Відновлення видалених облікові запис А бізнес-партнера користувачів та їх група членство в служба Active Directory

Переклади статей Переклади статей
Номер статті: 840001 - Показ продуктів, яких стосується ця стаття.
Розгорнути все | Згорнути все

На цій сторінці

Підсумки

Ви можете використовувати три методи відновлення видалених облікові запис А бізнес-партнера користувачів, облікові запис А бізнес-партнера комп'ютера та група безпеки. Ці об'єкти відомі як учасники безпеки. В усі три методи ви авторитетне відновити видалені об'єкти, і потім ви відновити група членство інформації для видалених безпеки принципи. Під Вільний час відновлення видаленого об'єкта, слід відновити колишній значень член і член атрибутів у постраждалих безпеки основної. Три методи є:
  • Спосіб 1: Відновлення видалених облікові а потім додати відновлені користувачів назад до своїх груп за допомогою програми Ntdsutil. exe інструмент командний рядок (Microsoft Windows Server 2003 з пакетом оновлень 1 [SP1] тільки)
  • Метод 2: Відновлення видалених облікові а потім додати відновлені користувачів назад до своїх груп
  • Спосіб 3: Авторитетне відновлення видалених облікові запис А бізнес-партнера і Віддалені користувачі група безпеки в два рази
Примітка: Цю статтю не охоплює подробиці в AD кошика функція включена в Windows Server 2008 R2; будь ласка вивчити в розділі посилання для більш докладної інформації про цю функцію.

Методи 1 і 2 надати кращий досвід для користувачів і адміністраторів, тому що вони зберегти доповнення до група безпеки, які були зроблені між Вільний час останнього стану системи резервного копіювання та Вільний час видалення сталася. У 3, замість методу внесення окремих змін до учасники безпеки відновити безпеки членство в групах своєї держави під Вільний час останнього резервного копіювання.

Якщо вас немає припустимий архівувати стану системи, домен, де сталася видалення містить контролерів домену під керуванням Windows Server 2003, можна вручну або програмним способом відновити видалені об'єкти. Також можна використовувати утиліту Repadmin, визначити, де і коли користувач було видалено.

Найбільш в широкомасштабної видалень є випадковим. корпорація Майкрософт рекомендує, що ви берете кілька кроків, щоб заборонити іншим користувачам видалення об'єктів навалом.

Примітка Для запобігання випадкового видалення або переміщення об'єктів (особливо організаційних підрозділів), два відмовити елементів (ACEs) можна додавати до кожного об'єкта (ВІДМОВИТИ "DELETE" & "Видалити дерево"), дескриптор безпеки і один заборонити доступ елементи керування доступом (ACE) можуть бути додані до батьківського кожного об'єкта (ВІДМОВИТИ "Видалити дитини"), дескриптор безпеки. Для цього в сервер Windows 2000 та Windows Server 2003 за допомогою служба Active Directory - користувачі й комп'ютери, ADSIEdit, LDP або DSACLS інструмент командний рядок. Також можна змінити параметри дозволів за промовчанням оголошення схеми для організаційних підрозділів так, що ці тузи включений за промовчанням.

Наприклад, для захисту підрозділу організації, який називається користувачів у домені оголошення, що називається CONTOSO.COM випадково переміщено або видалено з її батьком організаційного підрозділу, який називається MyCompany, зробити наступні конфігурації:

Для MyCompany організаційного підрозділу додати ЗАПЕРЕЧУВАТИ ACE для Кожен Щоб ВИДАЛИТИ ДИТИНИ з на Лише цей об'єкт Сфера:
DSACLS "OU = MyCompany, DC = CONTOSO, DC = COM" параметр "кожен: DC"

Для користувачів організаційного підрозділу додати ЗАПЕРЕЧУВАТИ ACE для Кожен Щоб ВИДАЛИТИ і видалити дерево з на Лише цей об'єкт Сфера:
DSACLS "OU = користувачів, OU = MyCompany, DC = CONTOSO, DC = COM" параметр "кожен: SDDT"

служба Active Directory - користувачі й комп'ютери оснастка в Windows Server 2008 входять до Захист від випадкового видалення об'єкта прапорець на на Об'єкт Вкладка.

Примітка На Додаткові можливості Щоб переглянути цю вкладку потрібно увімкнути прапорець.

Під Вільний час створення організаційного підрозділу за допомогою служба Active Directory - користувачі й комп'ютери в Windows Server 2008, в Захист від випадкового видалення контейнер з'явиться прапорець. За промовчанням прапорець установлено і можуть бути зняті.

Хоча ви можете налаштувати кожен об'єкт у служба Active Directory за допомогою цих тузи, це найкраще підходить для організаційних підрозділів. Видалення або за всі листя об'єкти можуть мати великий вплив. Ця конфігурація не дозволяє такі видалення та рухів. Дійсно видалити або перемістити об'єкт за допомогою такої конфігурації, тузи заперечувати необхідно видалити першу.

Додаткові відомості

У цій статті обговорюється відновлення користувача облікові запис А бізнес-партнера, комп'ютері облікові запис А бізнес-партнера і їх група членство після того, як вони були видалено з служба Active Directory. У варіацій цього сценарію, облікові запис А бізнес-партнера користувачів комп’ютер-зразок облікових записів або груп безпеки видалено окремо або в Деякі комбінації. У всіх цих випадках, застосувати однакові початкові кроки - ви авторитетне відновлення або відновити authтих об'єктів, які було випадково видалено. Деякі видалено об'єкти вимагає більше роботи для відновлення. Ці об'єкти включають об'єкти, такі як облікові запис А бізнес-партнера користувачів, що містять атрибути, які є зворотні посилання атрибути Інші об'єкти. Два з цих атрибутів є managedBy і член.

Під Вільний час запит на додавання безпеки принципи, як користувач обліковий запис А комп'ютера, групу безпеки або облікового запису для група безпеки, ви зробити такі зміни в Active Directory:
  1. Ім'я безпеки основної додається до кожної група безпеки, атрибуту члена .
  2. Для кожного безпеки групи, які користувач, комп’ютер-зразок, або на група безпеки є членом, зворотне посилання буде додано до принципал безпеки член , атрибуту.
Аналогічним чином, коли користувач, комп’ютер-зразок або групи буде видалено з служба Active Directory, відбуваються такі дії:
  1. Учасник видалених безпеки переїхав на видалений контейнер об'єктів.
  2. Кількість значення атрибутів, атрибуту член , в тому числі позбавлений від видалених безпеки основної суми.
  3. Учасники видалених безпеки будуть видалені з будь-якого безпеки груп, що вони є членом. Іншими словами, видалені безпеки принципи видаляються з кожної група безпеки член атрибута.
Коли ви відновити видалені учасники безпеки та відновлення їх членство в групах, ключовим моментом, щоб пам'ятати, що кожний принципал безпеки має існувати в служба Active Directory, перед поверненням до його складу групи. (На член може бути користувач, комп’ютер-зразок або іншої група безпеки.) Щоб викласти це правило, об'єкт, що містить атрибути, значення якого є назад посилання має існувати в служба Active Directory до об'єкта, який містить що Переслати посилання можна відновити або зміни.

Хоча ця стаття Основна увага приділяється як відновлення видалених облікові запис А бізнес-партнера користувачів та їх членство в група безпеки, його концепції однаково стосуються інших виключені об'єкта. Це статті концепції однаково стосуються видалені об'єкти, атрибуту цінності сценарій виконання Переслати посилання і зворотні посилання до інших об'єктів у служба Active Directory.

Ви можна скористатися перевагою одним із трьох способів для відновлення учасники безпеки. Коли ви скористайтеся способом 1, залишити на місці всі безпеки принципи, які були додані до будь-якого група безпеки через ліс і ви додати тільки учасники безпеки, були видалені з їх відповідних областей назад до своїх груп безпеки. Для приклад, ви зробити резервного копіювання стану системи, додавати користувачів до група безпеки і відновити попередній стан резервного копіювання стану системи. Під Вільний час сценарій виконання методів 1 або 2, ви зберегти Користувачі, які були додані до група безпеки, які містять видалено користувачів між дати, які було створено резервного копіювання стану системи і дати що архівувати було відновлено. Коли ви використовуєте метод 3, ви відкотити безпеки членство в групах для всіх безпеки групи, які містять видалено користувачів до своєї держави в регіоні під Вільний час резервного копіювання стану системи було зроблено.

Спосіб 1: Відновлення видалених облікові а потім додати відновлені користувачів назад до своїх груп за допомогою програми Ntdsutil. exe інструмент командний рядок (Microsoft Windows Server 2003 з пакетом оновлень 1 [SP1] тільки)

Примітка Цей метод діє лише на контролерах домену, які працюють Windows Server 2003 з пакетом оновлень 1. Якщо не була встановлена Windows Server 2003 SP1 на контролерах домену, які використовуються для відновлення скористайтеся способом 2.

У Windows Server 2003 SP1, функціональності був доданий до Ntdsutil інструмент командний рядок, щоб допомогти адміністратори більше легко відновити зворотні посилання з Віддалені об'єкти. Два файли створюються для кожного основного відновлення операцію. Один файл містить список авторитетне відновлені об'єктів. На Інші файл — це файл .ldf, який використовується з Утиліта LDIFDE. exe. Цей файл використовується для відновлення зворотних посилань для об'єктів, які є авторитетне відновлено. У Windows Server 2003 SP1, авторитетна відновлення користувача об'єкт також генерує LDIF файли з членство в групах. Цей метод дозволяє уникнути на подвійний відновлення.

Під Вільний час сценарій виконання цього методу, ви виконувати такі високого рівня кроки:
  1. Перевірте, якщо глобального каталогу користувача домену має не було репліковано до видалення а потім запобігання цього глобального каталогу, з тиражування. Якщо немає не прихована глобального каталогу, знайдіть найбільш поточного резервного копіювання стану системи контролера домену глобального каталогу видалені користувачем, у Головна домену.
  2. Auth відновити всіх облікових записів користувачів видалені і потім дозвіл кінець в кінець реплікації ці облікові запис А бізнес-партнера користувачів.
  3. Додати всі відновлені користувачів до всіх груп у всіх домени, які облікові запис А бізнес-партнера користувачів були члени, перш ніж вони були видалено.
Щоб використати спосіб 1, виконайте такі дії:
  1. Перевірте, чи є глобальний каталог домену контролер у Віддалені користувачі домашньої домен, який не виконав реплікацію будь-якої частини з видалення.

    Примітка Фокус на глобальних каталогів, які є найменш частих розклади реплікації.

    Якщо один або більше з цих глобальних каталогів існує, використовувати Вхідне інструмент командний рядок Repadmin негайно вимкнути реплікації. Для цього виконайте такі дії:
    1. Натисніть кнопку Початиа потім натисніть кнопку Запустити.
    2. Тип Cmd у регіоні Відкрити поле а потім натисніть кнопку Гаразд.
    3. Введіть таку команду в командному рядку, і натисніть клавішу ENTER:
      Repadmin /options <recovery dc="" name=""></recovery> + DISABLE_INBOUND_REPL
      ПриміткаЯкщо не вдається випуск Repadmin команда негайно, видалити всі підключення до мережі з прихована глобального каталогу, поки ви можете використовувати Repadmin Щоб вимкнути вхідну реплікацію а потім негайно повернути мережі підключення.
    Цей контролер домену буде іменуватися як відновлення контролер домену. Якщо немає не такого глобального каталогу, перейдіть до кроку 2.
  2. Це краще, щоб зупинити, внесення змін до група безпеки у регіоні Ліс, якщо виконуються всі наступні заяви:
    • Ви використовуєте метод 1 для автентифікації користувачів відновлення видалених або облікові запис А бізнес-партнера комп'ютера на їхньому шляху відмітне ім'я (dn).
    • Видалення було репліковано на домен контролери в лісі, за винятком прихована відновлення домену контролер.
    • Ти не auth відновлення група безпеки або їх Контейнери з батьків.
    Якщо ви auth відновлення безпеки груп або організаційних підрозділу (OU) контейнери, які приймають група безпеки або облікові запис А бізнес-партнера користувачів, тимчасово зупинити всі ці зміни.

    Оповіщення адміністраторів і служба підтримки Адміністратори у відповідних областей на додаток до користувачів домену в регіоні домен де видалення відбулося близько зупинити ці зміни.
  3. Створити новий резервного копіювання стану системи в домені де на Видалення відбулося. Цієї резервної копії можна використовувати, якщо у вас є відкотити ваш зміни.

    Примітка Якщо резервні копії стану системи, поточні до точки на видалення, пропустити цей крок і перейти до кроку 4.

    Якщо ви визначили з відновлення контролера домену на кроці 1, резервного копіювання стану системи зараз.

    Якщо всі глобальні каталоги, розташований в домені, де сталася видалення було репліковано до видалення, архівувати стану системи глобального каталогу в регіоні домен де сталася видалення.

    Під Вільний час створення резервної копії, ви можете повернути відновлення контролера домену до його поточному стані і виконання ваш відновлення план поверху знову, якщо ваші перші спроби не є успішним.
  4. Якщо ви не можете знайти приховані глобального каталогу домену контролер домену, де сталася видалення користувача, знайти номер у резервного копіювання стану системи контролера домену глобального каталогу в цьому домені. Це резервного копіювання стану системи повинна містити видалені об'єкти. Використовувати цей домен контролер як контролер домену відновлення.

    Тільки реставрація з на глобальний каталог контролери домену в домені користувача містять глобальної і універсальна група членство інформації для група безпеки, що містяться в зовнішні домени. Якщо немає системи архівувати стану глобального каталогу домену контролер домену, де користувачі були видалені, неможливо використовувати член атрибут на облікових відновили визначити глобальні або універсальна група членство або відновити членство у зовнішніх доменів. Крім того, це гарна ідея, щоб знайти номер у системі держави архівувати контролер домену-глобального каталогу.
  5. Якщо ви знаєте адміністратор паролів в автономному режимі рахунку, почати відновлення контролера домену в Dsrepair режимі. Якщо ви не знати пароль для облікового запису адміністратора в автономному режимі, скидання пароля під Вільний час відновлення контролера домену ще нормальний служба Active Directory режим.

    Скинути пароль на контролерах домену за допомогою засобу командний рядок setpwd що запущено Microsoft Windows 2000 з пакетом оновлень 2 (SP2) і пізній Вільний час вони в режимі онлайн служба Active Directory.

    Примітка Microsoft вже не підтримує Windows 2000.

    Для отримання додаткової інформації про змінення пароля адміністратора консолі відновлення, натисніть кнопку нижче номер статті для перегляду статті в базі знань Microsoft Knowledge Base:
    239803Змінення пароля адміністратора консолі відновлення на контролері домену
    Адміністратори домену Windows Server 2003 контролери можна скористатися перевагою командою встановити dsrm пароль у Ntdsutil інструмент командний рядок для скидання пароля для автономної обліковий запис А комп'ютера адміністратора.

    Для отримання додаткових відомостей про те, як скинути на Адміністратор режим відновлення служби каталогів, натисніть кнопку наступне номер статті для перегляду статті в базі знань Microsoft Knowledge Base:
    322672Як скинути пароль облікового запису адміністратора режимі відновлення служби каталогів у Windows Server 2003
  6. Натисніть клавішу F8 під Вільний час запуску почати відновлення контролер домену в Dsrepair режимі. увійти до консолі відновлення контролер домену з обліковим записом адміністратора в автономному режимі. Якщо ви скинути на пароль на кроці 5, використовуйте новий пароль.

    Якщо домен відновлення контролер є контролером домену прихована глобального каталогу, не відновити в система стеження за станом. Перейдіть до кроку 7.

    Якщо ви створюєте відновлення домену контролера за допомогою резервного копіювання стану системи відновлення найбільш поточної системи стан резервного копіювання це було зроблено на контролері домену відновлення зараз.
  7. Auth відновлення видалених облікові, видалений комп'ютері облікові запис А бізнес-партнера, або групи видалених безпеки.

    Примітка Умови відновлення auth і авторитетна відновлення зверніться до процес сценарій виконання авторитетних відновлення команда командний рядок засобу Ntdsutil Збільшення конкретних, номери версій об'єкти або конкретні контейнерів і їх підлеглих об'єктів. Як тільки кінець в кінець реплікації відбувається, цільових об'єктів у відновлення домену локальну копію контролера служба Active Directory стати авторитетний на всіх на Контролери домену, які поділяють розділу. Авторитетний відновлення відрізняється від відновлення стану системи. Відновлення стану системи заповнює локальну копію служба Active Directory з контролера домену відновлені на версії об'єкти під Вільний час резервного копіювання стану системи було зробив.

    Для отримання додаткової інформації про auth відновлення контролера домену клацніть такий номер статті, щоб Переглянути статтю в базі знань Microsoft Knowledge Base:
    241594Як виконати авторитетний відновлення до контролера домену Windows 2000


    Авторитетний реставрація виконуються з Ntdsutil командний рядок інструмент і послатися на ім'я домену (dn) шлях до видалити користувачів або контейнерів, які приймають видалених користувачів.

    Коли Ви auth відновлення, сценарій виконання ім'я домену (dn) контури, низькою, в дереві доменів як вони повинні бути уникнути reverting об'єкти, які не пов'язані з видалення. Ці об'єкти можуть містити об'єкти, які були змінені після система держава архівування.

    Auth відновлення видалених користувачів в нижче замовлення:
    1. Auth ім'я домену (dn) шлях відновлення для кожного видалено обліковий запис А комп'ютера користувача, обліковий запис А комп'ютера комп'ютера або група безпеки.

      Авторитетний Реставрація конкретних об'єктів зайняти більше часу, але є менш руйнівними, ніж авторитетний реставрація весь піддерево. Auth відновити найнижчі загальноприйнята батьківського контейнера, який тримає видалені об'єкти.

      Ntdsutil використовує такий синтаксис:
      Ntdsutil "авторитетна відновлення" "Відновити об'єкт <object dn="" path=""></object>"q q
      Наприклад, щоб auth відновити видалені користувачем JohnDoe у регіоні MayberryНу з на Contoso.com домен, використовуйте наступні команда:
      Ntdsutil "авторитетна відновлення" "Відновити об'єкт cn = JohnDoe, Ну = Mayberry, dc = contoso, dc = com" q q
      Щоб auth відновлення видалених безпеки групи ContosoPrintAccess у регіоні Mayberry Ну з на Contoso.com домен, використайте таку команду:
      Ntdsutil "авторитетна відновлення" "Відновити об'єкт cn = ContosoPrintAccess, Ну = Mayberry, dc = contoso, dc = com" q q


      Важливі сценарій виконання лапок необхідна.

      Для кожного користувача, які ви відновити, принаймні два файли створюються. Ці файли мають такі Формат:

      ar_РРРРММДД HHMMSS_objects.txt
      Цей файл містить список авторитетне відновлені об'єкти. Використовувати цей файл з командою ntdsutil authoritatative відновити "створити файл ldif від" в інший домен в ліс, де користувач був на членом локального домену груп.

      ar_РРРРММДД HHMMSS_links_usn.loc.ldf
      Якщо виконати відновлення auth на глобального каталогу, один з Ці файли створюється для кожного домену в лісі. Цей файл містить на сценарій, який можна використовувати з Утиліта LDIFDE. exe. Відновлює сценарій в зворотних посилань для відновлених об'єктів. У домашнього користувача домену, сценарій відновлює всі групи членство для відновлених користувачів. В усіх інших доменах у лісі, де користувач має членство у групах сценарій відновлює тільки Універсальний і Глобальна група членство. Сценарій не відновити будь-який домен локальна група членство. Ці членства не відстежується глобальної Каталог.
    2. Auth відновити лише контейнери OU або Common-ім'я (CN) що приймаючої видалених облікових записів користувачів або груп.

      Авторитетний Реставрація весь піддерево є дійсними, якщо OU, яка орієнтована командою ntdsutil "авторитетна відновлення" містить переважна більшість об'єктів, які Ви намагаєтеся auth відновлення. В ідеалі, цілеспрямовані OU містить все, що об'єкти, які ви намагаєтеся auth відновлення.

      Авторитетним відновлення на ОУ-піддерево відновлює всі атрибути та об'єкти, які проживати в контейнер. Будь-які зміни, внесені до часу, що є резервного копіювання стану системи будуть відновлені, які прокату назад до їх значень під Вільний час архівувати. Облікові запис А бізнес-партнера користувачів, облікові запис А бізнес-партнера комп'ютера і група безпеки це скасування установки може означати втрату Останні зміни до паролі на головну Каталог, щоб шлях профілю, розташування та контактні дані, щоб група членства і для будь-якого дескрипторів безпеки, які визначаються на об'єкти і атрибутів.

      Ntdsutil використовує такий синтаксис:
      Ntdsutil "авторитетна відновлення" "відновлення піддерево <container dn="" path=""></container>"q q
      Наприклад, щоб відновити auth на Mayberry Ну з на Contoso.com домен, використайте таку команду:
      Ntdsutil "авторитетна відновлення" "відновити піддерево ou = Mayberry, dc = contoso, dc = com" q q
    Примітка Повторіть цей крок для кожного рівний OU, на якому видалити користувачів або групи.

    Важливі Під Вільний час відновлення підпорядковані об'єкт на OU, всі видалений Батьківський контейнери видалених підпорядковані об'єктів повинні бути явно auth відновлено.

    Для кожного організаційного підрозділу, який ви відновити, принаймні два файли створюються. Ці файли мають такий формат:

    ar_РРРРММДД HHMMSS_objects.txt

    Цей файл містить список на авторитетне відновлення об'єктів. Використовувати цей файл з командою ntdsutil authoritatative відновити "створити файл ldif від" в інший домен в лісі, де на відновлені користувачі були членами групи з локального домену.

    Для отримання додаткової інформації відвідайте такий веб-сайт корпорації Майкрософт:
    http://technet2.Microsoft.com/WindowsServer/en/library/5ec3a3b1-c4b2-4c74-9d8a-61f7cb555f821033.mspx?mfr=True
    ar_РРРРММДД HHMMSS_links_usn.loc.ldf
    Цей файл містить сценарію, які можна використовувати з на Утиліта LDIFDE. exe. Сценарій відновлює зворотних посилань для відновлених об'єктів. У домашнього користувача домену сценарій відновлює всі групи членство для відновлені користувачів.
  8. Якщо видалені об'єкти були відновлені на відновлення домену контролер з-за відновлення стану системи, видалити всі мережні кабелі що забезпечує підключення до мережі на всі інші контролери домену, в регіоні ліс.
  9. Перезавантажте контролер домену відновлення у звичайному активний Режим каталогів.
  10. Введіть таку команду, щоб вимкнути вхідну реплікацію для відновлення контролера домену:
    Repadmin /options <recovery dc="" name=""></recovery> + DISABLE_INBOUND_REPL
    Увімкнення мережного підключення до контролера домену відновлення чиї стану системи було відновлено.
  11. Вихідне у-реплікації автентифікації, відновлюється об'єктів від на відновлення контролера домену на контролерах домену в домені і в регіоні ліс.

    Під Вільний час вхідну реплікацію контролеру домену відновлення залишається неактивним, введіть таку команду, щоб підштовхнути автентифікації, відновлюється об'єктів Усі міжвузлові репліки контролери домену в домені і всім на Глобальні каталоги в лісі:
    Repadmin /syncall /d /e /P <recovery dc=""> <Naming context=""></Naming></recovery>
    Якщо такі заяви є правдою, груповий членство посилання перебудований з відновлення і реплікації Віддалені користувачі облікові запис А бізнес-партнера. Перейдіть до кроку 14.

    Примітка Якщо один або кілька з перелічених тверджень не вірно, перейдіть до крок 12.
    • Ваш лісових працює на Windows Server 2003 Лісові функціонального рівня або у Windows Server 2003 тимчасового ліс функціональних рівень.
    • Облікові запис А бізнес-партнера користувачів або комп'ютері облікові запис А бізнес-партнера були видалені, і не груп безпеки.
    • Віддалені користувачі були додані до група безпеки у всіх домени лісу після ліс був перейшли до сервера Windows 2003 функціональним рівнем лісу.
  12. У консолі відновлення контролера домену, використовувати в Утиліта LDIFDE. exe і на ar_РРРРММДД HHMMSS_links_usn.loc.ldf файл відновити користувача членство в групах. Для цього виконайте такі дії:
    • Натисніть кнопку Почати, натисніть кнопку Запустити, тип Cmd у регіоні Відкрити поле а потім натисніть кнопку Гаразд.
    • У командному рядку введіть таку команду, і натисніть клавішу ENTER:
      LDIFDE -i -f-ar_РРРРММДД HHMMSS_links_usn.loc.ldf
    Імпорт LDIFDE може не спрацювати і може з'явитися таке протокол IMAP про помилку:
    Додати помилка в рядкуXXX>: Неприпустимий синтаксис Помилка сервера стороні є "параметр хибний."
    Якщо посилання, номер проблематично лінії.LDF файлу відноситься до одного з трьох посвідчення роумінгу атрибути, msPKIDPAPIMasterKeys, msPKIAccountCredentials або msPKIRoamingTimeStamp, перегляньте наступні статті бази знань Microsoft (КБ):
    2014074 Помилка "параметр хибний" спроби імпортування LDF файлу для авторитетний відновлення
    ПриміткаУ цій статті описано зміни, які необхідно імпортувати посилання LDF файлу.
  13. увімкнути вхідну реплікацію до відновлення домену контролер, використовуючи наступні команди:
    Repadmin /options <recovery dc="" name=""></recovery> -DISABLE_INBOUND_REPL
  14. Якщо Віддалені користувачі були додані до місцевих груп у зовнішній домени, виконайте одну з таких дій:
    • Додати вручну видалений користувачів до тих групи.
    • Відновлення стану системи та auth відновлення кожного з на групи місцевих безпеки, який містить видалених користувачів.
  15. Перевірте, чи група членство в відновлення контролера домену домен і в глобальних каталогів в інших областях.
  16. Створити архівувати контролери домену в новий система стеження за станом на відновлення на контролері домену домену.
  17. Сповіщати всіх лісу адміністратори, делегованих Адміністратори, допомогти бюро адміністратори в лісі і користувачі в домені відновити користувача буде завершено.

    Служба підтримки, адміністратори можуть мати Щоб скинути паролі автентифікації, відновлюється облікові запис А бізнес-партнера користувачів і облікові запис А бізнес-партнера комп'ютера чий пароль домену змінилася після того, як була відновлена система зробив.

    Користувачі, які змінили свої паролі після резервного копіювання стану системи було зроблено буде знайти, що їх Номер у пароль більше не працює. Є такий користувачі намагаються увійти за допомогою своїх попередніх паролів, якщо вони знають, що їх. В іншому випадку бюро адміністраторів довідку необхідно скинути пароль і виберіть наВимагати зміну пароля при наступному вході до системи прапорець, бажано на контролері домену в одному сайті служба Active Directory як користувач знаходиться в.

Метод 2: Відновлення видалених облікові а потім додати відновлені користувачів назад до своїх груп

Під Вільний час сценарій виконання цього методу, ви виконувати наступні високого рівня кроки:
  1. Перевірте, якщо глобального каталогу користувача домену має не було репліковано до видалення а потім запобігання цього глобального каталогу, з тиражування. Якщо немає не прихована глобального каталогу, знайдіть найбільш поточного резервного копіювання стану системи контролера домену глобального каталогу видалені користувачем, у Головна домену.
  2. Auth відновити всіх облікових записів користувачів видалені і потім дозвіл кінець в кінець реплікації ці облікові запис А бізнес-партнера користувачів.
  3. Додати всі відновлені користувачів до всіх груп у всіх домени, які облікові запис А бізнес-партнера користувачів були члени, перш ніж вони були видалено.
сценарій виконання методу 2, виконайте такі дії:
  1. Перевірте, чи є глобальний каталог домену контролер у Віддалені користувачі домашньої домен, який не виконав реплікацію будь-якої частини з видалення.

    Примітка Фокус на глобальних каталогів, які є найменш частих розклади реплікації.

    Якщо один або більше з цих глобальних каталогів існує, використовувати Вхідне інструмент командний рядок Repadmin негайно вимкнути реплікації. Для цього виконайте такі дії:
    1. Натисніть кнопку Початиа потім натисніть кнопку Запустити.
    2. Тип Cmd у регіоні Відкрити поле а потім натисніть кнопку Гаразд.
    3. Введіть таку команду в командному рядку, і натисніть клавішу ENTER:
      Repadmin /options <recovery dc="" name=""></recovery> + DISABLE_INBOUND_REPL
      ПриміткаЯкщо не вдається випуск Repadmin команда негайно, видалити всі підключення до мережі з прихована глобального каталогу, поки ви можете використовувати Repadmin Щоб вимкнути вхідну реплікацію а потім негайно повернути мережі підключення.
    Цей контролер домену буде іменуватися як відновлення контролер домену. Якщо немає не такого глобального каталогу, перейдіть до кроку 2.
  2. Вирішити, чи доповнення, видалення та зміни користувача облікові запис А бізнес-партнера, комп'ютері облікові запис А бізнес-партнера та група безпеки повинна бути тимчасово припинено поки всі відновлення кроки були завершені.

    Для підтримки найбільш гнучка відновлення шлях, тимчасово зупинити, внесення змін до таких елементів. Зміни включають скидання пароля користувачів домену, допомогти бюро адміністратори, і Адміністратори домену, де сталася видалення, на додаток до групи зміни членства у групах видалених користувачів. Розглянути питання про припинення доповнення, Видалення об'єктів і зміни до таких елементів:
    1. Облікові запис А бізнес-партнера користувачів і атрибутів на користувача облікові запис А бізнес-партнера
    2. Комп'ютері облікові запис А бізнес-партнера та атрибути на комп'ютері облікові запис А бізнес-партнера
    3. Обслуговування рахунків
    4. група безпеки
    Це краще, щоб зупинити, внесення змін до група безпеки у регіоні Ліс, якщо виконуються всі наступні заяви:
    • Ви використовуєте метод 2 для автентифікації користувачів відновлення видалених або облікові запис А бізнес-партнера комп'ютера на їхньому шляху ім'я домену (dn).
    • Видалення було репліковано на домен контролери в лісі, за винятком прихована відновлення домену контролер.
    • Ти не auth відновлення група безпеки або їх Контейнери з батьків.
    Якщо ви auth відновлення безпеки груп або організаційних підрозділу (OU) контейнери, які приймають група безпеки або облікові запис А бізнес-партнера користувачів, тимчасово зупинити всі ці зміни.

    Оповіщення адміністраторів і служба підтримки Адміністратори у відповідних областей на додаток до користувачів домену в регіоні домен де видалення відбулося близько зупинити ці зміни.
  3. Створити новий резервного копіювання стану системи в домені де на Видалення відбулося. Цієї резервної копії можна використовувати, якщо у вас є відкотити ваш зміни.

    Примітка Якщо резервні копії стану системи, поточні до точки на видалення, пропустити цей крок і перейти до кроку 4.

    Якщо ви визначили з відновлення контролера домену на кроці 1, резервного копіювання стану системи зараз.

    Якщо всі глобальні каталоги, розташований в домені, де сталася видалення було репліковано до видалення, архівувати стану системи глобального каталогу в регіоні домен де сталася видалення.

    Під Вільний час створення резервної копії, ви можете повернути відновлення контролера домену до його поточному стані і виконання ваш відновлення план поверху знову, якщо ваші перші спроби не є успішним.
  4. Якщо ви не можете знайти приховані глобального каталогу домену контролер домену, де сталася видалення користувача, знайти номер у резервного копіювання стану системи контролера домену глобального каталогу в цьому домені. Це резервного копіювання стану системи повинна містити видалені об'єкти. Використовувати цей домен контролер як контролер домену відновлення.

    Тільки реставрація з на глобальний каталог контролери домену в домені користувача містять глобальної і універсальна група членство інформації для група безпеки, що містяться в зовнішні домени. Якщо немає системи архівувати стану глобального каталогу домену контролер домену, де користувачі були видалені, неможливо використовувати член атрибут на облікових відновили визначити глобальні або універсальна група членство або відновити членство у зовнішніх доменів. Крім того, це гарна ідея, щоб знайти номер у системі держави архівувати контролер домену-глобального каталогу.
  5. Якщо ви знаєте адміністратор паролів в автономному режимі рахунку, почати відновлення контролера домену в Dsrepair режимі. Якщо ви не знати пароль для облікового запису адміністратора в автономному режимі, скидання пароля під Вільний час відновлення контролера домену ще нормальний служба Active Directory режим.

    Скинути пароль на контролерах домену за допомогою засобу командний рядок setpwd що запущено Microsoft Windows 2000 з пакетом оновлень 2 (SP2) і пізній Вільний час вони в режимі онлайн служба Active Directory.

    Примітка Microsoft вже не підтримує Windows 2000.

    Для отримання додаткової інформації про змінення пароля адміністратора консолі відновлення, натисніть кнопку нижче номер статті для перегляду статті в базі знань Microsoft Knowledge Base:
    239803Змінення пароля адміністратора консолі відновлення на контролері домену
    Адміністратори домену Windows Server 2003 контролери можна скористатися перевагою командою встановити dsrm пароль у Ntdsutil інструмент командний рядок для скидання пароля для автономної обліковий запис А комп'ютера адміністратора.

    Для отримання додаткових відомостей про те, як скинути на Адміністратор режим відновлення служби каталогів, натисніть кнопку наступне номер статті для перегляду статті в базі знань Microsoft Knowledge Base:
    322672Як скинути пароль облікового запису адміністратора режимі відновлення служби каталогів у Windows Server 2003
  6. Натисніть клавішу F8 під Вільний час запуску почати відновлення контролер домену в Dsrepair режимі. увійти до консолі відновлення контролер домену з обліковим записом адміністратора в автономному режимі. Якщо ви скинути на пароль на кроці 5, використовуйте новий пароль.

    Якщо домен відновлення контролер є контролером домену прихована глобального каталогу, не відновити в система стеження за станом. Перейдіть до кроку 7.

    Якщо ви створюєте відновлення домену контролера за допомогою резервного копіювання стану системи відновлення найбільш поточної системи стан резервного копіювання це було зроблено на контролері домену відновлення зараз.
  7. Auth відновлення видалених облікові, видалений комп'ютері облікові запис А бізнес-партнера, або групи видалених безпеки.

    Примітка Умови відновлення auth і авторитетна відновлення зверніться до процес сценарій виконання авторитетних відновлення команда командний рядок засобу Ntdsutil Збільшення конкретних, номери версій об'єкти або конкретні контейнерів і їх підлеглих об'єктів. Як тільки кінець в кінець реплікації відбувається, цільових об'єктів у відновлення домену локальну копію контролера служба Active Directory стати авторитетний на всіх на Контролери домену, які поділяють розділу. Авторитетний відновлення відрізняється від відновлення стану системи. Відновлення стану системи заповнює локальну копію служба Active Directory з контролера домену відновлені на версії об'єкти під Вільний час резервного копіювання стану системи було зробив.

    Для отримання додаткової інформації про auth відновлення контролера домену клацніть такий номер статті, щоб Переглянути статтю в базі знань Microsoft Knowledge Base:
    241594Як виконати авторитетний відновлення до контролера домену Windows 2000


    Авторитетний реставрація виконуються з Ntdsutil командний рядок інструмент і послатися на ім'я домену (dn) шлях до видалити користувачів або контейнерів, які приймають видалених користувачів.

    Коли Ви auth відновлення, сценарій виконання ім'я домену (dn) контури, низькою, в дереві доменів як вони повинні бути уникнути reverting об'єкти, які не пов'язані з видалення. Ці об'єкти можуть містити об'єкти, які були змінені після система держава архівування.

    Auth відновлення видалених користувачів в нижче замовлення:
    1. Auth ім'я домену (dn) шлях відновлення для кожного видалено обліковий запис А комп'ютера користувача, обліковий запис А комп'ютера комп'ютера або група безпеки.

      Авторитетний Реставрація конкретних об'єктів зайняти більше часу, але є менш руйнівними, ніж авторитетний реставрація весь піддерево. Auth відновити найнижчі загальноприйнята батьківського контейнера, який тримає видалені об'єкти.

      Ntdsutil використовує такий синтаксис:
      Ntdsutil "авторитетна відновлення" "Відновити об'єкт <object dn="" path=""></object>"q q
      Наприклад, щоб auth відновити видалені користувачем JohnDoe у регіоні MayberryНу з на Contoso.com домен, використовуйте наступні команда:
      Ntdsutil "авторитетна відновлення" "Відновити об'єкт cn = JohnDoe, Ну = Mayberry, dc = contoso, dc = com" q q
      Щоб auth відновлення видалених безпеки групи ContosoPrintAccess у регіоні Mayberry Ну з на Contoso.com домен, використайте таку команду:
      Ntdsutil "авторитетна відновлення" "Відновити об'єкт cn = ContosoPrintAccess, Ну = Mayberry, dc = contoso, dc = com" q q


      Важливі сценарій виконання лапок необхідна.

      ПриміткаЦей синтаксис доступна лише у Windows Server 2003. Тільки синтаксис у Windows 2000, щоб використовувати такі:
      Ntdsutil "авторитетна відновлення" "відновлення піддерево об'єкт DN шлях"
      Примітка Авторитетний відновлення Ntdsutil не є успішним якщо шлях до відмітне ім'я (DN) містить розширені символи чи пробіли. У замовлення для сценаріїв відновлення домогтися успіху, "Відновити об'єкт <DN path=""></DN>"команда повинна бути передана як один завершення рядка.
      Щоб вирішити цю проблему, упаковка DN, які містять розширені символи та пробіли з слеш двомісний--лапки побег послідовності. Ось приклад:
      Ntdsutil "авторитетна відновлення" "відновлення об'єкт \"CN=John Доу, Ну = Mayberry NC, DC = contoso, DC = com\" "q q

      ПриміткаКоманда має бути змінена далі, якщо DN з об'єктів буття відновлено містити коми. Див наступний приклад:
      Ntdsutil "авторитетна відновлення" "Відновити об'єкт \"CN=Doe\, Джон, Ну = Mayberry NC, DC = contoso, DC = com\ "" q q

      ПриміткаЯкщо об'єкти були відновлені з касети, позначені авторитетний і відновлення не працює належним чином, і тоді ж стрічки використовується для відновлення на NTDS база даних ще раз, USN Версія об'єктів для відновлення авторитетне повинні бути збільшені вище за промовчанням 100000 або на об'єкти не буде повторити з після другого відновлення. Синтаксис нижче необхідно скрипт на номер підвищеної версії вище, ніж 100000 (за промовчанням): Ntdsutil "авторитетна відновлення" "Відновити об'єкт \"CN=Doe\, Джон, Ну = Mayberry NC, DC = contoso, DC = com\ "verinc 150000\" "q q

      ПриміткаЯкщо сценарій запит для підтвердження на кожного об'єкта, який Відновлений, можна вимкнути підказок. Синтаксис, щоб вимкнути попередження є: "авторитетна відновлення" "спливаючі вікна від" Ntdsutil "відновлення об'єкта \"CN=John Доу, Ну = Mayberry NC, DC = contoso, DC = com\ "verinc 150000\" "q q
    2. Auth відновити лише контейнери OU або Common-ім'я (CN) що приймаючої видалених облікових записів користувачів або груп.

      Авторитетний Реставрація весь піддерево є дійсними, якщо OU, яка орієнтована командою ntdsutil "авторитетна відновлення" містить переважна більшість об'єктів, які Ви намагаєтеся auth відновлення. В ідеалі, цілеспрямовані OU містить все, що об'єкти, які ви намагаєтеся auth відновлення.

      Авторитетним відновлення на ОУ-піддерево відновлює всі атрибути та об'єкти, які проживати в контейнер. Будь-які зміни, внесені до часу, що є резервного копіювання стану системи будуть відновлені, які прокату назад до їх значень під Вільний час архівувати. Облікові запис А бізнес-партнера користувачів, облікові запис А бізнес-партнера комп'ютера і група безпеки це скасування установки може означати втрату Останні зміни до паролі на головну Каталог, щоб шлях профілю, розташування та контактні дані, щоб група членства і для будь-якого дескрипторів безпеки, які визначаються на об'єкти і атрибутів.

      Ntdsutil використовує такий синтаксис:
      Ntdsutil "авторитетна відновлення" "відновлення піддерево <container dn="" path=""></container>"q q
      Наприклад, щоб відновити auth на Mayberry Ну з на Contoso.com домен, використайте таку команду:
      Ntdsutil "авторитетна відновлення" "відновити піддерево ou = Mayberry, dc = contoso, dc = com" q q
    Примітка Повторіть цей крок для кожного рівний OU, на якому видалити користувачів або групи.

    Важливі Під Вільний час відновлення підпорядковані об'єкт на OU, всі видалений Батьківський контейнери видалених підпорядковані об'єктів повинні бути явно auth відновлено.
  8. Якщо видалені об'єкти були відновлені на відновлення домену контролер з-за відновлення стану системи, видалити всі мережні кабелі що забезпечує підключення до мережі на всі інші контролери домену, в регіоні ліс.
  9. Перезавантажте контролер домену відновлення у звичайному активний Режим каталогів.
  10. Введіть таку команду, щоб вимкнути вхідну реплікацію для відновлення контролера домену:
    Repadmin /options <recovery dc="" name=""></recovery> + DISABLE_INBOUND_REPL
    Увімкнення мережного підключення до контролера домену відновлення чиї стану системи було відновлено.
  11. Вихідне у-реплікації автентифікації, відновлюється об'єктів від на відновлення контролера домену на контролерах домену в домені і в регіоні ліс.

    Під Вільний час вхідну реплікацію контролеру домену відновлення залишається неактивним, введіть таку команду, щоб підштовхнути автентифікації, відновлюється об'єктів Усі міжвузлові репліки контролери домену в домені і всім на Глобальні каталоги в лісі:
    Repadmin /syncall /d /e /P <recovery dc=""> <Naming context=""></Naming></recovery>
    Якщо такі заяви є правдою, груповий членство посилання перебудований з відновлення і реплікації Віддалені користувачі облікові запис А бізнес-партнера. Перейдіть до кроку 14.

    Примітка Якщо один або кілька з перелічених тверджень не вірно, перейдіть до крок 12.
    • Ваш лісових працює на Windows Server 2003 Лісові функціонального рівня або у Windows Server 2003 тимчасового ліс функціональних рівень.
    • Облікові запис А бізнес-партнера користувачів або комп'ютері облікові запис А бізнес-партнера були видалені, і не груп безпеки.
    • Віддалені користувачі були додані до група безпеки у всіх домени лісу після ліс був перейшли до сервера Windows 2003 функціональним рівнем лісу.
  12. Визначити група безпеки, які були видалені користувачів членів і додати їх до цих груп.

    Примітка Перед тим як додавати користувачів до групи, користувачів які ви auth відновлений в кроці 7, і хто ви вихідне відтворена в кроці 11 повинні мати було репліковано на контролері кінцевого домену, контролери домену домен і всі глобального каталогу контролери домену в на ліс.

    Якщо ви були розгорнуті Група підготовки утиліта для Re-populate членства для група безпеки, відновити за допомогою цієї утиліти зараз користувачів до група безпеки, що вони були членами, перш ніж вони були видалені видалено. Це зробити після всіх контролери домену прямий і Транзитивне в регіоні Лісова домену і серверах глобального каталогу мати Вхідне відтворена в відновлено автентифікації користувачів і будь-який відновлені контейнерів.

    Якщо ви не мають такі утиліти, LDIFDE. exe інструмент командний рядок і на Groupadd.exe інструмент командний рядок можна автоматизувати цей для вас, коли вони запускаються на відновлення контролера домену. Ці інструменти доступні з продукт корпорації Майкрософт Допоміжні застосунок-служба. У цьому випадку LDIFDE. exe створює на LDAP обміну даними Формат (LDIF) відомості про файл, який містить імена облікових записів користувачів і їх група безпеки, починаючи з ОУ-контейнер, адміністратор визначає. Groupadd.exe потім читає для кожного облікового запису вказано у файлі .ldf, атрибуту член і потім створює окремий і унікальний LDIF інформації для кожного домену в регіоні ліс. Ця інформація LDIF містить імена груп безпеки, що Віддалені користувачі потрібно буде додати до, так що їх членство в групах можуть відновити. На цьому етапі відновлення, виконайте такі інтерактивні елементи.
    1. увійти до консолі відновлення контролера домену на використовуючи обліковий запис А комп'ютера користувача, який входить до складу домену адміністратора безпеки Група.
    2. Команда Ldifde для дампа імена облікових записів, раніше видалені користувачем та їх атрибутів член , починаючи з верхнього OU контейнер де на Видалення відбулося. Команда Ldifde використовує такий синтаксис:
      LDIFDE -d <dn path="" of="" container="" that="" hosts="" deleted="" users=""></dn> -r "(objectClass=user)" -l член -p піддерево -f user_membership_after_restore.ldf
      Використовуйте такий синтаксис, якщо видалено комп'ютері облікові запис А бізнес-партнера були додані до групи безпеки:
      LDIFDE -d <dn path="" of="" container="" that="" hosts="" deleted="" users=""></dn> -r "(objectClass=computer)" -l член -p піддерево -f computer_membership_after_restore.ldf
    3. Виконання команди Groupadd побудувати більше .ldf файлів, які містять імена домени та імена глобальних і універсальний безпеки груп, що видалений користувачі були членом. Команда "Groupadd" використовує такий синтаксис:
      Groupadd /after_restore users_membership_after_restore.ldf
      Повторити цю команду, якщо видалити облікові запис А бізнес-партнера були додані до комп'ютера група безпеки.
    4. Імпортування кожної Groupadd_fully.qualified.domainname.ldf файл створений на кроці 12 з контролером домену єдиного глобального каталогу, відповідає кожного домену .ldf файл. Використовуйте такий синтаксис Ldifde:
      LDIFDE я –k –f Groupadd_<fully.qualified.domain.name></fully.qualified.domain.name>.ldf
      Запустити файл .ldf для домену, який користувачі були видалені з на контролер домену, за винятком відновлення контролера домену.
    5. На консолі кожного контролера домену, який використовується Щоб імпортувати до Groupadd_<fully.qualified.domain.name></fully.qualified.domain.name>.ldf файл для певного домену, вихідне реплікації група членство доповнення на інші контролери домену в домені і в глобальний каталог домен контролери в лісі, використовуючи наступні команди:
      Repadmin /syncall /d /e /P <recovery dc=""> <Naming context=""></Naming></recovery>
  13. Щоб вимкнути вихідне реплікації, введіть такий текст, і натисніть клавішу ENTER:
    Repadmin /options + DISABLE_OUTBOUND_REPL
    Примітка Знову включити вихідне реплікації, введіть такий текст, і натисніть клавішу ENTER:
    Repadmin/параметри - DISABLE_OUTBOUND_REPL
  14. Якщо Віддалені користувачі були додані до місцевих груп у зовнішній домени, виконайте одну з таких дій:
    • Додати вручну видалений користувачів до тих групи.
    • Відновлення стану системи та auth відновлення кожного з на групи місцевих безпеки, який містить видалених користувачів.
  15. Перевірте, чи група членство в відновлення контролера домену домен і в глобальних каталогів в інших областях.
  16. Створити архівувати контролери домену в новий система стеження за станом на відновлення на контролері домену домену.
  17. Сповіщати всіх лісу адміністратори, делегованих Адміністратори, допомогти бюро адміністратори в лісі і користувачі в домені відновити користувача буде завершено.

    Служба підтримки, адміністратори можуть мати Щоб скинути паролі автентифікації, відновлюється облікові запис А бізнес-партнера користувачів і облікові запис А бізнес-партнера комп'ютера чий пароль домену змінилася після того, як була відновлена система зробив.

    Користувачі, які змінили свої паролі після резервного копіювання стану системи було зроблено буде знайти, що їх Номер у пароль більше не працює. Є такий користувачі намагаються увійти за допомогою своїх попередніх паролів, якщо вони знають, що їх. В іншому випадку бюро адміністраторів довідку необхідно скинути пароль і виберіть наВимагати зміну пароля при наступному вході до системи прапорець, бажано на контролері домену в одному сайті служба Active Directory як користувач знаходиться в.

Спосіб 3: Авторитетне відновлення видалених користувачів і група безпеки Віддалені користувачі два рази

Під Вільний час сценарій виконання цього методу, ви виконувати наступні високого рівня кроки:
  1. Перевірте, якщо глобального каталогу користувача домену має не було репліковано до видалення а потім запобігти контролер домену підключається з Вхідне тиражування видалення. Якщо немає не прихована глобального каталогу, знайдіть найбільш поточний стан резервного копіювання системи контролера домену глобального каталогу, в Віддалені користувачі домашньої домену.
  2. Авторитетне відновити всі видалені облікові запис А бізнес-партнера користувачів і все група безпеки у Віддалені користувачі домену.
  3. Кінець в кінець реплікації відновлені користувачів і на всіх контролерах домену у Віддалені користувачі, груп безпеки домен і до контролерів домену в лісі глобального каталогу.
  4. Повторіть кроки 2 і 3, щоб авторитетне відновлення видалених Користувачі і група безпеки. (Відновлення стану системи тільки один раз.)
  5. Якщо Віддалені користувачі були членами група безпеки в іншого доменах, авторитетне відновити всіх безпеки груп, які видалений користувачі були членами в цих доменів. Або, якщо резервні копії стану системи поточний, авторитетне відновити всіх груп безпеки в тих домени.
Щоб задовольнити вимоги, що видалені члени групи повинні бути відновлено до група безпеки, щоб виправити посилання Членство групи, відновлення Обидва типи об'єктів в два рази в цей метод. Перший відновлення ставить все на облікові запис А бізнес-партнера користувачів і групи облікових записів на місці а другий відновлює відновлення видалення груп і ремонт інформація про членство групи, включаючи Інформація про членство для вкладених групах.

За допомогою методу 3, виконайте це процедури:
  1. Перевірте, чи контролера домену глобального каталогу існує у Віддалені користувачі домашньої домену і не було репліковано в будь-якій частині видалення.

    Примітка Фокус на глобальних каталогів, домену, яке має найменшу часті реплікації графіків. Якщо існують такі контролери домену, використовувати в Repadmin інструмент командний рядок для негайно вимкнути вхідну реплікацію. Щоб це зробити, виконайте такі дії:
    1. Натисніть кнопку Початиа потім натисніть кнопку Запустити.
    2. Тип команда у регіоні Відкрити поле а потім натисніть кнопку Гаразд.
    3. Тип Repadmin /options <recovery dc="" name=""></recovery>+ DISABLE_INBOUND_REPL в командному рядку та натисніть клавішу ВВЕДІТЬ.

      ПриміткаЯкщо не вдається випуск Repadmin команда негайно, видалити всі підключення до мережі з контролером домену, поки ви можете використовувати Repadmin щоб вимкнути вхідну реплікацію а потім негайно повернути мережного підключення.
    Цей контролер домену буде іменуватися як відновлення контролер домену.
  2. Уникнути внесення доповнень, видалення та зміни в такі елементи, поки всі відновлення кроки були завершені. Зміни включати скидання пароля користувачів домену, допомогти бюро адміністратори, і Адміністратори домену, де сталася видалення, на додаток до групи зміни членства у групах видалених користувачів.
    1. Облікові запис А бізнес-партнера користувачів і атрибутів на користувача облікові запис А бізнес-партнера
    2. Комп'ютері облікові запис А бізнес-партнера та атрибути на комп'ютері облікові запис А бізнес-партнера
    3. Обслуговування рахунків
    4. група безпеки

      ПриміткаОсобливо уникнути змінюється на членство у групах для користувачів, комп'ютерів, групи та обслуговування рахунків у лісі де видалення під.
    5. Сповіщати всіх адміністраторів ліс, до делегованих Адміністратори і допомога бюро адміністратори в лісі тимчасові розпуск корпусу.
    Цей розпуск корпусу необхідні в способу 2, тому що ви авторитетне відновлення всі Віддалені користувачі група безпеки. Таким чином, є будь-які зміни внесені до груп після дати стану системи резервного копіювання втратили.
  3. Створити новий резервного копіювання стану системи в домені де на Видалення відбулося. Цієї резервної копії можна використовувати, якщо у вас є відкотити ваш зміни.

    ПриміткаЯкщо резервні копії стану системи, поточні до того часу поки що на Видалення відбулося, пропустити цей крок і перейти до кроку 4.

    Якщо ви визначили контролер домену відновлення на кроці 1, резервного копіювання стану системи зараз.

    Якщо всі глобальні каталоги, які розташовані в домені де Видалення відбулося відтворена видалення, резервного копіювання стану системи на глобальний каталог в домені, де сталася видалення.

    Коли ви Створення резервної копії, ви можете повернути контролера домену відновлення назад до своєї поточний державної і виконання вашого плану відновлення знову, якщо ваші перші спроби не успішним.
  4. Якщо ви не можете знайти приховані глобального каталогу домену контролер домену, де сталася видалення користувача, знайти номер у резервного копіювання стану системи контролера домену глобального каталогу в цьому домені. Це резервного копіювання стану системи повинна містити видалені об'єкти. Використовувати цей домен контролер як контролер домену відновлення.

    Тільки бази в глобальний каталог контролери домену в домені користувача містять членство у групах Інформація для зовнішніх доменів в лісі. Якщо немає системи держави архівувати глобального каталогу контролер домену в домені, де користувачі були видалено, неможливо застосувати атрибут член облікових відновили визначити глобальні або універсальна група членство або відновити членство у зовнішніх доменів. Іти до наступний крок. Якщо зовнішні запису групи членства у зовнішній домени, додати відновлені користувачів до група безпеки в цих доменів після на облікові запис А бізнес-партнера користувачів було відновлено.
  5. Якщо ви знаєте адміністратор паролів в автономному режимі рахунку, почати відновлення контролера домену в Dsrepair режимі. Якщо ви не знати пароль для облікового запису адміністратора в автономному режимі, скидання пароля під Вільний час відновлення контролера домену ще нормальний служба Active Directory режим.

    Скинути пароль на контролерах домену за допомогою засобу командний рядок setpwd що запущено Microsoft Windows 2000 з пакетом оновлень 2 (SP2) і пізній Вільний час вони в режимі онлайн служба Active Directory.

    Примітка Microsoft вже не підтримує Windows 2000.

    Для отримання додаткової інформації про змінення пароля адміністратора консолі відновлення, натисніть кнопку нижче номер статті для перегляду статті в базі знань Microsoft Knowledge Base:
    239803Змінення пароля адміністратора консолі відновлення на контролері домену
    Адміністратори домену Windows Server 2003 контролери можна скористатися перевагою командою встановити dsrm пароль у Ntdsutil інструмент командний рядок для скидання пароля для автономної обліковий запис А комп'ютера адміністратора.

    Для отримання додаткових відомостей про те, як скинути на Адміністратор режим відновлення служби каталогів, натисніть кнопку наступне номер статті для перегляду статті в базі знань Microsoft Knowledge Base:
    322672Як скинути служб каталогів відновлення режимі адміністратора пароль облікового запису у Windows Server 2003
  6. Натисніть клавішу F8 під Вільний час запуску почати відновлення контролер домену в Dsrepair режимі.увійти до консолі відновлення домену контролер з облікового запису адміністратора в автономному режимі. Якщо скинути пароль у Крок 5, використовуючи новий пароль.

    Якщо контролер домену відновлення на контролер домену прихована глобального каталогу, не відновити система стеження за станом. Перейти безпосередньо до кроку 7.

    Якщо ви створюєте відновлення контролера домену за допомогою резервного копіювання стану системи, відновлення найбільш поточного резервного копіювання стану системи що було зроблено на відновлення контролера домену, який містить видалений об'єкти зараз.
  7. Auth відновлення видалених облікові, видалений комп'ютері облікові запис А бізнес-партнера, або групи видалених безпеки.

    Примітка Умови відновлення auth і авторитетна відновлення зверніться до процес сценарій виконання авторитетних відновлення команда командний рядок засобу Ntdsutil Збільшення конкретних, номери версій об'єкти або конкретні контейнерів і їх підлеглих об'єктів. Як тільки кінець в кінець реплікації відбувається, цільових об'єктів у відновлення домену локальну копію контролера служба Active Directory стати авторитетний на всіх на Контролери домену, які поділяють розділу. Авторитетний відновлення відрізняється від відновлення стану системи. Відновлення стану системи заповнює локальну копію служба Active Directory з контролера домену відновлені на версії об'єкти під Вільний час резервного копіювання стану системи було зробив.

    Для отримання додаткової інформації про auth відновлення контролера домену клацніть такий номер статті, щоб Переглянути статтю в базі знань Microsoft Knowledge Base:
    241594Як виконати авторитетний відновлення до контролера домену Windows 2000


    Авторитетний реставрація виконуються з командний рядок засобу Ntdsutil автор посилається на ім'я домену (dn) шлях до видалити користувачів або контейнерів, які приймають видалених користувачів.

    Коли Ви auth відновлення, сценарій виконання ім'я домену (dn) контури, низькою, в дереві доменів як вони повинні бути уникнути reverting об'єкти, які не пов'язані з видалення. Ці об'єкти можуть містити об'єкти, які були змінені після система держава архівування.

    Auth відновлення видалених користувачів в нижче замовлення:
    1. Auth ім'я домену (dn) шлях відновлення для кожного видалено обліковий запис А комп'ютера користувача, обліковий запис А комп'ютера комп'ютера або видалені безпеки Група.

      Авторитетний реставрація конкретних об'єктів зайняти більше часу, але є менш руйнівними, ніж авторитетний реставрація весь піддерево. Auth відновити найнижчі загальні батьківського контейнера, який тримає видалений об'єкти.

      Ntdsutil використовує такий синтаксис:
      Ntdsutil "авторитетна відновлення" "Відновити об'єкт <object dn="" path=""></object>"q q
      Наприклад, щоб auth відновити видалені користувачем JohnDoe у регіоні MayberryНу з на Contoso.com домен, використовуйте наступні команда:
      Ntdsutil "авторитетна відновлення" "Відновити об'єкт cn = JohnDoe, Ну = Mayberry, dc = contoso, dc = com" q q
      Щоб auth відновлення видалених безпеки групи ContosoPrintAccess у регіоні Mayberry Ну з на Contoso.com домен, використайте таку команду:
      Ntdsutil "авторитетна відновлення" "Відновити об'єкт cn = ContosoPrintAccess, Ну = Mayberry, dc = contoso, dc = com" q q


      Важливі сценарій виконання лапок необхідна.

      За допомогою цього Ntdsutil формат, ви також можете автоматизувати авторитетний відновлення багато об'єктів у Пакетний файл або сценаріїв.
      ПриміткаЦей синтаксис доступна лише у Windows Server 2003. Тільки синтаксис у Windows 2000 є використання: ntdsutil "авторитетна відновлення" "відновлення дерево об'єкт DN шлях".
    2. Auth відновити лише контейнери OU або Common-ім'я (CN) що приймаючої видалених облікових записів користувачів або груп.

      Авторитетний Реставрація весь піддерево є дійсними, якщо OU, що мішенню авторитетний Ntdsutil відновити команду містить переважна більшість об'єктів, які Ви намагаєтеся auth відновлення. В ідеалі, цілеспрямовані OU містить все, що об'єкти, які ви намагаєтеся auth відновлення.

      Авторитетний відновлення на що OU піддерево відновлює всі атрибути та об'єкти, що містяться в регіоні контейнер. Будь-які зміни, які були зроблені до часу, що система державного резервного копіювання відновлення є відкотити до їх значень під Вільний час резервного копіювання. З облікові запис А бізнес-партнера користувачів, облікові запис А бізнес-партнера комп'ютера та група безпеки, цей відкату може означати втрата Номер у змінюється на паролі, домашній каталог, щоб у шлях профілю, розташування та контактні дані, щоб членство у групах і на будь-який дескриптори безпеки, які визначаються на об'єкти і атрибути.

      Ntdsutil використовує такий синтаксис:
      Ntdsutil "авторитетна відновлення" "відновлення піддерево <container dn="" path=""></container>"q q
      Наприклад, щоб відновити auth на Mayberry Ну з на Contoso.com домен, використайте таку команду:
      Ntdsutil "авторитетна відновлення" "відновити піддерево ou = Mayberry, dc = contoso, dc = com" q q
    Примітка Повторіть цей крок для кожного рівний OU, на якому видалити користувачів або групи.

    Важливі Коли ви відновити підпорядковані об'єкт на OU, всіх батьків Контейнери видалених підпорядковані об'єкти повинні бути явно auth відновлено.
  8. Перезавантажте контролер домену відновлення у звичайному активний Режим каталогів.
  9. Вихідне у реплікації авторитетне відновлені об'єктів з відновлення контролер домену для домену, контролери домену та у лісі.

    Під Вільний час вхідну реплікацію до відновлення домену контролер залишається неактивним, введіть таку команду, щоб натиснути на авторитетне відновлено об'єктів до всі міжвузлові репліки домену Контролери домену та до глобальних каталогів в лісі:
    Repadmin /syncall /d /e /P <recovery dc=""> <Naming context=""></Naming></recovery>
    Після всіх контролерів доменів прямий і Транзитивне в регіоні Лісова домену і серверах глобального каталогу відтворена в регіоні авторитетне відновлені користувачів і будь-який відновлені контейнери, перейдіть до кроку 11.

    Якщо такі заяви є правдою, груповий членство посилання перебудований з відновлення видаленого користувача облікових записів. Перехід до інтерактивні елементи 13.
    • Ваш лісових працює на Windows Server 2003 Лісові функціонального рівня або у Windows Server 2003 тимчасового ліс функціональних рівень.
    • Лише група безпеки не було видалено.
    • Всі Віддалені користувачі були додані всі безпеки груп у всі домени лісу.
    Розглянути питання про сценарій виконання команди Repadmin для прискорення на Вихідне реплікації користувачів з контролера домену відновлені.

    Якщо групи були також видалено, або якщо ви не можете гарантувати, що всі Віддалені користувачі було додано до всіх груп безпеки після переходу на Windows Сервер 2003 тимчасового або лісу функціональний рівень, перейдіть до кроку 12.
  10. Повторіть кроки 7, 8 та 9 без Відновлення системи держава а потім перейдіть до кроку 11.
  11. Якщо Віддалені користувачі були додані до місцевих груп у зовнішній домени, виконайте одну з таких дій:
    • Додати вручну видалений користувачів до тих групи.
    • Відновлення стану системи та auth відновлення кожного з на групи місцевих безпеки, який містить видалених користувачів.
  12. Перевірте, чи група членство в відновлення контролера домену домен і в глобальних каталогів в інших областях.
  13. Використовуйте наступну команду, щоб дозволити вхідну реплікацію до відновлення контролера домену:
    Repadmin /options відновлення dc ім'я -DISABLE_INBOUND_REPL
  14. Створити архівувати контролери домену в новий система стеження за станом на відновлення на контролері домену домену та глобальних каталогів в інших областях, в регіоні ліс.
  15. Сповіщати всіх адміністраторів ліс, до делегованих Адміністратори, допомога бюро адміністратори в лісі і користувачі в домен, який користувач відновлення закінчено.

    Бюро адміністраторів довідку Можливо, скидання паролів облікових записів користувачів автентифікації, відновлюється і комп’ютер-зразок облікові запис А бізнес-партнера, чий пароль домену змінилася після того, як була відновлена система зробив.

    Користувачі, які змінили свої паролі після резервного копіювання стану системи було зроблено буде знайти, що їх Номер у пароль більше не працює. Є такий користувачі намагаються увійти за допомогою своїх попередніх паролів, якщо вони знають, що їх. В іншому випадку бюро адміністраторів довідку необхідно скинути пароль з наВимагати зміну пароля при наступному вході до системи прапорець знято, бажано контролері домену в одному сайті служба Active Directory як користувач розташований в.

Як відновити видалену користувачів на контролері домену Windows Server 2003, коли вас немає припустимий системний стан резервної копії

Якщо вам не вистачає поточної системи державного резервні копії домену, у якому користувач видалити облікові запис А бізнес-партнера або група безпеки, і видалення сталася в домени які містять контролери домену Windows Server 2003, виконайте такі інтерактивні елементи. вручну і реанімувати видалені об'єкти з контейнера Видалені об'єкти:
  1. Виконайте інтерактивні елементи, описані в ", як вручну відновити об'єкти контейнера Видалені об'єкти», у розділі reanimate видалення користувачів, комп'ютерів, груп або всі ці.
  2. Змінити за допомогою служба Active Directory - користувачі й комп'ютери на рахунок від інвалідів включений. (Обліковий запис А з'являється в оригіналі OU).
  3. сценарій виконання базову скинути функцій у Windows Server 2003 Версія служба Active Directory - користувачі й комп'ютери виконати базову скидає на на "слід змінити пароль під Вільний час наступного входу" політики, установка, домашній каталог, з шлях профілю і на членство у групі видалені облікового запису, як це потрібно. Можна також використовувати програмний еквівалент ці функції.
  4. Якщо була використана Microsoft Exchange 2000 або пізнішої версії, ремонт на Скриньки Exchange для видалених користувачем.
  5. Якщо було використано Exchange 2000 або пізнішої версії, реассоцііровать до видаленого користувач із поштовою скринькою Exchange.
  6. Переконайтеся, що відновлювані користувач може увійти і доступу до локального каталоги, спільні папки та файли.
Ви можете автоматизувати деякі або всі ці кроки відновлення за допомогою Наступні методи:
  • Написати сценарій, який автоматизує ручного відновлення інтерактивні елементи подані в кроці 1. Коли ви написати такий скрипт, розглянути області видимості на видалити об'єкт, Дата, Вільний час та минулого відомих батьківського контейнера а потім Автоматизація реанімації об'єкта, що видаляється. Щоб автоматизувати реанімації, Зміна вірним FALSE, від, атрибуту isDeleted і змінити відносним відмітне ім'я до значення, яке визначається, атрибуту lastKnownParent або в новий OU або загальним контейнером ім'я (CN), що є визначеному адміністратором. (Відносну відмітне ім'я також відомий як RDN.)
  • Отримати програми не корпорацією Майкрософт, яка підтримує в реанімація видалені об'єкти на контролерах домену Windows Server 2003. Один такі утиліти є AdRestore. Відновити AdRestore використовує Windows Server 2003 примітивів поновити об'єктів окремо. Аеліта Підтримка програмного забезпечення корпорації і Commvault системи також пропонують продукти, які підтримують відновити функціональність на Windows Server 2003, на контролерів.

    Отримати AdRestore, відвідайте такий веб-сайт:
    http://TechNet.Microsoft.com/EN-US/SysInternals/bb963906.aspx
Microsoft надає контактні відомості сторонніх виробників допоможуть знайти технічної підтримки. Ці відомості можуть змінюватися без попереднього протокол IMAP. Microsoft не робить гарантує точності контактних відомостей сторонніх виробників.

Як вручну відновити об'єкти в контейнера Видалені об'єкта

Вручну оновити об'єктів у контейнера Видалені об'єкта, виконайте такі дії:
  1. Натисніть кнопку Почати, натисніть кнопку Запустити, і введіть Ldp. exe.

    Примітка Якщо інстальовано утилітою Ldp, інсталяції засобів підтримки з інсталяційного Диску Windows Server 2003.
  2. сценарій виконання у Підключення меню в Ldp виконувати підключення операцій і bind операцій до домену Windows Server 2003 контролер.

    Вкажіть облікові дані адміністратора домену під Вільний час прив'язки операцію.
  3. На що Параметри меню, натиснітьЕлементи керування.
  4. У регіоні Попередньо визначений навантаження ВиберітьПовернення видалені об'єкти.

    Примітка1.2.840.113556.1.4.417 Контроль рухається до на активний об'єктвікно.
  5. У розділі Тип елемента керування, натисніть кнопкуСерверта натисніть Гаразд.
  6. На що подання елементів меню, натиснітьДерево, введіть шлях відмітне ім'я видалені об'єкти контейнер в домені, де видалення сталася і натисніть кнопкуГаразд.

    Примітка Шлях до відмітне ім'я, також відомий як шлях до DN. Для Наприклад, якщо видалення сталася в домен contoso.com, шлях до DN б бути такого шляху:
    CN = віддалені об'єкти, dc = contoso, dc = com
  7. У лівій області вікна, двічі клацніть на Видалений об'єкт контейнера.

    Примітка Як результат пошуку Idap запит на змінення тільки 1000 об'єкти повертаються за промовчанням. FOT, наприклад, більш ніж 1000 об'єктів існує в контейнера Видалені об'єкти, не всі об'єкти відображаються в цьому контейнері. Якщо ваш цільовий об'єкт не відображається, скористайтеся Ntdsutilа потім встановити максимальну кількість за допомогою maxpagesize для отримання результатів пошуку.
  8. Двічі клацніть об'єкт, який потрібно відновити або до і реанімувати.
  9. Клацніть правою кнопкою миші об'єкт, який ви хочете, щоб реанімувати, а потім натисніть кнопку Змінити.

    Змініть значення атрибута isDeleted і один легкий каталог, шлях DN Операція модифікації доступ протоколу LDAP. Щоб налаштувати наЗмінити діалогове вікно, виконайте такі дії:
    1. У регіоні Редагування атрибута елемента Введіть isDeleted.

      Залишити на Значення поле пустий.
    2. Натисніть на Видалити перемикач, і натисніть кнопку Введіть зробити перші два запис А бізнес-партнера в регіоні номенклатура діалогове вікно.

      Важливі Не натискайте Запустити.
    3. У регіоні Атрибут Введіть distinguishedName.
    4. У регіоні Значення Введіть новий DN шлях reanimated об'єкта.

      Наприклад, щоб реанімувати на JohnDoe обліковий запис А комп'ютера користувача до Mayberry OU, використовувати такі DN шлях:
      CN =JohnDoe, Ну =Mayberry, dc =contoso, dc =ком
      Примітка Якщо ви хочете, щоб реанімувати об'єкта, що видаляється, його вихідному контейнер, додати значення атрибута видаленого об'єкта lastKnownParent до його значення CN та вставити повний шлях DN у регіоні Значення поле.
    5. У регіоні Операція Виберіть ЗАМІНИТИ.
    6. Натисніть кнопку ВВЕДІТЬ.
    7. Щоб виділити на Синхронні перевірити поле.
    8. Щоб виділити на Продовжений перевірити поле.
    9. Натисніть кнопку ЗАПУСТИТИ.
  10. Після того, як ви реанімувати об'єкти, натисніть кнопкуЕлементи керування на що Параметри меню, клацніть на Подивитися Кнопка Видалити (1.2.840.113556.1.4.417) з на активний об'єкт поле списку.
  11. Скидання пароля облікового запису користувача, профілі, домашні теки і група членство для користувачів, що видалені.

    Коли об'єкт був видалено, були позбавлені всі значення атрибутів, за винятком SID, ObjectGUID, LastKnownParent та SAMAccountName .
  12. увімкнути reanimated рахунку в служба Active Directory – користувачі і комп'ютерів.

    Примітка Reanimated об'єкт має той же основний маркер SID, як це було раніше видалення, але об'єкт потрібно додати знову ж груп безпеки для мають однаковий рівень доступу до ресурсів. Перший випуск Windows Server 2003 не зберігає на reanimated облікових комп'ютері облікові запис А бізнес-партнера, атрибуту sIDHistory і група безпеки. Windows Server 2003 з пакетом оновлень 1 зберегти на видалені об'єкти, атрибуту sIDHistory .
  13. Видалити Microsoft Exchange атрибутів і відновити підключення користувач до поштової скриньки Exchange.

    Примітка Підтримується реанімації видалені об'єкти під Вільний час видалення виникає на контролері домену Windows Server 2003. Реанімація з видалено об'єктів не підтримується, коли видалення виконується домену Windows 2000 контролер, який згодом оновлений до Windows Server 2003.

    Примітка Якщо видалення відбувається на контролері домену Windows 2000 в регіоні домен, атрибуту lastParentOf не відповідає на домену Windows Server 2003 контролери.

Як визначити, де і коли сталася на видалення

Коли користувачі будуть видалені з-за групове видалення, ви можете Дізнайтеся, де видалення виникла. Для цього виконайте такі дії:
  1. Якщо аудиту було правильно налаштовано на відстеження на видалення підрозділу (OU) контейнерів або підпорядкований об'єктів, сценарій виконання утиліта, що виконує пошук у журналі подій безпеки контролерів домену в регіоні домен де сталася видалення. Один такий утиліта, яка виконує пошук журналів подій на scoped набір контролери домену є утиліта EventCombMT. EventCombMT є частиною набору інструментів ресурс Kit засоби для Windows Server 2003.

    Для Щоб отримати додаткові відомості про отримання комплекту засобів Windows Server 2003 ресурс інструменти встановити, відвідайте веб-сторінку Майкрософт:
    http://TechNet.Microsoft.com/EN-US/windowsserver/bb693323.aspx
  2. Виконайте кроки 1-7 в ", як вручну відновити об'єкти в контейнера Видалені об'єкта"розділ, щоб знайти видалені безпеки принципи. Якщо дерево було видалено, виконайте такі інтерактивні елементи, щоб знайти батьківський об'єкт-контейнер, що видаляється.
  3. Копіювати значення атрибута objectGUID до буферу обміну Windows.

    Можна вставити значення, коли ви вводите Repadmin команда на кроці 4.
  4. Введіть таку команду:
    Repadmin /showmeta GUID =objectGUID>FQDN>
    Наприклад, якщо objectGUID видаленого об'єкта або контейнера є 791273b2-eba7-4285-a117-aa804ea76e95 і повне доменне ім’я (FQDN) dc.contoso.com, введіть таку команду:
    Repadmin /showmeta GUID = 791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com
    Синтаксис цієї команди необхідно включити GUID видалений об'єкт або контейнер і FQDN сервера, який ви хочете, щоб вихідний від.
  5. У Repadmin виводу команди знайти відбуваються Дата Вільний час і домен контролер для атрибута isDeleted . Наприклад, інформації для атрибута isDeleted з'являється в п'ятому рядку наступну зразка висновок:
    Loc.USN  Originating DC                  Org.USN  Org.Time/Date       Ver  Attribute
    -----------------------------------------------------------------------------------------------
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  objectClass
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  ou
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  instanceType
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  whenCreated
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   1  isDeleted
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  nTSecurityDescriptor
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  name
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   1  lastKnownParent
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  objectCategory
  6. Якщо ім'я відбуваються контролера домену в регіоні другого впорядкована стопка карт з чергуванням кольорів вихідного відображається як 32-символьний буквено цифрові GUID, сценарій виконання команда Ping для усунення GUID IP-адресу та ім'я на контролер домену, що виникла видалення. Команда Ping використовує на такий синтаксис:
    Пінг-–a <originating dc="" guid=""></originating>._msdomain контролери.<fully qualified="" path="" for="" forest="" root=""></fully>>
    Примітка На "-на" параметр враховується регістр. Використовуйте повне доменне Назва корінь лісу домену незалежно від домену, що відбуваються контролер домену, що проживає в.

    Наприклад, якщо вихідний домен контролер проживали в будь-якому домені лісу Contoso.com і мав GUID з 644eb7e7-1566-4f29-a778-4b487637564b, введіть таку команду:
    Пінг –a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com
    Вихідний повернулися на цю команду схожий на наступне:
    Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:
    
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
  7. Переглянути журнал безпеки контролера домену, виникла видалення або приблизно Вільний час, що був зазначений у вихідний Repadmin команди у кроці 5.

    Приділяти увагу на Вільний час скіфи та ще зміни часового поясу між комп'ютерами, які були використані, щоб прибути на це точки. Якщо видалити увімкнуто аудит, OU контейнерах або видалений об'єкти, зверніть увагу на відповідну аудиту подій. Якщо аудит не включено, зверніть увагу на користувачів, які мали дозволи для видалення Підрозділу контейнери або на підлеглий об'єкти в них, і які також мали автентифікованим проти на що відбуваються контролера домену в Вільний час до видалення.

Як мінімізувати вплив навалом видалень у майбутньому

Ключі до мінімізації впливу групове видалення користувачів, комп'ютерів та безпеки груп, щоб переконатися, що ви маєте останню дату резервні копії стану системи, щільно контролювати доступ до облікових записів привілейованих користувачів, щоб жорстко кодований контролювати те, що ці облікові запис А бізнес-партнера можна робити і, нарешті, на практиці відновлення від групове видалення.

Система державного зміни відбуваються кожен день. Ці зміни можуть включати скидання пароля на облікові запис А бізнес-партнера користувачів і на комп'ютері облікові запис А бізнес-партнера на додаток до зміни членства група та інші зміни атрибуту на користувача облікові запис А бізнес-партнера на комп'ютері облікові запис А бізнес-партнера та на група безпеки. Якщо устаткування не вдається, Підтримка програмного забезпечення збій, або ваш сайт досвіду лих, що ви хочете відновлення резервних копій, які були зроблені після кожного набору значні зміни в кожного домену служба Active Directory і сайт в лісі. Якщо ви не підтримувати поточний резервні копії, ви можуть втратити дані до або відкотити відновлені об'єктів.

корпорація Майкрософт рекомендує, що ви зробити наступні кроки для запобігання масового видалення:
  1. Не поділяють пароль для вбудованих адміністратора облікові запис А бізнес-партнера або дозволу спільних адміністративних облікові запис А бізнес-партнера користувачів для спільного. Якщо на відомий пароль облікового запису адміністратора, змінити пароль і визначити внутрішній процес, що заважає його сценарій виконання. Аудит подій для Спільні облікові запис А бізнес-партнера роблять неможливим для визначення особи користувача хто вносить зміни в служба Active Directory. Таким чином, сценарій виконання спільних користувача повинна утриматися облікових записів.
  2. Це дуже рідкісне, що облікові запис А бізнес-партнера користувачів, облікові запис А бізнес-партнера комп'ютера, і група безпеки навмисно не видаляються. Це особливо вірно, дерево Видалення об'єктів. Здатність служби і делеговані адміністраторам сервера видалити ці об'єкти з можливістю створювати та керувати обліковими записами користувачів комп'ютері облікові запис А бізнес-партнера, група безпеки, OU контейнери та їх атрибутів. Грант лише найбільш привілейованих облікові запис А бізнес-партнера або безпеки групам права для виконання Видалення дерева. Ці облікові запис А бізнес-партнера привілейованих користувачів можуть включати підприємства Адміністратори.
  3. Грант делеговані адміністратори доступ лише до класу об'єкт, що ці адміністраторам дозволено керувати. Наприклад, це... краще, якщо адміністратор бюро допомогою якої основна робота, щоб змінити властивості про облікові запис А бізнес-партнера користувачів не має дозволів для створення та видалити комп'ютерні облікові запис А бізнес-партнера, група безпеки або OU контейнерів. Це обмеження також застосовується до видалити дозволи для адміністраторів інші конкретні об'єкта класи.
  4. Поекспериментуйте з параметрів аудиту для відстеження операції в лабораторії домену. Після того, як Ви освоїтесь з результатами, застосовувати ваші найкращі рішення для виробництва домену.
  5. Гуртові контролю доступу та аудиту зміни на контейнери що господар десятки тисяч об'єктів можна зробити бази даних служба Active Directory рости значно, особливо у Windows 2000 доменів. сценарій виконання тесту домену, віддзеркалює виробництва домену для оцінки можливих змін до вільного місця на диску. Перевірте жорсткий дублювання диска томів, які приймають файли Ntds.dit та журнал файли контролери домену в домені виробництва для вільного місця на диску. Уникайте контроль доступу та аудиту зміни налаштувань на голову контролера домену мережі. Даремно вносити ці зміни буде застосовуватися до всіх об'єктів за все на класи в контейнерах в розділ. Наприклад, Уникайте рішень зміни, внесені до системи доменних імен (DNS) і розподілених посилання, відстеження запис А (DLT) Реєстрація в CN = СИСТЕМНУ каталог вхідних повідомлень в розділі домену.
  6. сценарій виконання передової практики OU структури для роздільник користувача облікові запис А бізнес-партнера, комп'ютері облікові запис А бізнес-партнера, група безпеки та обслуговування рахунків у власних Організаційний підрозділ. Під Вільний час сценарій виконання таких структури, можна застосувати дискреційні доступ до керування списками (DACLs) до об'єктів одного класу для делеговані Адміністрація і зробити можливим для об'єктів, щоб бути відновлена за даними Щоб об'єкт класу, якщо вони мають бути відновлені. Структура OU передової практики обговорюється в розділі "Створення Організаційна одиниця дизайн", Кращі практики щоденно каталог дизайн для керування Windows мереж білого паперу. Щоб отримати цей офіційний документ, відвідайте такі веб-сайт Майкрософт:
    http://TechNet.Microsoft.com/EN-US/Library/Bb727085.aspx
  7. Перевірити навалом видалень у лабораторії середовища, що віддзеркалює ваш виробництво домену. Вибрати метод відновлення, який має сенс для вас, а потім налаштувати його для вашої організації. Ви можете визначити такі:
    • Імена кожного домену, контролери домену, Регулярне архівувати
    • Де зберігаються резервні копії образу

      В ідеалі, ці зображення збережені на додатковий жорсткий дублювання диска, які є локальними для глобального каталогу в кожного домену в лісі.
    • Яких члени організації бюро довідки до елемент-контакт
    • Найкращий спосіб зробити цей елемент-контакт
  8. Більшість групове видалення облікових записів користувачів комп'ютера облікові запис А бізнес-партнера і груп безпеки, які Microsoft вважає є випадковим. Обговорити цьому сценарії з ІТ-персонал і розробити план поверху внутрішніх дій. В по-перше, фокус на раннє виявлення і після повернення функціональності вашого домену Користувачі і ваш бізнес як можна швидше. Також можна вжити заходів для запобігання випадкового групове видалення на відбувається шляхом редагування списків контролю доступу (ACL) організаційних підрозділів. Щоб отримати додаткові відомості про сценарій виконання засобів Windows інтерфейс для запобігання випадкові навалом видалень відвідайте такі веб-сайті Microsoft, щоб переглянути "Охоронного проти випадкового навалом видалення об'єктів у Active Directory":
    ASPX http://TechNet.Microsoft.com/EN-US/Library/cc773347 (WS.10)
    Щоб отримати додаткові відомості про те, як запобігти випадковим навалом видалень за допомогою Dsacls. exe у командному рядку, або за допомогою сценарію відвідайте такі веб-сайті Microsoft, щоб переглянути "Сценарій для захистити організаційних підрозділів (підрозділи) від випадкового видалення":
    http://Go.Microsoft.com/fwlink/?LinkId=162623

Інструменти та сценарії, які можуть допомогти вам відновити з навалом видалень

Утиліта командний рядок Groupadd.exe читає на колекцію користувачів у на OU, атрибуту член і будує на .ldf відновити файл, який додає кожний обліковий запис А комп'ютера користувача для кожного домену, група безпеки у лісі.

Groupadd.exe автоматично виявляє домени та група безпеки, що видалені користувачів були членами та додає їх до тих групи. Цей процес пояснюється більш докладно в кроці 11 методу 1.

Groupadd.exe працює на таких контролерів домену:
  • Контролери домену Windows Server 2003
  • Контролери домену Windows 2000, які мають .net 1.1 рамках інстальовано
Groupadd.exe використовує такий синтаксис:
groupadd /after_restore ldf_file [/before_restore ldf_file]
Тут ldf_file — ім'я файл .ldf для сценарій виконання з попередні аргументи, after_restore представляє користувача файл джерела даних, і before_restore представляє дані користувача з на Робоче середовище. (Джерела даних користувача файл є добрий користувач дані.)

Щоб отримати Groupadd.exe, зверніться до представник служби підтримки клієнтів Microsoft Послуг.

На виробники продуктів, які у цій статті розглядається виробляється компаній що не залежать від корпорації Майкрософт. корпорація Майкрософт не надає жодних гарантій, що маються на увазі або в іншому випадку, стосовно продуктивності або надійності цих продукти.

Посилання

Щоб отримати додаткові відомості про об'єкт, що містить розширені символи відновлення клацніть номер статті в базі знань Microsoft Knowledge Base:
886689Авторитетний відновлення Ntdsutil не є успішним, якщо шлях до відмітне ім'я містить розширені символи у Windows Server 2003 і Windows 2000
Щоб отримати додаткові відомості клацніть номер статті в базі знань Microsoft Knowledge Base:
824684Опис стандартна термінологія, яка використовується для опису оновлень програмних продуктів Майкрософт
910823 протокол IMAP про помилку при спробі імпортувати файли .ldf на комп'ютері під керуванням Windows Server 2003 з пакетом оновлень 1: "Додати помилка рядок «Кому» LineNumber: немає такого об'єкта"
937855 Після відновлення видалених об'єктів шляхом проведення авторитетний відновлення на контролері домену під керуванням Windows Server 2003, зв'язані атрибути деякі об'єкти не репліковано на інші контролери домену

Для отримання додаткової інформації про те, як використовувати функцію AD кошика, включених в Windows Server 2008 R2 будь ласка посилання щоденно каталог Recycle Bin крок за кроком керівництва доступні з цього веб-сайті Microsoft:ASPX http://TechNet.Microsoft.com/EN-US/Library/dd392261 (WS.10)

Властивості

Номер статті: 840001 - Востаннє переглянуто: 12 липня 2012 р. - Редакція: 2.0
Застосовується до:
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
Ключові слова: 
kbhowto kbwinservds kbactivedirectory kbmt KB840001 KbMtuk
Машинний переклад
УВАГА! Цю статтю переклала програма машинного перекладу Microsoft, а не людина. Корпорація Microsoft пропонує вам як машинні переклади, так і переклади фахівців, щоб Ви мали доступ до всіх статей бази знань рідною мовою. Проте стаття, яку переклав комп’ютер, не завжди бездоганна. Вона може містити лексичні, синтаксичні або граматичні помилки. Так само помиляється іноземець, спілкуючись вашою рідною мовою. Корпорація Microsoft не несе відповідальність за жодні неточності, помилки або шкоду, завдану неправильним перекладом змісту або його використанням з боку користувачів. Крім того, корпорація Microsoft часто оновлює програму машинного перекладу.
Клацніть тут, щоб переглянути цю статтю англійською мовою: 840001

Надіслати відгук

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com