = com " q q


      สิ่งสำคัญจำเป็นต้องมีการใช้ใบเสนอราคา

      สำหรับแต่ละผู้ใช้ที่คุณเรียกคืน แฟ้มอย่างน้อยสองถูกสร้างขึ้น แฟ้มเหล่านี้มีรูปแบบต่อไปนี้:

      ar_yyyymmdd hhmmss_objects.txt
      แฟ้มนี้ประกอบด้วยรายการของวัตถุที่มีการคืนค่า authoritatively ใช้แฟ้มนี้ได้ด้วยการการคืนค่า authoritatative ntdsutil "สร้าง ldif แฟ้มจาก"คำสั่งในโดเมนอื่น ๆ ในฟอเรสต์โดยที่ผู้ใช้ได้เป็นสมาชิกของกลุ่มภายในโดเมน

      ar_yyyymmdd hhmmss_links_usn.loc.ldf
      ถ้าคุณทำการคืนค่าการรับรองความถูกต้องในแค็ตตาล็อกส่วนกลาง แฟ้มเหล่านี้อย่างใดอย่างหนึ่งถูกสร้างขึ้นสำหรับทุกโดเมนในฟอเรสต์ แฟ้มนี้ประกอบด้วยสคริปต์ซึ่งคุณสามารถใช้ได้กับโปรแกรมอรรถประโยชน์ Ldifde.exe สคริปต์คืนค่า backlinks สำหรับออบเจ็กต์ที่คืนค่า ในโดเมนภายในบ้านของผู้ใช้ สคริปต์คืนค่าสมาชิกกลุ่มทั้งหมดสำหรับผู้ใช้'การคืนค่า ในโดอื่น ๆ เมนทั้งหมดในฟอเรสต์โดยที่ผู้ใช้ได้เป็นสมาชิกของกลุ่ม สคริปต์คืนค่าสมาชิกของกลุ่มเฉพาะ universal และสากล สคริปต์ไม่คืนใด ๆ โดเมนสมาชิกของกลุ่มภายใน สมาชิกนี้ไม่ได้ถูกติดตาม โดยแค็ตตาล็อกส่วนกลาง
    2. รับรองความถูกต้องคืนค่าเฉพาะใน ou ชื่อหรือชื่อทั่วไป (CN) คอนเทนเนอร์ที่โฮสต์บัญชีผู้ใช้ที่ถูกลบหรือกลุ่ม

      restorations ที่มีสิทธิ์ของทรีย่อยทั้งหมดที่ถูกต้องเมื่อ OU ที่อยู่สำหรับโดยntdsutil "การคืนค่าที่มีสิทธิ์"คำสั่งประกอบด้วยส่วนใหญ่ overwhelming ออปเจ็กต์ที่คุณกำลังพยายามที่จะคืนค่าการรับรองความถูกต้อง ideally, OU ที่เป็นเป้าหมายประกอบด้วยออปเจ็กต์ทั้งหมดที่คุณกำลังพยายามที่จะคืนค่าการรับรองความถูกต้อง

      การคืนค่าที่มีสิทธิ์ในทรีย่อย OU ที่คืนค่าแอตทริบิวต์และวัตถุที่อยู่ในคอนเทนเนอร์ การเปลี่ยนแปลงใด ๆ ที่ทำขึ้นกับเวลาที่การสำรองข้อมูลสถานะระบบจะคืนค่า ถูกยกเลิกไปเป็นค่าเวลาของการสำรองข้อมูล ด้วยบัญชีผู้ใช้ บัญชีคอมพิวเตอร์ และกลุ่มความปลอดภัย ย้อนกลับนี้อาจหมายถึง การสูญเสียการเปลี่ยนแปลงรหัสผ่าน โฮมไดเรกทอรี เส้นทางโปรไฟล์ ล่าสุดไป ยังตำแหน่งที่ตั้ง และ การติดต่อข้อมูล การเป็นสมาชิกของกลุ่ม และตัวแสดงรายละเอียดความปลอดภัยที่กำหนดไว้ในที่วัตถุ และคุณลักษณะได้

      Ntdsutilใช้ไวยากรณ์ต่อไปนี้:
      ลำดับชั้น ntdsutil "การคืนค่าที่มีสิทธิ์" "คืนค่าย่อย<container dn="" path=""></container>"q q
      ตัวอย่างเช่น การคืนค่าการรับรองความถูกต้องการMayberryOU ของContoso.comโดเมน ใช้คำสั่งต่อไปนี้:
      ntdsutil "การคืนค่าที่มีสิทธิ์" "การคืนค่า ou ในลำดับชั้นย่อย = Mayberry, dc = contoso, dc = com " q q
    หมายเหตุ:ทำซ้ำขั้นตอนนี้สำหรับแต่ละเพียร์ ou ชื่อผู้ใช้ของโฮสต์ที่ถูกลบหรือกลุ่มนั้น

    สิ่งสำคัญเมื่อคุณคืนค่าวัตถุที่รองของ OU คอนเทนเนอร์หลักที่ถูกลบทั้งหมดถูกลบรองของออบเจ็กต์ต้องต่างหากรับรองความถูกต้องในการกู้คืน

    สำหรับแต่ละหน่วยองค์กรที่คุณเรียกคืน แฟ้มอย่างน้อยสองถูกสร้างขึ้น แฟ้มเหล่านี้มีรูปแบบต่อไปนี้:

    ar_yyyymmdd hhmmss_objects.txt

    แฟ้มนี้ประกอบด้วยรายการของวัตถุที่มีการคืนค่า authoritatively ใช้แฟ้มนี้ได้ด้วยการการคืนค่า authoritatative ntdsutil "สร้าง ldif แฟ้มจาก"คำสั่งในโดเมนอื่น ๆ ในฟอเรสต์โดยที่ผู้ใช้ที่มีการคืนค่าที่ถูกสมาชิกของกลุ่มภายในโดเมน

    สำหรับข้อมูลเพิ่มเติม โปรดเยี่ยมชมเว็บไซต์ต่อไปนี้ของ Microsoft::
    http://technet2.microsoft.com/WindowsServer/en/library/5ec3a3b1-c4b2-4c74-9d8a-61f7cb555f821033.mspx?mfr=true
    ar_yyyymmdd hhmmss_links_usn.loc.ldf
    แฟ้มนี้ประกอบด้วยสคริปต์ซึ่งคุณสามารถใช้ได้กับโปรแกรมอรรถประโยชน์ Ldifde.exe สคริปต์คืนค่า backlinks สำหรับออบเจ็กต์ที่คืนค่า ในโดเมนภายในบ้านของผู้ใช้ สคริปต์คืนค่าสมาชิกกลุ่มทั้งหมดสำหรับผู้ใช้'การคืนค่า
  8. ถ้ามีการกู้คืนวัตถุที่ถูกลบได้มาบนตัวควบคุมโดเมนการกู้คืนข้อมูลเนื่องจากการคืนค่าสถานะระบบ เอาสายเคเบิลเครือข่ายทั้งหมดที่มีการเชื่อมต่อเครือข่ายไปยังตัวทั้งหมดที่อื่นควบคุมโดเมนในฟอเรสต์
  9. การเริ่มระบบใหม่ของตัวควบคุมโดเมนการกู้คืนในปกติโหมด Active Directory
  10. พิมพ์คำสั่งต่อไปนี้เพื่อปิดใช้งานการจำลองแบบขาเข้ากับตัวควบคุมโดเมนการกู้คืน:
    repadmin /options<recovery dc="" name=""></recovery>+ disable_inbound_repl
    การเปิดการใช้งานการเชื่อมต่อเครือข่ายกลับไปยังตัวควบคุมโดเมนกู้คืนสถานะระบบถูกคืนค่า
  11. การวัตถุ Outbound-replicate คืนการรับรองความถูกต้องค่าจากตัวควบคุมโดเมนการกู้คืนข้อมูลไปยังตัวควบคุมโดเมน ในโดเมน และ ในฟอเรสต์

    ในขณะที่จำลองแบบขาเข้าเพื่อกู้คืนข้อมูลโดเมนคอนโทรลเลอร์ยังคงถูกปิดใช้งาน พิมพ์คำสั่งต่อไปนี้เพื่อดันวัตถุได้คืนค่าการรับรองความถูกต้อง กับคอนโทรลเลอร์โดเมนแบบจำลองการข้ามไซต์ทั้งหมดในโดเมน และแค็ตตาทุกส่วนกลางล็อกในฟอเรสต์:
    repadmin /syncall /d /e /P<recovery dc=""> <naming context=""></naming></recovery>
    ถ้าคำชี้แจงทั้งหมดที่ต่อไปนี้เป็นจริง การเชื่อมโยงเป็นสมาชิกของกลุ่มจะ rebuilt กับการคืนค่าและการจำลองแบบของบัญชีผู้ใช้ที่ถูกลบ ไปที่ขั้นตอน 14

    หมายเหตุ:If one or more of the following statements is not true, go to step 12.
    • Your forest is running at the Windows Server 2003 forest functional level or at the Windows Server 2003 Interim forest functional level.
    • Only user accounts or computer accounts were deleted, and not security groups.
    • The deleted users were added to security groups in all the domains in the forest after the forest was transitioned to Windows Server 2003 forest functional level.
  12. On the console of the recovery domain controller, use the Ldifde.exe utility and the ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf file to restore the user's group memberships. โดยให้ทำตามขั้นตอนต่อไปนี้::
    • คลิกเริ่มการทำงานคลิกเรียกใช้ประเภท:cmdในการOPENกล่อง แล้วคลิกตกลง.
    • At the command prompt, type the following command, and then press ENTER:
      ldifde -i -f ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
    The LDIFDE import may fail and you may receive the following error message:
    Add error on linexxx>: Invalid Syntax The server side error is "The parameter is incorrect."
    If the problematic line number in the LINKS.LDF file refers to one of three credential roaming attributes, msPKIDPAPIMasterKeys, msPKIAccountCredentials or msPKIRoamingTimeStamp, see the following Microsoft Knowledge Base (KB) article:
    2014074Error "The parameter is incorrect" Attempting to Import LDF File for Authoritative Restore
    หมายเหตุ:This article describes the changes that are required to successfully import the LINKS LDF file.
  13. Enable inbound replication to the recovery domain controller by using the following command:
    repadmin /options<recovery dc="" name=""></recovery>-DISABLE_INBOUND_REPL
  14. If deleted users were added to local groups in external domains, do one of the following:
    • Manually add the deleted users back to those groups.
    • Restore the system state and auth restore each of the local security groups that contains the deleted users.
  15. Verify group membership in the recovery domain controller's domain and in global catalogs in other domains.
  16. Make a new system state backup of domain controllers in the recovery domain controller's domain.
  17. Notify all the forest administrators, delegated administrators, help desk administrators in the forest, and users in the domain that the user restore is complete.

    Help desk administrators may have to reset the passwords of auth-restored user accounts and computer accounts whose domain password changed after the restored system was made.

    Users who changed their passwords after the system state backup was made will find that their most recent password no longer works. Have such users try to log on by using their previous passwords if they know them. Otherwise, help desk administrators must reset the password and select theuser must change password at next logonกล่องกาเครื่องหมาย preferably บนตัวควบคุมโดเมนใน Active Directory ไซต์เดียวกันเป็นผู้ใช้ที่อยู่ใน

วิธีที่ 2: การคืนค่าบัญชีผู้ใช้ที่ถูกลบ แล้ว เพิ่มผู้ใช้'การคืนค่ากลับไปยังกลุ่มของตนเอง

เมื่อคุณใช้วิธีนี้ คุณทำตามขั้นตอนพื้นฐานที่ต่อไปนี้:
  1. ตรวจสอบดูว่า แค็ตตาล็อกส่วนกลางในโดเมนของผู้ใช้ที่มีการจำลองแบบไม่ในการลบ และจากนั้น ป้องกันนั้นแค็ตตาล็อกส่วนกลาง replicating ถ้าไม่มีแค็ตตาล็อกส่วนกลาง latent ค้นหาข้อมูลสถานะระบบสำรองล่าสุดของตัวควบคุมโดเมนของแค็ตตาล็อกส่วนกลางในโดเมนที่บ้านของผู้ใช้ที่ถูกลบ
  2. รับรองความถูกต้องคืนค่าบัญชีผู้ใช้ที่ถูกลบทั้งหมด และจากนั้น ทำให้สิ้นสุดการจบการจำลองแบบของบัญชีผู้ใช้เหล่านั้น
  3. เพิ่มผู้ใช้ที่คืนค่าทั้งหมดกลับไปยังกลุ่มทั้งหมดในโดเมนทั้งหมดที่บัญชีผู้ใช้ได้เป็นสมาชิกของก่อนที่จะถูกลบ
เมื่อต้องการใช้วิธีที่ 2 ให้ปฏิบัติดังนี้:
  1. ตรวจสอบเพื่อดูว่า มีตัวควบคุมโดเมนของแค็ตตาล็อกส่วนกลางในของผู้ใช้ที่ถูกลบโดเมนภายในบ้านที่ไม่มีการจำลองแบบส่วนใดส่วนหนึ่งของการลบ

    หมายเหตุ:เน้นในแค็ตตาล็อกส่วนกลางที่มีการกำหนดเวลาการจำลองแบบน้อยที่สุดที่ใช้บ่อย

    ถ้าอย่างน้อยหนึ่งเหล่านี้แค็ตตาล็อกส่วนกลางมีอยู่ ใช้เครื่องมือบรรทัดคำสั่ง Repadmin.exe ทันทีให้ปิดใช้งานการจำลองแบบขาเข้า โดยให้ทำตามขั้นตอนต่อไปนี้::
    1. คลิกเริ่มการทำงานแล้ว คลิกเรียกใช้.
    2. ประเภท:cmdในการOPENกล่อง แล้วคลิกตกลง.
    3. ให้พิมพ์คำสั่งต่อไปนี้ที่พร้อมท์รับคำสั่ง แล้วกด ENTER::
      repadmin /options<recovery dc="" name=""></recovery>+ disable_inbound_repl
      หมายเหตุ:ถ้าคุณไม่สามารถออกคำสั่ง Repadmin ทันที เอาการเชื่อมต่อเครือข่ายทั้งหมดจากในแค็ตตาล็อกส่วนกลาง latent จนกว่าคุณสามารถใช้ Repadmin เพื่อปิดใช้งานการจำลองแบบขาเข้า และจากนั้น ทันทีกลับเชื่อมต่อเครือข่าย
    ตัวควบคุมโดเมนนี้จะถูกเรียกว่าตัวควบคุมโดเมนการกู้คืน ถ้าไม่มีแค็ตตาไม่เช่นสากลล็อก ไปที่ขั้นตอนที่ 2
  2. ตัดสินใจว่า เพิ่ม ลบ และการเปลี่ยนแปลงกับบัญชีผู้ใช้ บัญชีคอมพิวเตอร์ และกลุ่มความปลอดภัยต้องสามารถเป็นการชั่วคราวหยุดจนกว่าขั้นตอนของการกู้คืนข้อมูลทั้งหมดเสร็จสมบูรณ์แล้ว

    เมื่อต้องการเก็บรักษาเส้นทางการกู้คืนความยืดหยุ่นมากที่สุด หยุดชั่วคราวทำการเปลี่ยนแปลงรายการต่อไปนี้ การเปลี่ยนแปลงประกอบด้วยรหัสผ่านการตั้งค่าใหม่ โดยผู้ใช้โดเมน ช่วยให้ผู้ดูแลระบบโต๊ะทำงาน และผู้ดูแลระบบในโดเมนที่ลบเกิด นอกเหนือจากการเปลี่ยนแปลงการเป็นสมาชิกกลุ่มในกลุ่มของผู้ใช้ที่ถูกลบ ให้พิจารณา halting เพิ่ม ลบ และปรับเปลี่ยนรายการต่อไปนี้:
    1. บัญชีผู้ใช้และคุณลักษณะบนบัญชีผู้ใช้
    2. บัญชีคอมพิวเตอร์และแอตทริบิวต์ในบัญชีคอมพิวเตอร์
    3. บัญชีบริการ
    4. กลุ่มความปลอดภัย
    เป็นที่ดีที่สุดเพื่อหยุดการทำการเปลี่ยนแปลงไปยังกลุ่มรักษาความปลอดภัยในฟอเรสต์ถ้าใบแจ้งยอดทั้งหมดที่ต่อไปนี้เป็นจริง:
    • คุณใช้วิธีที่ 2 การรับรองความถูกต้องผู้ใช้การคืนค่าที่ถูกลบหรือบัญชีคอมพิวเตอร์ ด้วยเส้นทาง (dn) ของชื่อโดเมนของตนเอง
    • การลบได้การจำลองแบบไปยังตัวควบคุมโดเมนทั้งหมดในฟอเรสต์ยกเว้นตัวควบคุมโดเมนการกู้คืน latent
    • คุณไม่คืนค่ากลุ่มความปลอดภัยหรือคอนเทนเนอร์หลักของการรับรองความถูกต้อง
    ถ้าคุณมีการรับรองความถูกต้องในการคืนค่ากลุ่มความปลอดภัยหรือหน่วยองค์กร (OU) คอนเทนเนอร์ที่โฮสต์กลุ่มความปลอดภัยหรือบัญชีผู้ใช้ หยุดชั่วคราวเปลี่ยนแปลงเหล่านี้ทั้งหมด

    แจ้งให้ผู้ดูแล และช่วยให้ผู้ดูแลระบบโต๊ะทำงานในโดเมนที่เหมาะสมนอกเหนือจากการผู้ใช้โดเมนในโดเมนที่การลบที่เกิดขึ้นเกี่ยวกับการหยุดการเปลี่ยนแปลงเหล่านี้
  3. สร้างสำเนาสำรองสถานะระบบใหม่ในโดเมนที่เกิดขึ้นในการลบ คุณสามารถใช้การสำรองข้อมูลนี้ถ้าคุณต้องการย้อนกลับการเปลี่ยนแปลงของคุณ

    หมายเหตุ:หากระบบการสำรองข้อมูลสถานะปัจจุบันจนถึงจุดของการลบ ข้ามขั้นตอนนี้ และไปที่ขั้นตอนที่ 4

    ถ้าคุณระบุตัวควบคุมโดเมนการกู้คืนในขั้นตอนที่ 1 สำรองสถานะระบบในขณะนี้

    ถ้าแค็ตตาล็อกทั้งหมดที่ส่วนรวมอยู่ในโดเมนที่ซึ่งเกิดขึ้นในการลบการจำลองแบบในการลบ สำรองสถานะระบบของแค็ตตาล็อกส่วนกลางในโดเมนที่เกิดขึ้นในการลบ

    เมื่อคุณสร้างการสำรองข้อมูล คุณสามารถกลับตัวควบคุมโดเมนการกู้คืนข้อมูลให้อยู่ในสถานะปัจจุบัน และดำเนินการแผนการกู้คืนข้อมูลของคุณอีกครั้งถ้าคุณลองแรกไม่สำเร็จ
  4. ถ้าคุณไม่พบตัวควบคุมโดเมน latent การแค็ตตาล็อกส่วนกลางในโดเมนที่เกิดขึ้นในการลบผู้ใช้ ค้นหาข้อมูลสถานะระบบสำรองล่าสุดของตัวควบคุมโดเมนของแค็ตตาล็อกส่วนกลางในโดเมนนั้น การสำรองข้อมูลสถานะระบบนี้ควรประกอบด้วยวัตถุที่ถูกลบ ใช้ตัวควบคุมโดเมนนี้เป็นตัวควบคุมโดเมนการกู้คืน

    เฉพาะ restorations ของตัวควบคุมโดเมนแค็ตตาล็อกส่วนกลางในโดเมนของผู้ใช้ที่ประกอบด้วยข้อมูลเป็นสมาชิกของกลุ่มส่วนกลาง และที่หลากหลายสำหรับกลุ่มความปลอดภัยที่อยู่ในโดเมนภายนอก ถ้าไม่มีสำเนาสำรองสถานะระบบของตัวควบคุมโดเมนแค็ตตาล็อกส่วนกลางในโดเมนที่ผู้ใช้ที่ได้ถูกลบออก คุณไม่สามารถใช้การmemberOfแอตทริบิวต์ในบัญชีผู้ใช้ที่คืนค่า การตรวจสอบการเป็นสมาชิกของกลุ่มสากล หรือ universal หรือกู้คืนเป็นสมาชิกในโดเมนภายนอก นอกจากนี้ มันจะขอแนะนำในการค้นหาข้อมูลสถานะระบบสำรองล่าสุดของตัวควบคุมโดเมนของแค็ตตาล็อกแบบส่วนกลาง
  5. ถ้าคุณทราบรหัสผ่านสำหรับบัญชีผู้ดูแลออฟไลน์ เริ่มต้นตัวควบคุมโดเมนการกู้คืนในโหมด Dsrepair ถ้าคุณไม่ทราบรหัสผ่านสำหรับบัญชีผู้ดูแลออฟไลน์ ตั้งค่าใหม่รหัสผ่านในขณะที่ตัวควบคุมโดเมนการกู้คืนจะยังคงอยู่ใน Active Directory ปกติโหมด

    คุณสามารถใช้ได้setpwdเครื่องมือบรรทัดคำสั่งเพื่อรีเซ็ตรหัสผ่านบนตัวควบคุมโดเมนที่กำลังเรียกใช้ Microsoft Windows 2000 Service Pack 2 (SP2) และในภายหลังขณะที่ อยู่ในโหมดออนไลน์ของ Active Directory

    หมายเหตุ:Microsoft ไม่สนับสนุน Windows 2000

    สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการเปลี่ยนรหัสผ่านของผู้ดูแลระบบคอนโซลการกู้คืน คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
    239803วิธีการเปลี่ยนรหัสผ่านผู้ดูแลระบบของ Recovery Console ในโดเมนคอนโทรลเลอร์
    ผู้ดูแลของตัวควบคุมโดเมน Windows Server 2003 สามารถใช้ได้รหัสผ่าน dsrm ชุดคำสั่งในการNtdsutilเครื่องมือบรรทัดคำสั่งเพื่อรีเซ็ตรหัสผ่านสำหรับบัญชีผู้ดูแลแบบออฟไลน์

    สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการตั้งค่าบัญชีผู้ดูแลของโหมดการคืนค่าบริการไดเรกทอรี คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
    322672วิธีการตั้งค่ารหัสผ่านบัญชีผู้ดูแลโหมดคืนค่าของบริการไดเรกทอรีใน Windows Server 2003
  6. กดแป้น F8 ในระหว่างกระบวนการเริ่มต้นระบบเพื่อเริ่มการทำงานของตัวควบคุมโดเมนการกู้คืนในโหมด Dsrepair เข้าสู่ระบบในคอนโซลการกู้คืนข้อมูลโดเมนคอนโทรลเลอร์กับบัญชีผู้ดูแลแบบออฟไลน์ ถ้าคุณตั้งค่ารหัสผ่านในขั้นตอนที่ 5 ใช้รหัสผ่านใหม่

    ถ้าตัวควบคุมโดเมนการกู้คืนเป็นตัวควบคุมโดเมนของแค็ตตาล็อกส่วนกลางที่ latent ไม่คืนสถานะระบบ ไปที่ขั้นตอนที่ 7

    ถ้าคุณกำลังสร้างตัวควบคุมโดเมนการกู้คืน โดยใช้การสำรองข้อมูลสถานะระบบ คืนค่าสำรองสถานะระบบล่าสุดที่ทำในตัวควบคุมโดเมนการกู้คืนในขณะนี้
  7. รับรองความถูกต้องคืนค่าบัญชีผู้ใช้ที่ถูกลบ บัญชีคอมพิวเตอร์ที่ถูกลบ หรือกลุ่มความปลอดภัยที่ถูกลบ

    หมายเหตุ:เงื่อนไขการคืนค่าการรับรองความถูกต้องและคืนค่าที่มีสิทธิ์โปรดดูกระบวนการที่ใช้นั้นคืนค่าที่มีสิทธิ์คำสั่งในการNtdsutilเครื่องมือบรรทัดคำสั่งเพื่อเพิ่มหมายเลขเวอร์ชัน ของวัตถุที่ระบุ หรือคอนเทนเนอร์ที่เจาะจงและออบเจ็กต์ที่รองทั้งหมดของตนเอง ทันทีที่จุดสิ้นสุดการจบการจำลองแบบเกิดขึ้น วัตถุเป็นเป้าหมายในการกู้คืนข้อมูลโดเมนคอนโทรลเลอร์ของสำเนาของ Active Directory จะมีสิทธิ์ในตัวควบคุมโดเมนทั้งหมดที่ใช้ร่วมกันพาร์ติชันนั้น การคืนค่าที่มีสิทธิ์จะแตกต่างจากการคืนค่าสถานะระบบ คืนค่าสถานะระบบ populates ของตัวควบคุมโดเมนที่คืนค่าสำเนาของไดเรกทอรีที่ใช้งานอยู่กับรุ่นของออปเจ็กต์ในขณะที่ทำการสำรองข้อมูลสถานะระบบ

    สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการรับรองความถูกต้องในการคืนค่าตัวควบคุมโดเมน คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
    241594วิธีการดำเนินการคืนค่าที่มีสิทธิ์ไปยังตัวควบคุมโดเมนใน Windows 2000


    restorations ที่มีสิทธิ์ดำเนินการกับNtdsutilบรรทัดคำสั่งเครื่องมือ และการอ้างอิงถึงพาธ (dn) ของชื่อโดเมน ของผู้ใช้ที่ถูกลบ หรือคอนเทนเนอร์ที่โฮสต์ผู้ใช้ที่ถูกลบ

    เมื่อคืนคุณรับรองความถูกต้องค่า พาธชื่อ (dn) ใช้โดเมนที่เป็นต่ำในทรีของโดเมน ตามที่พวกเขาจะต้องการ หลีกเลี่ยงการกำลังย้อนกลับภาย วัตถุที่ไม่เกี่ยวข้องกับการลบ วัตถุเหล่านี้อาจรวมถึงวัตถุที่ถูกปรับเปลี่ยนหลังจากที่ทำการสำรองข้อมูลสถานะระบบ

    การคืนค่าการรับรองความถูกต้องลบผู้ใช้ในลำดับต่อไปนี้:
    1. รับรองความถูกต้องคืนค่าเส้นทาง (dn) ของชื่อโดเมน สำหรับแต่ละบัญชีผู้ใช้ที่ถูกลบ คอมพิวเตอร์ หรือบัญชีกลุ่มรักษาความปลอดภัย

      restorations ที่มีสิทธิ์ของวัตถุที่ระบุใช้เวลานาน แต่กำลัง destructive น้อยกว่า restorations ที่มีสิทธิ์ของลำดับชั้นย่อยที่ทั้งหมด รับรองความถูกต้องคืนค่าต่ำสุดทั่วหลักคอนเทนเนอร์ที่มีวัตถุที่ถูกลบ

      Ntdsutilใช้ไวยากรณ์ต่อไปนี้:
      ntdsutil "การคืนค่าที่มีสิทธิ์" "คืนค่าวัตถุ<object dn="" path=""></object>"q q
      ตัวอย่างเช่น การรับรองความถูกต้องคืนค่าผู้ใช้ที่ถูกลบJohnDoeในการMayberryOU ของContoso.comโดเมน ใช้คำสั่งต่อไปนี้:
      ntdsutil "การคืนค่าที่มีสิทธิ์" "การคืนค่าวัตถุ cn = JohnDoe, ou = Mayberry, dc = contoso, dc = com " q q
      เมื่อต้องการการรับรองความถูกต้องคืนค่ากลุ่มการรักษาความปลอดภัยที่ถูกลบContosoPrintAccessในการMayberryOU ของContoso.comโดเมน ใช้คำสั่งต่อไปนี้:
      ntdsutil "การคืนค่าที่มีสิทธิ์" "การคืนค่าวัตถุ cn = ContosoPrintAccess, ou = Mayberry, dc = contoso, dc = com " q q


      สิ่งสำคัญจำเป็นต้องมีการใช้ใบเสนอราคา

      หมายเหตุ:ไวยากรณ์นี้ไม่พร้อมใช้งานเฉพาะใน Windows Server 2003 ไวยากรณ์เดียวใน Windows 2000 ไม่ใช้ต่อไปนี้:
      ลำดับชั้น ntdsutil "การคืนค่าที่มีสิทธิ์" "คืนค่าย่อยเส้นทางของวัตถุ DN"
      หมายเหตุ:การดำเนินการคืนค่าที่มีสิทธิ์ Ntdsutil ไม่สำเร็จหากเส้นทาง (DN) ชื่อที่แตกต่างประกอบด้วยอักขระที่ขยายหรือช่องว่าง การคืนค่าสคริปต์เพื่อที่สำเร็จ วัตถุคืนค่า “<dn path=""></dn>” สั่งต้องถูกส่งผ่านเป็นหนึ่งสายอักขระที่เสร็จสมบูรณ์
      เมื่อต้องการแก้ไขปัญหานี้ ตัด DN ที่ประกอบด้วยอักขระที่ขยายและช่องว่าง ด้วยเครื่องหมายทับขวาสองใบเสนอราคาทำเครื่องหมายเลี่ยงลำดับ ที่นี่คือตัวอย่าง:
      ntdsutil "การคืนค่าที่มีสิทธิ์" " \"CN=John วัตถุคืนค่า Doe, OU = Mayberry NC, DC = contoso, DC = com\ ""q q

      หมายเหตุ:คำสั่งต้องถูกปรับเปลี่ยนเพิ่มเติมถ้า DN ของวัตถุที่มีการคืนค่าประกอบด้วยเครื่องหมายจุลภาค ดูตัวอย่างต่อไปนี้:
      ntdsutil "การคืนค่าที่มีสิทธิ์" "การคืนค่าวัตถุ \"CN=Doe\ สมชาย OU = Mayberry NC, DC = contoso, DC = com\ ""q q

      หมายเหตุ:ถ้าวัตถุถูกเรียกคืนจากเทป ทำเครื่องหมายที่มีสิทธิ์ และการคืนค่าไม่ได้ผลตามที่คาดไว้ และจากนั้น เทปที่เหมือนกันถูกใช้เพื่อคืนค่าฐานข้อมูล NTDS หนึ่งครั้ง วัตถุการกู้คืน authoritatively รุ่น USN ต้องถูกเพิ่มยิ่งกว่าทำเป็นค่าเริ่มต้นของ 100000 หรือวัตถุจะไม่ซ้ำออกหลังจากการคืนค่าที่สอง ไวยากรณ์ด้านล่างนี้จำเป็นต้องใช้กับสคริปต์หมายเลขเวอร์ชันที่เพิ่มขึ้นสูงกว่า 100000 (ค่าเริ่มต้น): ntdsutil "การคืนค่าที่มีสิทธิ์" "การคืนค่าวัตถุ \"CN=Doe\ สมชาย OU = Mayberry NC, DC = contoso, DC = com\ "verinc 150000\" " q q

      หมายเหตุ:หากสคริปต์การแสดงพร้อมท์สำหรับใบยืนยันบนแต่ละวัตถุที่ถูกกู้คืน คุณสามารถปิดการแสดงกล่องโต้ตอบได้ ไวยากรณ์การปิดการพร้อมท์ให้เป็น: ntdsutil " popups ปิดคืน""มีสิทธิ์ค่า" "การคืนค่าวัตถุ \"CN=John Doe, OU = Mayberry NC, DC = contoso, DC = com\ "verinc 150000\" " q q
    2. รับรองความถูกต้องคืนค่าเฉพาะใน ou ชื่อหรือชื่อทั่วไป (CN) คอนเทนเนอร์ที่โฮสต์บัญชีผู้ใช้ที่ถูกลบหรือกลุ่ม

      restorations ที่มีสิทธิ์ของทรีย่อยทั้งหมดที่ถูกต้องเมื่อ OU ที่อยู่สำหรับโดยntdsutil "การคืนค่าที่มีสิทธิ์"คำสั่งประกอบด้วยส่วนใหญ่ overwhelming ออปเจ็กต์ที่คุณกำลังพยายามที่จะคืนค่าการรับรองความถูกต้อง ideally, OU ที่เป็นเป้าหมายประกอบด้วยออปเจ็กต์ทั้งหมดที่คุณกำลังพยายามที่จะคืนค่าการรับรองความถูกต้อง

      การคืนค่าที่มีสิทธิ์ในทรีย่อย OU ที่คืนค่าแอตทริบิวต์และวัตถุที่อยู่ในคอนเทนเนอร์ การเปลี่ยนแปลงใด ๆ ที่ทำขึ้นกับเวลาที่การสำรองข้อมูลสถานะระบบจะคืนค่า ถูกยกเลิกไปเป็นค่าเวลาของการสำรองข้อมูล ด้วยบัญชีผู้ใช้ บัญชีคอมพิวเตอร์ และกลุ่มความปลอดภัย ย้อนกลับนี้อาจหมายถึง การสูญเสียการเปลี่ยนแปลงรหัสผ่าน โฮมไดเรกทอรี เส้นทางโปรไฟล์ ล่าสุดไป ยังตำแหน่งที่ตั้ง และ การติดต่อข้อมูล การเป็นสมาชิกของกลุ่ม และตัวแสดงรายละเอียดความปลอดภัยที่กำหนดไว้ในที่วัตถุ และคุณลักษณะได้

      Ntdsutilใช้ไวยากรณ์ต่อไปนี้:
      ลำดับชั้น ntdsutil "การคืนค่าที่มีสิทธิ์" "คืนค่าย่อย<container dn="" path=""></container>"q q
      ตัวอย่างเช่น การคืนค่าการรับรองความถูกต้องการMayberryOU ของContoso.comโดเมน ใช้คำสั่งต่อไปนี้:
      ntdsutil "การคืนค่าที่มีสิทธิ์" "การคืนค่า ou ในลำดับชั้นย่อย = Mayberry, dc = contoso, dc = com " q q
    หมายเหตุ:ทำซ้ำขั้นตอนนี้สำหรับแต่ละเพียร์ ou ชื่อผู้ใช้ของโฮสต์ที่ถูกลบหรือกลุ่มนั้น

    สิ่งสำคัญเมื่อคุณคืนค่าวัตถุที่รองของ OU คอนเทนเนอร์หลักที่ถูกลบทั้งหมดถูกลบรองของออบเจ็กต์ต้องต่างหากรับรองความถูกต้องในการกู้คืน
  8. ถ้ามีการกู้คืนวัตถุที่ถูกลบได้มาบนตัวควบคุมโดเมนการกู้คืนข้อมูลเนื่องจากการคืนค่าสถานะระบบ เอาสายเคเบิลเครือข่ายทั้งหมดที่มีการเชื่อมต่อเครือข่ายไปยังตัวทั้งหมดที่อื่นควบคุมโดเมนในฟอเรสต์
  9. การเริ่มระบบใหม่ของตัวควบคุมโดเมนการกู้คืนในปกติโหมด Active Directory
  10. พิมพ์คำสั่งต่อไปนี้เพื่อปิดใช้งานการจำลองแบบขาเข้ากับตัวควบคุมโดเมนการกู้คืน:
    repadmin /options<recovery dc="" name=""></recovery>+ disable_inbound_repl
    การเปิดการใช้งานการเชื่อมต่อเครือข่ายกลับไปยังตัวควบคุมโดเมนกู้คืนสถานะระบบถูกคืนค่า
  11. การวัตถุ Outbound-replicate คืนการรับรองความถูกต้องค่าจากตัวควบคุมโดเมนการกู้คืนข้อมูลไปยังตัวควบคุมโดเมน ในโดเมน และ ในฟอเรสต์

    ในขณะที่จำลองแบบขาเข้าเพื่อกู้คืนข้อมูลโดเมนคอนโทรลเลอร์ยังคงถูกปิดใช้งาน พิมพ์คำสั่งต่อไปนี้เพื่อดันวัตถุได้คืนค่าการรับรองความถูกต้อง กับคอนโทรลเลอร์โดเมนแบบจำลองการข้ามไซต์ทั้งหมดในโดเมน และแค็ตตาทุกส่วนกลางล็อกในฟอเรสต์:
    repadmin /syncall /d /e /P<recovery dc=""> <naming context=""></naming></recovery>
    ถ้าคำชี้แจงทั้งหมดที่ต่อไปนี้เป็นจริง การเชื่อมโยงเป็นสมาชิกของกลุ่มจะ rebuilt กับการคืนค่าและการจำลองแบบของบัญชีผู้ใช้ที่ถูกลบ ไปที่ขั้นตอน 14

    หมายเหตุ:ถ้าคำสั่งต่อไปนี้อย่างน้อยหนึ่งอย่างไม่จริง ไปที่ขั้นตอนที่ 12
    • ฟอเรสต์ของคุณกำลังทำงานใน Windows Server 2003 ฟอเรสต์ทำงานระดับ หรือ ใน Windows การชั่วคราว 2003 Server ฟอเรสต์ระดับการทำงาน
    • บัญชีผู้ใช้เท่านั้นหรือบัญชีคอมพิวเตอร์ได้ถูกลบออก และไม่มีกลุ่มความปลอดภัย
    • ผู้ใช้ที่ถูกลบจะถูกเพิ่มไปยังกลุ่มรักษาความปลอดภัยในโดเมนทั้งหมดในฟอเรสต์หลังจากที่มี transitioned ฟอเรสต์กับระดับการทำงานฟอเรสต์ Windows Server 2003
  12. กำหนดกลุ่มความปลอดภัยที่ผู้ใช้ที่ถูกลบได้สาธารณ และเพิ่มเข้าไปยังกลุ่มเหล่านั้น

    หมายเหตุ:ก่อนที่คุณสามารถเพิ่มผู้ใช้ไปยังกลุ่ม ผู้ใช้ต้องมีการจำลองแบบรับรองความถูกคุณต้องการคืนค่าในขั้นตอนที่ 7 และที่จำลองคุณขาออกแบบแบบในขั้นที่ 11 ตัวควบคุมโดเมนในโดเมนของตัวควบคุมโดเมนที่อ้างอิง และตัวทั้งหมดในแค็ตตาล็อกส่วนกลางควบคุมโดเมนในฟอเรสต์

    ถ้าคุณปรับใช้โปรแกรมอรรถประโยชน์เตรียมกลุ่มเพื่อ re-populate สมาชิกสำหรับกลุ่มความปลอดภัย ใช้โปรแกรมอรรถประโยชน์ที่ตอนนี้เพื่อคืนค่าผู้ใช้ที่ถูกลบไปยังกลุ่มรักษาความปลอดภัยที่เดิมสาธารณก่อนที่จะถูกลบออก ทำเช่นนี้ทั้งหมดหลังจากตัวควบคุมโดเมนโดยตรง และ transitive ในโดเมนในฟอเรสต์ และการจำลองเซิร์ฟเวอร์แค็ตตาล็อกส่วนกลางได้ขาเข้าแบบผู้ใช้ได้คืนค่าการรับรองความถูกต้องและคอนเทนเนอร์ที่คืนค่าใด ๆ

    การทำหากคุณไม่มีโปรแกรมอรรถประโยชน์เช่น เครื่องมือบรรทัดคำสั่ง Ldifde.exe และ Groupadd.exe บรรทัดคำสั่ง เครื่องมือสามารถให้งานนี้ให้คุณเมื่อกำลังเรียกใช้บนตัวควบคุมโดเมนการกู้คืน เครื่องมือเหล่านี้พร้อมใช้งานจากผลิตภัณฑ์ Microsoft ฝ่ายบริการสนับสนุน ในสถานการณ์สมมตินี้ Ldifde.exe สร้างแฟ้มข้อมูลการ LDAP ข้อมูล Interchange รูปแบบ (LDIF) ที่ประกอบด้วยชื่อของบัญชีผู้ใช้และกลุ่มการรักษาความปลอดภัย เริ่มต้นที่เป็นคอนเทนเนอร์ OU ที่ระบุผู้ดูแล อ่าน Groupadd.exe แล้วนี้memberOfแอตทริบิวต์สำหรับแต่ละบัญชีผู้ใช้ที่แสดงอยู่ในแฟ้ม.ldf และจากนั้น สร้างแยกต่างหาก และเฉพาะข้อมูล LDIF สำหรับแต่ละโดเมนในฟอเรสต์ This LDIF information contains the names of the security groups that the deleted users have to be added back to so that their group memberships can be restored. Follow these steps for this phase of the recovery.
    1. เข้าสู่ระบบคอนโซลการกู้คืนข้อมูลโดเมนคอนโทรลเลอร์ของ โดยใช้บัญชีผู้ใช้ที่เป็นสมาชิกของกลุ่มรักษาความปลอดภัยของผู้ดูแลโดเมน
    2. ใช้แบบLdifdeคำสั่งที่จะถ่ายโอนข้อมูลชื่อของบัญชีผู้ใช้ที่ถูกลบ formerly และของตนเองmemberOfแอตทริบิวต์ เริ่มต้นในคอนเทนเนอร์ OU topmost ที่เกิดขึ้นในการลบ กระบวนการLdifdeคำสั่งใช้ไวยากรณ์ต่อไปนี้:
      ldifde ว-<dn path="" of="" container="" that="" hosts="" deleted="" users=""></dn>-r "(objectClass=user) " -l memberof -p ทรีย่อย -f user_membership_after_restore.ldf
      การใช้ไวยากรณ์ต่อไปนี้หากมีลบบัญชีคอมพิวเตอร์ถูกเพิ่มไปยังกลุ่มรักษาความปลอดภัย:
      ldifde ว-<dn path="" of="" container="" that="" hosts="" deleted="" users=""></dn>-r "(objectClass=computer) " -l memberof -p ทรีย่อย -f computer_membership_after_restore.ldf
    3. เรียกใช้การGroupaddคำสั่งเพื่อสร้างแฟ้ม.ldf เพิ่มเติมที่ประกอบด้วยชื่อของโดเมนและชื่อของกลุ่มรักษาความปลอดภัยส่วนกลาง และหลากหลายที่ผู้ใช้ที่ถูกลบได้เป็นสมาชิกของ คำสั่ง Groupadd ใช้ไวยากรณ์ต่อไปนี้:
      Groupadd /after_restoreusers_membership_after_restore.ldf
      ทำซ้ำคำสั่งนี้ถ้ามีลบบัญชีถูกเพิ่มไปยังกลุ่มรักษาความปลอดภัยของคอมพิวเตอร์
    4. การนำเข้าแต่ละ Groupadd_fully.qualified.domainname.ldf แฟ้มที่คุณสร้างในขั้นตอนที่ 12 c ในตัวควบคุมโดเมนแค็ตตาล็อกส่วนกลางที่เดียวที่สอดคล้องกับแฟ้ม.ldf ของแต่ละโดเมน ใช้ Ldifde ไวยากรณ์ต่อไปนี้:
      Ldifde –i –k –f Groupadd_<fully.qualified.domain.name></fully.qualified.domain.name>.ldf
      เรียกใช้แฟ้ม.ldf สำหรับโดเมนที่ผู้ใช้ที่ถูกลบออกจากตัวควบคุมโดเมนใด ๆ ยกเว้นตัวควบคุมโดเมนการกู้คืน
    5. ในคอนโซลของแต่ละตัวควบคุมโดเมนที่ใช้เพื่อนำเข้าแบบ Groupadd_<fully.qualified.domain.name></fully.qualified.domain.name>.ldf แฟ้มสำหรับโดเมนเฉพาะ ขาออก-replicate เพิ่มสมาชิกกลุ่ม เพื่อตัวที่อื่นควบคุมโดเมนในโดเมน และตัวควบคุมโดเมนแค็ตตาล็อกส่วนกลางในฟอเรสต์ โดยใช้คำสั่งต่อไปนี้:
      repadmin /syncall /d /e /P<recovery dc=""> <naming context=""></naming></recovery>
  13. เมื่อต้องการปิดใช้งานการจำลองแบบขาออก พิมพ์ข้อความต่อไปนี้ และกด enter:
    repadmin /options + DISABLE_OUTBOUND_REPL
    หมายเหตุ:เมื่อต้องการเปิดใช้งานการจำลองแบบขาออก พิมพ์ข้อความต่อไปนี้ และกด enter:
    repadmin /options - DISABLE_OUTBOUND_REPL
  14. ถ้ามีเพิ่มผู้ใช้ที่ถูกลบไปยังกลุ่มโลคัลในโดเมนภายนอก ทำอย่างใดอย่างหนึ่งต่อไปนี้:
    • เพิ่มผู้ใช้ที่ถูกลบกลับไปยังกลุ่มดังกล่าวด้วยตนเอง
    • การเรียกคืนสถานะระบบ และการรับรองความถูกต้องคืนค่าแต่ละกลุ่มความปลอดภัยเฉพาะที่ประกอบด้วยผู้ใช้ที่ถูกลบ
  15. ตรวจสอบสมาชิกกลุ่ม ในโดเมนของควบคุมโดเมนกู้คืน และ ในแค็ตตาล็อกส่วนกลางในโดเมนอื่น
  16. ตรวจสอบสถานะของระบบใหม่สำรองข้อมูลของตัวควบคุมโดเมนในโดเมนของควบคุมโดเมนกู้คืน
  17. แจ้งให้ผู้ดูแลของฟอเรสต์ ผู้ดูแลระบบ delegated ช่วยให้ผู้ดูแลระบบโต๊ะทำงานในฟอเรสต์ และผู้ใช้ในโดเมนที่กู้คืนข้อมูลผู้ใช้ให้เสร็จสมบูรณ์แล้ว

    ผู้ดูแลโต๊ะทำงานของความช่วยเหลืออาจมีการรีเซ็ตรหัสผ่านของบัญชีผู้ใช้ที่มีการรับรองความถูกต้องคืนค่าและบัญชีคอมพิวเตอร์ที่มีรหัสผ่านโดเมนที่เปลี่ยนแปลงไปหลังจากที่ทำการคืนค่าระบบ

    ผู้ใช้เปลี่ยนรหัสผ่านของตนเองหลังจากที่ทำการสำรองข้อมูลสถานะระบบจะค้นหาทำให้รหัสผ่านล่าสุดอีกงาน มีผู้ใช้เช่นความพยายามที่เข้าสู่ระบบ โดยใช้รหัสผ่านก่อนหน้าถ้าพวกเขาทราบ มิฉะนั้น ความช่วยเหลือโต๊ะผู้ดูแลระบบต้องรีเซ็ตรหัสผ่าน และเลือกนั้นผู้ใช้ต้องเปลี่ยนรหัสผ่านเมื่อเข้าสู่ระบบถัดไปกล่องกาเครื่องหมาย preferably บนตัวควบคุมโดเมนใน Active Directory ไซต์เดียวกันเป็นผู้ใช้ที่อยู่ใน

วิธีที่ 3: Authoritatively คืนผู้ใช้ที่ถูกลบและกลุ่มการรักษาความปลอดภัยของผู้ใช้ที่ถูกลบสองครั้ง

เมื่อคุณใช้วิธีนี้ คุณทำตามขั้นตอนพื้นฐานที่ต่อไปนี้:
  1. ตรวจสอบดูว่า แค็ตตาล็อกส่วนกลางในโดเมนของผู้ใช้ที่มีการจำลองแบบไม่ในการลบ และป้องกันไม่ให้ตัวควบคุมโดเมนนั้นจากขาเข้า-replicating การลบแล้ว ถ้าไม่มีแค็ตตาล็อกส่วนกลาง latent ค้นหาข้อมูลสถานะระบบสำรองล่าสุดของตัวควบคุมโดเมนของแค็ตตาล็อกส่วนกลางในโดเมนที่บ้านของผู้ใช้ที่ถูกลบ
  2. authoritatively คืนค่าบัญชีผู้ใช้ที่ถูกลบทั้งหมดและกลุ่มการรักษาความปลอดภัยทั้งหมดในโดเมนของผู้ใช้ที่ถูกลบ
  3. รอสำหรับการจำลองแบบจุดสิ้นสุดการจบ ของผู้ใช้'การคืนค่า และกลุ่มการรักษาความปลอดภัย กับตัวควบคุมโดเมนทั้งหมดในโดเมนของผู้ใช้ที่ถูกลบ และตัวควบคุมโดเมนของแค็ตตาล็อกส่วนกลางของฟอเรสต์
  4. ทำซ้ำขั้นตอนที่ 2 และ 3 เพื่อ authoritatively ผู้ใช้การคืนค่าที่ถูกลบออกและกลุ่มการรักษาความปลอดภัย (คุณคืนค่าสถานะระบบเพียงครั้งเดียว)
  5. หากผู้ใช้ที่ถูกลบ สมาชิกของกลุ่มรักษาความปลอดภัยในโดเมนอื่น authoritatively คืนกลุ่มความปลอดภัยทั้งหมดที่ผู้ใช้ที่ถูกลบ สมาชิกของในโดเมนเหล่านั้น Or, if system state backups are current, authoritatively restore all the security groups in those domains.
To satisfy the requirement that deleted group members must be restored before security groups to fix up group membership links, you restore both object types two times in this method. The first restoration puts all the user accounts and group accounts in place, and the second restoration restores deleted groups and repairs the group membership information, including membership information for nested groups.

To use method 3, follow this procedure:
  1. Check to see whether a global catalog domain controller exists in the deleted users home domain and has not replicated in any part of the deletion.

    หมายเหตุ:Focus on global catalogs in the domain that has the least frequent replication schedules. If these domain controllers exist, use the Repadmin.exe command-line tool to immediately disable inbound replication. โดยให้ทำตามขั้นตอนต่อไปนี้::
    1. คลิกเริ่มการทำงานแล้ว คลิกเรียกใช้.
    2. ประเภท:คำสั่งในการOPENกล่อง แล้วคลิกตกลง.
    3. ประเภท:repadmin /options<recovery dc="" name=""></recovery>+ disable_inbound_replat the command prompt, and then press ENTER.

      หมายเหตุ:If you cannot issue the Repadmin command immediately, remove all network connectivity from the domain controller until you can use Repadmin to disable inbound replication, and then immediately return network connectivity.
    ตัวควบคุมโดเมนนี้จะถูกเรียกว่าตัวควบคุมโดเมนการกู้คืน
  2. Avoid making additions, deletions, and changes to the following items until all the recovery steps have been completed. Changes include password resets by domain users, help desk administrators, and administrators in the domain where the deletion occurred, in addition to group membership changes in the deleted users' groups.
    1. บัญชีผู้ใช้และคุณลักษณะบนบัญชีผู้ใช้
    2. บัญชีคอมพิวเตอร์และแอตทริบิวต์ในบัญชีคอมพิวเตอร์
    3. บัญชีบริการ
    4. กลุ่มความปลอดภัย

      หมายเหตุ:Especially avoid changes to group membership for users, computers, groups, and service accounts in the forest where the deletion occurred.
    5. Notify all the forest administrators, the delegated administrators, and the help desk administrators in the forest of the temporary stand-down.
    This stand-down is required in method 2 because you are authoritatively restoring all the deleted users' security groups. Therefore, any changes that are made to groups after the date of system state backup are lost.
  3. สร้างสำเนาสำรองสถานะระบบใหม่ในโดเมนที่เกิดขึ้นในการลบ คุณสามารถใช้การสำรองข้อมูลนี้ถ้าคุณต้องการย้อนกลับการเปลี่ยนแปลงของคุณ

    หมายเหตุ:If your system state backups are current up to the time that the deletion occurred, skip this step and go to step 4.

    If you identified a recovery domain controller in step 1, back up its system state now.

    If all the global catalogs that are located in the domain where the deletion occurred replicated the deletion, back up the system state of a global catalog in the domain where the deletion occurred.

    When you create a backup, you can return the recovery domain controller back to its current state and perform your recovery plan again if your first try is not successful.
  4. ถ้าคุณไม่พบตัวควบคุมโดเมน latent การแค็ตตาล็อกส่วนกลางในโดเมนที่เกิดขึ้นในการลบผู้ใช้ ค้นหาข้อมูลสถานะระบบสำรองล่าสุดของตัวควบคุมโดเมนของแค็ตตาล็อกส่วนกลางในโดเมนนั้น การสำรองข้อมูลสถานะระบบนี้ควรประกอบด้วยวัตถุที่ถูกลบ ใช้ตัวควบคุมโดเมนนี้เป็นตัวควบคุมโดเมนการกู้คืน

    เฉพาะฐานข้อมูลของตัวควบคุมโดเมนแค็ตตาล็อกส่วนกลางในโดเมนของผู้ใช้ที่ประกอบด้วยข้อมูลเป็นสมาชิกของกลุ่มสำหรับโดเมนภายนอกในฟอเรสต์ ถ้าไม่มีสำเนาสำรองสถานะระบบของตัวควบคุมโดเมนแค็ตตาล็อกส่วนกลางในโดเมนที่ผู้ใช้ที่ได้ถูกลบออก คุณไม่สามารถใช้การmemberOfแอตทริบิวต์ในบัญชีผู้ใช้ที่คืนค่า การตรวจสอบการเป็นสมาชิกของกลุ่มสากล หรือ universal หรือกู้คืนเป็นสมาชิกในโดเมนภายนอก ให้ไปที่ขั้นตอนถัดไป ถ้าไม่มีเร็กคอร์ภายนอกของสมาชิกของกลุ่มในโดเมนภายนอก เพิ่มผู้ใช้'การคืนค่าไปยังกลุ่มรักษาความปลอดภัยในโดเมนเหล่านั้นหลังจากที่บัญชีผู้ใช้ได้รับการคืนค่า
  5. ถ้าคุณทราบรหัสผ่านสำหรับบัญชีผู้ดูแลออฟไลน์ เริ่มต้นตัวควบคุมโดเมนการกู้คืนในโหมด Dsrepair ถ้าคุณไม่ทราบรหัสผ่านสำหรับบัญชีผู้ดูแลออฟไลน์ ตั้งค่าใหม่รหัสผ่านในขณะที่ตัวควบคุมโดเมนการกู้คืนจะยังคงอยู่ใน Active Directory ปกติโหมด

    คุณสามารถใช้ได้setpwdเครื่องมือบรรทัดคำสั่งเพื่อรีเซ็ตรหัสผ่านบนตัวควบคุมโดเมนที่กำลังเรียกใช้ Microsoft Windows 2000 Service Pack 2 (SP2) และในภายหลังขณะที่ อยู่ในโหมดออนไลน์ของ Active Directory

    หมายเหตุ:Microsoft ไม่สนับสนุน Windows 2000

    สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการเปลี่ยนรหัสผ่านของผู้ดูแลระบบคอนโซลการกู้คืน คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
    239803วิธีการเปลี่ยนรหัสผ่านผู้ดูแลระบบของ Recovery Console ในโดเมนคอนโทรลเลอร์
    ผู้ดูแลของตัวควบคุมโดเมน Windows Server 2003 สามารถใช้ได้รหัสผ่าน dsrm ชุดคำสั่งในการNtdsutilเครื่องมือบรรทัดคำสั่งเพื่อรีเซ็ตรหัสผ่านสำหรับบัญชีผู้ดูแลแบบออฟไลน์

    สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการตั้งค่าบัญชีผู้ดูแลของโหมดการคืนค่าบริการไดเรกทอรี คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
    322672วิธีการตั้งค่ารหัสการบริการไดเรกทอรีคืนค่าโหมดการดูแลบัญชีผ่านใน Windows Server 2003
  6. กดแป้น F8 ในระหว่างกระบวนการเริ่มต้นระบบเพื่อเริ่มการทำงานของตัวควบคุมโดเมนการกู้คืนใน mode.Log Dsrepair สู่คอนโซลของตัวควบคุมโดเมนการกู้คืนโดยใช้บัญชีผู้ดูแลแบบออฟไลน์ If you reset the password in step 5, use the new password.

    If the recovery domain controller is a latent global catalog domain controller, do not restore the system state. Go directly to step 7.

    If you are creating the recovery domain controller by using a system state backup, restore the most current system state backup that was made on the recovery domain controller that contains the deleted objects now.
  7. รับรองความถูกต้องคืนค่าบัญชีผู้ใช้ที่ถูกลบ บัญชีคอมพิวเตอร์ที่ถูกลบ หรือกลุ่มความปลอดภัยที่ถูกลบ

    หมายเหตุ:เงื่อนไขการคืนค่าการรับรองความถูกต้องและคืนค่าที่มีสิทธิ์โปรดดูกระบวนการที่ใช้นั้นคืนค่าที่มีสิทธิ์คำสั่งในการNtdsutilเครื่องมือบรรทัดคำสั่งเพื่อเพิ่มหมายเลขเวอร์ชัน ของวัตถุที่ระบุ หรือคอนเทนเนอร์ที่เจาะจงและออบเจ็กต์ที่รองทั้งหมดของตนเอง ทันทีที่จุดสิ้นสุดการจบการจำลองแบบเกิดขึ้น วัตถุเป็นเป้าหมายในการกู้คืนข้อมูลโดเมนคอนโทรลเลอร์ของสำเนาของ Active Directory จะมีสิทธิ์ในตัวควบคุมโดเมนทั้งหมดที่ใช้ร่วมกันพาร์ติชันนั้น การคืนค่าที่มีสิทธิ์จะแตกต่างจากการคืนค่าสถานะระบบ คืนค่าสถานะระบบ populates ของตัวควบคุมโดเมนที่คืนค่าสำเนาของไดเรกทอรีที่ใช้งานอยู่กับรุ่นของออปเจ็กต์ในขณะที่ทำการสำรองข้อมูลสถานะระบบ

    สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการรับรองความถูกต้องในการคืนค่าตัวควบคุมโดเมน คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
    241594วิธีการดำเนินการคืนค่าที่มีสิทธิ์ไปยังตัวควบคุมโดเมนใน Windows 2000


    restorations ที่มีสิทธิ์ดำเนินการกับNtdsutilcommand-line tool by referencing the domain name (dn) path of the deleted users or of the containers that host the deleted users.

    เมื่อคืนคุณรับรองความถูกต้องค่า พาธชื่อ (dn) ใช้โดเมนที่เป็นต่ำในทรีของโดเมน ตามที่พวกเขาจะต้องการ หลีกเลี่ยงการกำลังย้อนกลับภาย วัตถุที่ไม่เกี่ยวข้องกับการลบ วัตถุเหล่านี้อาจรวมถึงวัตถุที่ถูกปรับเปลี่ยนหลังจากที่ทำการสำรองข้อมูลสถานะระบบ

    การคืนค่าการรับรองความถูกต้องลบผู้ใช้ในลำดับต่อไปนี้:
    1. Auth restore the domain name (dn) path for each deleted user account, computer account, or deleted security group.

      Authoritative restorations of specific objects take longer but are less destructive than authoritative restorations of a whole subtree. Auth restore the lowest common parent container that holds the deleted objects.

      Ntdsutilใช้ไวยากรณ์ต่อไปนี้:
      ntdsutil "การคืนค่าที่มีสิทธิ์" "คืนค่าวัตถุ<object dn="" path=""></object>"q q
      ตัวอย่างเช่น การรับรองความถูกต้องคืนค่าผู้ใช้ที่ถูกลบJohnDoeในการMayberryOU ของContoso.comโดเมน ใช้คำสั่งต่อไปนี้:
      ntdsutil "การคืนค่าที่มีสิทธิ์" "การคืนค่าวัตถุ cn = JohnDoe, ou = Mayberry, dc = contoso, dc = com " q q
      เมื่อต้องการการรับรองความถูกต้องคืนค่ากลุ่มการรักษาความปลอดภัยที่ถูกลบContosoPrintAccessในการMayberryOU ของContoso.comโดเมน ใช้คำสั่งต่อไปนี้:
      ntdsutil "การคืนค่าที่มีสิทธิ์" "การคืนค่าวัตถุ cn = ContosoPrintAccess, ou = Mayberry, dc = contoso, dc = com " q q


      สิ่งสำคัญจำเป็นต้องมีการใช้ใบเสนอราคา

      By using this Ntdsutil format, you can also automate the authoritative restoration of many objects in a batch file or a script.
      หมายเหตุ:ไวยากรณ์นี้ไม่พร้อมใช้งานเฉพาะใน Windows Server 2003 The only syntax in Windows 2000 is to use: ntdsutil "authoritative restore" "restore subtreeเส้นทางของวัตถุ DN".
    2. รับรองความถูกต้องคืนค่าเฉพาะใน ou ชื่อหรือชื่อทั่วไป (CN) คอนเทนเนอร์ที่โฮสต์บัญชีผู้ใช้ที่ถูกลบหรือกลุ่ม

      restorations ที่มีสิทธิ์ของทรีย่อยทั้งหมดที่ถูกต้องเมื่อ OU ที่อยู่สำหรับโดยNtdsutil Authoritative restoreคำสั่งประกอบด้วยส่วนใหญ่ overwhelming ออปเจ็กต์ที่คุณกำลังพยายามที่จะคืนค่าการรับรองความถูกต้อง ideally, OU ที่เป็นเป้าหมายประกอบด้วยออปเจ็กต์ทั้งหมดที่คุณกำลังพยายามที่จะคืนค่าการรับรองความถูกต้อง

      An authoritative restore on an OU subtree restores all the attributes and objects that reside in the container. Any changes that were made up to the time that a system state backup is restored are rolled back to their values at the time of the backup. With user accounts, computer accounts, and security groups, this rollback may mean the loss of the most recent changes to passwords, to the home directory, to the profile path, to location and to contact info, to group membership, and to any security descriptors that are defined on those objects and attributes.

      Ntdsutilใช้ไวยากรณ์ต่อไปนี้:
      ลำดับชั้น ntdsutil "การคืนค่าที่มีสิทธิ์" "คืนค่าย่อย<container dn="" path=""></container>"q q
      ตัวอย่างเช่น การคืนค่าการรับรองความถูกต้องการMayberryOU ของContoso.comโดเมน ใช้คำสั่งต่อไปนี้:
      ntdsutil "authoritative restore" "restore subtree ou=Mayberry,dc=contoso,dc=com" q q
    หมายเหตุ:ทำซ้ำขั้นตอนนี้สำหรับแต่ละเพียร์ ou ชื่อผู้ใช้ของโฮสต์ที่ถูกลบหรือกลุ่มนั้น

    สิ่งสำคัญWhen you restore a subordinate object of an OU, all the parent containers of the deleted subordinate objects must be explicitly auth restored.
  8. การเริ่มระบบใหม่ของตัวควบคุมโดเมนการกู้คืนในปกติโหมด Active Directory
  9. Outbound-replicate the authoritatively restored objects from the recovery domain controller to the domain controllers in the domain and in the forest.

    While inbound replication to the recovery domain controller remains disabled, type the following command to push the authoritatively restored objects to all the cross-site replica domain controllers in the domain and to global catalogs in the forest:
    repadmin /syncall /d /e /P<recovery dc=""> <naming context=""></naming></recovery>
    หลังจากตัวควบคุมโดเมนโดยตรง และ transitive ทั้งหมดในฟอเรสต์ของโดเมนและแค็ตตาล็อกส่วนกลางเซิร์ฟเวอร์มีการจำลองแบบ ในผู้ใช้'การคืนค่า authoritatively และเป็นที่คืนค่าคอนเทนเนอร์ ไปที่ขั้นตอนที่ 11

    ถ้าคำชี้แจงทั้งหมดที่ต่อไปนี้เป็นจริง การเชื่อมโยงเป็นสมาชิกของกลุ่มจะ rebuilt กับการคืนค่าของบัญชีผู้ใช้ที่ถูกลบ ไปที่ขั้นตอนที่ 13
    • Your forest is running at the Windows Server 2003 forest functional level or at the Windows Server 2003 interim forest functional level.
    • Only security groups were not deleted.
    • All the deleted users were added to all the security groups in all the domains in the forest.
    Consider using the Repadmin command to accelerate the outbound replication of users from the restored domain controller.

    If groups were also deleted, or if you cannot guarantee that all the deleted users were added to all the security groups after the transition to the Windows Server 2003 interim or forest functional level, go to step 12.
  10. Repeat steps 7, 8, and 9 without restoring the system state, and then go to step 11.
  11. ถ้ามีเพิ่มผู้ใช้ที่ถูกลบไปยังกลุ่มโลคัลในโดเมนภายนอก ทำอย่างใดอย่างหนึ่งต่อไปนี้:
    • เพิ่มผู้ใช้ที่ถูกลบกลับไปยังกลุ่มดังกล่าวด้วยตนเอง
    • การเรียกคืนสถานะระบบ และการรับรองความถูกต้องคืนค่าแต่ละกลุ่มความปลอดภัยเฉพาะที่ประกอบด้วยผู้ใช้ที่ถูกลบ
  12. ตรวจสอบสมาชิกกลุ่ม ในโดเมนของควบคุมโดเมนกู้คืน และ ในแค็ตตาล็อกส่วนกลางในโดเมนอื่น
  13. Use the following command to enable inbound replication to the recovery domain controller:
    repadmin /optionsrecovery dc name-DISABLE_INBOUND_REPL
  14. Make a new system state backup of domain controllers in the recovery domain controller's domain and global catalogs in other domains in the forest.
  15. Notify all the forest administrators, the delegated administrators, the help desk administrators in the forest, and the users in the domain that the user restore is complete.

    Help desk administrators may have to reset the passwords of auth restored user accounts and computer accounts whose domain password changed after the restored system was made.

    ผู้ใช้เปลี่ยนรหัสผ่านของตนเองหลังจากที่ทำการสำรองข้อมูลสถานะระบบจะค้นหาทำให้รหัสผ่านล่าสุดอีกงาน มีผู้ใช้เช่นความพยายามที่เข้าสู่ระบบ โดยใช้รหัสผ่านก่อนหน้าถ้าพวกเขาทราบ Otherwise, help desk administrators must reset the password with theผู้ใช้ต้องเปลี่ยนรหัสผ่านเมื่อเข้าสู่ระบบถัดไปcheck box checked, preferably on a domain controller in the same Active Directory site as the user is located in.

How to recover deleted users on a Windows Server 2003 domain controller when you do not have a valid system state backup

If you lack current system state backups in a domain where user accounts or security groups were deleted, and the deletion occurred in domains that contain Windows Server 2003 domain controllers, follow these steps to manually reanimate deleted objects from the deleted objects container:
  1. Follow the steps in the "How to manually undelete objects in the deleted objects container" section to reanimate deleted users, computers, groups, or all of these.
  2. Use Active Directory Users and Computers to change the account from disabled to enabled. (The account appears in the original OU.)
  3. Use the bulk reset features in the Windows Server 2003 version of Active Directory Users and Computers to perform bulk resets on the "password must change at next logon" policy setting, on the home directory, on the profile path, and on group membership for the deleted account as required. You can also use a programmatic equivalent of these features.
  4. If Microsoft Exchange 2000 or later was used, repair the Exchange mailbox for the deleted user.
  5. If Exchange 2000 or later was used, reassociate the deleted user with the Exchange mailbox.
  6. Verify that the recovered user can log on and access local directories, shared directories, and files.
You can automate some or all of these recovery steps by using the following methods:
  • Write a script that automates the manual recovery steps that are listed in step 1. When you write such a script, consider scoping the deleted object by date, time, and last known parent container, and then automating the reanimation of the deleted object. To automate the reanimation, change theisDeletedattribute from TRUE to FALSE, and change the relative distinguished name to the value that is defined either in thelastKnownParentattribute or in a new OU or common name (CN) container that is specified by the administrator. (The relative distinguished name is also known as the RDN.)
  • Obtain a non-Microsoft program that supports the reanimation of deleted objects on Windows Server 2003 domain controllers. One such utility is AdRestore. AdRestore uses the Windows Server 2003 undelete primitives to undelete objects individually. Aelita Software Corporation and Commvault Systems also offer products that support undelete functionality on Windows Server 2003-based domain controllers.

    To obtain AdRestore, visit the following Web site:
    http://technet.microsoft.com/en-us/sysinternals/bb963906.aspx
Microsoft จะให้ข้อมูลติดต่อของบริษัทอื่น เพื่อช่วยให้คุณสามารถขอรับการสนับสนุนทางเทคนิคได้ ข้อมูลติดต่อนี้อาจเปลี่ยนแปลงโดยไม่ต้องแจ้งให้ทราบล่วงหน้า Microsoft ไม่รับประกันความถูกต้องของข้อมูลการติดต่อกับบริษัทอื่นๆ เหล่านี้

How to manually undelete objects in a deleted object's container

To manually undelete objects in a deleted object's container, follow these steps:
  1. คลิกเริ่มการทำงานคลิกเรียกใช้จากนั้น พิมพ์Ldp.exe.

    หมายเหตุ:If the Ldp utility is not installed, install the support tools from the Windows Server 2003 installation CD.
  2. ใช้แบบเชื่อมต่อmenu in Ldp to perform the connect operations and the bind operations to a Windows Server 2003 domain controller.

    Specify domain administrator credentials during the bind operation.
  3. ในการตัวเลือกเมนู คลิกตัวควบคุม.
  4. ในการLoad Predefinedรายการ คลิกReturn Deleted Objects.

    หมายเหตุ:กระบวนการ1.2.840.113556.1.4.417control moves to theActive Controlsหน้าต่าง
  5. ภายใต้Control Typeคลิกเซิร์ฟเวอร์:และคลิกตกลง.
  6. ในการมุมมองเมนู คลิกแผนภูมิ, type the distinguished name path of the deleted objects container in the domain where the deletion occurred, and then clickตกลง.

    หมายเหตุ:The distinguished name path is also known as the DN path. For example, if the deletion occurred in the contoso.com domain, the DN path would be the following path:
    cn=deleted Objects,dc=contoso,dc=com
  7. In the left pane of the window, double click theDeleted Object Container.

    หมายเหตุ:As a search result of Idap query, only 1000 objects are returned by default. Fot example, if more than 1000 objects exist in the Deleted Objects container, not all objects appear in this container. If your target object does not appear, usentdsutil, and then set the maximum number by usingmaxpagesizeto get the search results .
  8. Double-click the object that you want to undelete or to reanimate.
  9. Right-click the object that you want to reanimate, and then click Modify.

    Change the value for theisDeletedattribute and the DN path in a single Lightweight Directory Access Protocol (LDAP) modify operation. การกำหนดค่านี้ปรับเปลี่ยนdialog, follow these steps:
    1. ในการEdit Entry Attributeกล่อง ชนิดisDeleted.

      ปล่อยให้ค่าbox blank.
    2. คลิกการลบoption button, and then clickป้อนto make the first of two entries in theEntry Listdialog.

      สิ่งสำคัญDo not clickเรียกใช้.
    3. ในการAttributeกล่อง ชนิดdistinguishedName.
    4. ในการValuesbox, type the new DN path of the reanimated object.

      For example, to reanimate the JohnDoe user account to the Mayberry OU, use the following DN path:
      cn=JohnDoe, ou =Mayberry, dc =contoso, dc =com
      หมายเหตุ:ถ้าคุณต้องการ reanimate วัตถุที่ถูกลบไปยังคอนเทนเนอร์ของต้นฉบับ ผนวกค่าของของวัตถุถูกลบlastKnownParentคุณลักษณะของค่า CN และวางเส้นทางแบบเต็มของ DN ในนั้นค่าต่างๆ:กล่อง
    5. ในการการดำเนินการกล่อง คลิกREPLACE.
    6. คลิกป้อน.
    7. คลิกเพื่อเลือกนั้นแบบซิงโครนัสกล่องกาเครื่องหมาย
    8. คลิกเพื่อเลือกนั้นขยายกล่องกาเครื่องหมาย
    9. คลิกเรียกใช้.
  10. หลังจากที่คุณ reanimate ออปเจ็กต์ คลิกตัวควบคุมในการตัวเลือกเมนู คลิกการเช็คเอาท์ปุ่มการเอาออก (1.2.840.113556.1.4.417) จากนั้นการควบคุมการใช้งานอยู่กล่องรายการ
  11. รีเซ็ตรหัสผ่านของบัญชีผู้ใช้ โพรไฟล์ ไดเรกทอรีภายในบ้าน และสมาชิกของกลุ่มผู้ใช้ที่ถูกลบ

    เมื่อวัตถุถูกลบออกไป ค่าแอตทริบิวต์ทั้งหมดยกเว้นsid,ObjectGUID,LastKnownParentและSAMAccountNameถูก stripped
  12. การเปิดใช้งานบัญชีผู้ใช้ของไดเรกทอรีที่ใช้งานอยู่และคอมพิวเตอร์ reanimated

    หมายเหตุ:วัตถุ reanimated มี SID หลักที่เหมือนกัน ตามที่มันได้ก่อนที่จะลบ แต่วัตถุต้องเพิ่มอีกครั้งไปยังกลุ่มรักษาความปลอดภัยเดียวกันเพื่อให้ระดับการเข้าถึงทรัพยากรเดียวกัน ไม่มีรักษา Windows Server 2003 รุ่นแรกSIDHistoryแอตทริบิวต์ในบัญชีผู้ใช้ reanimated บัญชีคอมพิวเตอร์ และกลุ่มความปลอดภัย Windows Server 2003 Service Pack 1 มีการเก็บไว้SIDHistoryแอตทริบิวต์บนวัตถุที่ถูกลบ
  13. ลบแอตทริบิวต์ของ Microsoft Exchange และการเชื่อมต่อผู้ใช้ไปยังกล่องจดหมายของ Exchange

    หมายเหตุ:มีสนับสนุน reanimation ของวัตถุที่ถูกลบเมื่อการลบการเกิดขึ้นในตัวควบคุมโดเมน Windows Server 2003 ไม่สนับสนุน reanimation ของวัตถุที่ถูกลบเมื่อการลบการเกิดขึ้นในตัวควบคุมโดเมน Windows 2000 ที่มีในภายหลังได้มีการปรับรุ่นเป็น Windows Server 2003

    หมายเหตุ:หากมีการลบในตัวควบคุมโดเมน Windows 2000 ในโดเมน การlastParentOfแอตทริบิวต์ไม่ได้ถูกบรรจุตัวควบคุมโดเมน Windows Server 2003

วิธีการตรวจสอบเมื่อใด และที่เกิดการลบ

เมื่อมีลบผู้ใช้เนื่องจากการลบที่เป็นกลุ่ม คุณอาจต้องการเรียนรู้ที่เริ่มต้นของการลบ โดยให้ทำตามขั้นตอนต่อไปนี้:
  1. ถ้ามีการตรวจสอบได้ถูกกำหนดอย่างถูกต้องค่าการติดตามการลบ ของคอนเทนเนอร์หน่วยองค์กร (OU) หรือวัตถุรอง ใช้โปรแกรมอรรถประโยชน์ที่ค้นหาล็อกเหตุการณ์การรักษาความปลอดภัยของตัวควบคุมโดเมนในโดเมนที่เกิดขึ้นในการลบ One such utility that searches event logs on a scoped set of domain controllers is the EventCombMT utility. EventCombMT is part of the Windows Server 2003 Resource Kit Tools tool set.

    For more information about how to obtain the Windows Server 2003 Resource Kit Tools tools set, visit the following Microsoft Web page:
    http://technet.microsoft.com/en-us/windowsserver/bb693323.aspx
  2. Follow steps 1 to 7 in the "How to manually undelete objects in a deleted object's container" section to locate deleted security principals. If a tree was deleted, follow these steps to locate a parent container of the deleted object.
  3. Copy the value of theobjectGUIDattribute to the Windows clipboard.

    You can paste this value when you enter the Repadmin command in step 4.
  4. พิมพ์คำสั่งต่อไปนี้:
    repadmin /showmeta GUID=objectGUID>FQDN>
    For example, if the objectGUID of the deleted object or container is 791273b2-eba7-4285-a117-aa804ea76e95 and the fully qualified domain name (FQDN) is dc.contoso.com, type the following command:
    repadmin /showmeta GUID=791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com
    The syntax of this command must include the GUID of the deleted object or container and the FQDN of the server that you want to source from.
  5. In the Repadmin command output, find the originating date, time and domain controller for theisDeletedแอตทริบิวต์ For example, information for theisDeletedattribute appears in the fifth line of the following sample output:
    Loc.USN  Originating DC                  Org.USN  Org.Time/Date       Ver  Attribute
    -----------------------------------------------------------------------------------------------
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  objectClass
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  ou
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  instanceType
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  whenCreated
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   1  isDeleted
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  nTSecurityDescriptor
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  name
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   1  lastKnownParent
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  objectCategory
  6. If the name of the originating domain controller in the second column of the output appears as a 32-character alpha-numeric GUID, use the Ping command to resolve the GUID to the IP address and the name of the domain controller that originated the deletion. The Ping command uses the following syntax:
    ping –a<originating dc="" guid=""></originating>._msdomain controllers.<fully qualified="" path="" for="" forest="" root=""></fully>>
    หมายเหตุ:The "-a" option is case sensitive. Use the fully qualified domain name of the forest root domain regardless of the domain that the originating domain controller resides in.

    For example, if the originating domain controller resided in any domain in the Contoso.com forest and had a GUID of 644eb7e7-1566-4f29-a778-4b487637564b, type the following command:
    ping –a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com
    The output returned by this command is similar to the following:
    Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:
    
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
  7. View the security log of the domain controller that originated the deletion on or about the time that was indicated in the output of the Repadmin command in step 5.

    Give consideration to time skews and time zone changes between the computers that were used to arrive at this point. If delete auditing is enabled for OU containers or for the deleted objects, pay attention to the relevant audit events. If auditing is not enabled, pay attention to users who had the permissions to delete OU containers or the subordinate objects in them, and that also had authenticated against the originating domain controller in the time before the deletion.

How to minimize the impact of bulk deletions in the future

The keys to minimizing the impact of the bulk deletion of users, of computers, and of security groups are to make sure that you have up-to-date system state backups, to tightly control access to privileged user accounts, to tightly control what those accounts can do, and finally, to practice recovery from bulk deletions.

System state changes occur every day. These changes may include password resets on user accounts and on computer accounts in addition to group membership changes and other attribute changes on user accounts, on computer accounts, and on security groups. If your hardware fails, your software fails, or your site experiences another disaster, you will want to restore the backups that were made after each significant set of changes in each Active Directory domain and site in the forest. If you do not maintain current backups, you may lose data or may have to roll back restored objects.

Microsoft recommends that you take the following steps to prevent bulk deletions:
  1. Do not share the password for the built-in administrator accounts or permit common administrative user accounts to be shared. If the password for the built-in administrator account is known, change the password and define an internal process that discourages its use. Audit events for shared user accounts make it impossible to determine the identity of the user who is making changes in Active Directory. Therefore, the use of shared user accounts must be discouraged.
  2. It is very rare that user accounts, computer accounts, and security groups are intentionally deleted. This is especially true of tree deletions. Disassociate the ability of service and delegated administrators to delete these objects from the ability to create and to manage user accounts, computer accounts, security groups, OU containers, and their attributes. Grant only the most privileged user accounts or security groups the right to perform tree deletes. These privileged user accounts may include enterprise administrators.
  3. Grant delegated administrators access only to the class of object that those administrators are permitted to manage. For example, it is better if a help desk administrator whose primary job is to modify properties on user accounts does not have permissions to create and to delete computer accounts, security groups, or OU containers. This restriction also applies to delete permissions for the administrators of other specific object classes.
  4. Experiment with audit settings to track delete operations in a lab domain. After you are comfortable with the results, apply your best solution to the production domain.
  5. wholesale ควบคุมการเข้าถึงและตรวจสอบการเปลี่ยนแปลงบนคอนเทนเนอร์ที่โฮสต์ tens ของพันของออบเจ็กต์สามารถทำให้ฐานข้อมูล Active Directory ที่ขยาย มากโดยเฉพาะอย่างยิ่งในโดเมน Windows 2000 ใช้โดเมนทดสอบที่ mirrors โดเมนการผลิตการประเมินการเปลี่ยนแปลงที่อาจเกิดขึ้นเมื่อต้องการพื้นที่ว่างบนดิสก์ ตรวจสอบไดรฟ์ของไดรฟ์ฮาร์ดดิสก์ที่โฮสต์แฟ้ม Ntds.dit และไฟล์บันทึกของตัวควบคุมโดเมนในโดเมนผลิตฟรี ดิสก์ว่าง หลีกเลี่ยงการตั้งค่าควบคุมการเข้าถึง และการตรวจสอบการเปลี่ยนแปลงบนศีรษะคอนโทรลเลอร์ของเครือข่ายโดเมน ทำการเปลี่ยนแปลงเหล่านี้จะ needlessly ใช้กับวัตถุทั้งหมดที่อยู่ของคลาสที่ทั้งหมดในคอนเทนเนอร์ทั้งหมดในพาร์ติชัน ตัวอย่างเช่น หลีกเลี่ยงการเปลี่ยนแปลงระบบชื่อโดเมน (DNS) และการเชื่อมโยงแบบกระจายการติดตาม (DLT) การลงทะเบียนที่เรกคอร์ดในแบบ CN =โฟลเดอร์ระบบของพาร์ติชันของโดเมน
  6. ใช้โครงสร้าง OU วิธีปฏิบัติการดีที่สุดในการแยกบัญชีผู้ใช้ บัญชีคอมพิวเตอร์ กลุ่มความปลอดภัย และบัญชีบริการในองค์กรของตนเอง เมื่อคุณใช้โครงสร้างเป็น คุณสามารถใช้รายการการควบคุมการเข้าถึง discretionary (DACLs) ไปยังวัตถุของคลาสที่เดียวสำหรับการดูแล delegated และคุณให้เป็นไปได้สำหรับวัตถุการกู้คืนตามคลาสของวัตถุว่ามีการกู้คืน โครงสร้าง OU วิธีปฏิบัติการดีที่สุดจะกล่าวถึงในส่วน "สร้างข้อองค์กรหน่วยออก" ของการที่ดีที่สุดวิธี Active Directory ออกสำหรับการจัดการเครือข่ายของ Windowsไวท์เปเปอร์: การขอรับเอกสารทางเทคนิคนี้ แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
    http://technet.microsoft.com/en-us/library/Bb727085.aspx
  7. การลบขนาดใหญ่การทดสอบในสภาพแวดล้อมอาชีพที่ mirrors โดเมนในการผลิตของคุณ เลือกวิธีการกู้คืนข้อมูลที่ทำให้ควรคุณ และกำหนดกับองค์กรของคุณ คุณอาจต้องระบุต่อไปนี้:
    • ชื่อของตัวควบคุมโดเมนในแต่ละโดเมนที่อยู่เป็นประจำสำรอง
    • ที่เก็บรูปสำรอง

      ideally รูปภาพเหล่านี้ถูกเก็บไว้บนฮาร์ดดิสก์เพิ่มเติมที่อยู่ภายในแค็ตตาล็อกส่วนกลางในแต่ละโดเมนในฟอเรสต์
    • สมาชิกที่องค์กรโต๊ะทำงานของความช่วยเหลือการติดต่อ
    • วิธีที่ดีที่สุดเพื่อให้ผู้ติดต่อนั้น
  8. การลบที่เป็นกลุ่ม ของบัญชีผู้ใช้ บัญชีคอมพิวเตอร์ และกลุ่มการรักษาความปลอดภัยที่ Microsoft เห็นส่วนใหญ่ได้โดยไม่ตั้งใจ กล่าวถึงสถานการณ์สมมตินี้กับพนักงาน IT ของคุณ และพัฒนาแผนการดำเนินการภายใน At first, focus on early detection and on returning functionality to your domain users and to your business as quickly as possible. You can also take steps to prevent accidental bulk deletions from occurring by editing the access control lists (ACLs) of organizational units. For more information about how to use Windows interface tools to prevent accidental bulk deletions, visit the following Microsoft Web site to view "Guarding Against Accidental Bulk Deletions in Active Directory":
    http://technet.microsoft.com/en-us/library/cc773347(WS.10).aspx
    For more information about how to prevent accidental bulk deletions by using Dsacls.exe at the command line or by using a script, visit the following Microsoft Web site to view " Script to Protect Organizational Units (OUs) from Accidental Deletion":
    http://go.microsoft.com/fwlink/?LinkId=162623

Tools and scripts that may help you recover from bulk deletions

The Groupadd.exe command-line utility reads thememberOfattribute on a collection of users in an OU and builds an .ldf file that adds each restored user account to the security groups in each domain in the forest.

Groupadd.exe automatically discovers the domains and security groups that deleted users were members of and adds them back to those groups. This process is explained in more detail in step 11 of method 1.

Groupadd.exe runs on the following domain controllers:
  • Windows Server 2003 domain controllers
  • Windows 2000 domain controllers that have the .NET 1.1 framework installed
Groupadd.exe uses the following syntax:
groupadd /after_restoreldf_file[/before_restoreldf_file]
Here,ldf_filerepresents the name of the .ldf file to be used with the previous argument,after_restorerepresents the user file data source, andbefore_restorerepresents the user data from the production environment. (The user file data source is the good user data.)

To obtain Groupadd.exe, contact Microsoft Product Support Services.

ผลิตภัณฑ์ของบุคคลที่สามที่กล่าวถึงในบทความนี้ ผลิตขึ้นโดยบริษัทที่ไม่ขึ้นอยู่กับ Microsoft Microsoft makes no warranty, implied or otherwise, about the performance or reliability of these products.

ข้อมูลอ้างอิง

For more information about how to restore an object that contains extended characters, click the following article numbers to view the articles in the Microsoft Knowledge Base:
886689The Ntdsutil authoritative restore operation is not successful if the distinguished name path contains extended characters in Windows Server 2003 and in Windows 2000
หากต้องการทราบข้อมูลเพิ่มเติม โปรดคลิกที่หมายเลขบทความต่อไปนี้เพื่อดูบทความใน Microsoft Knowledge Base::
824684คำอธิบายของคำศัพท์มาตรฐานที่ใช้เพื่ออธิบายปรับปรุงซอฟต์แวร์ของ Microsoft
910823Error message when you try to import .ldf files on a computer that is running Windows Server 2003 with Service Pack 1: "Add error on line LineNumber: No such object"
937855After you restore deleted objects by performing an authoritative restoration on a Windows Server 2003-based domain controller, the linked attributes of some objects are not replicated to the other domain controllers

For more information on how to use the AD Recycle Bin feature included in Windows Server 2008 R2, please reference the Active Directory Recycle Bin Step-by-Step Guide available from this Microsoft Web site:http://technet.microsoft.com/en-us/library/dd392261(WS.10).aspx

คุณสมบัติ

หมายเลขบทความ (Article ID): 840001 - รีวิวครั้งสุดท้าย: 11 กันยายน 2554 - Revision: 4.0
ใช้กับ
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
Keywords: 
kbhowto kbwinservds kbactivedirectory kbmt KB840001 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:840001

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com