您可以使用三種方法還原已刪除的使用者帳戶、電腦帳戶和安全性群組。這些物件統稱安全性原則。在這三種方法中,您可系統授權還原已刪除的物件,然後針對已刪除的安全性原則,還原群組成員資格的資訊。當您還原已刪除的物件時,您必須將受影響之安全性原則的 member 屬性和 memberOf 屬性還原回之前的值。這三個方法為:
- 方法 1:使用 Ntdsutil.exe 命令列工具還原已刪除的使用者帳戶,然後將還原的使用者新增至其群組 (僅限 Microsoft Windows Server 2003 Service Pack 1 [SP1])
- 方法 2:還原已刪除的使用者帳戶,然後將還原的使用者新增至其群組中
- 方法 3:系統授權還原兩次已刪除的使用者帳戶和已刪除的使用者安全性群組
方法 1 和 2 提供網域使用者和系統管理員較佳的使用體驗,因為這兩個方法會保留上次系統狀態備份及進行刪除這段期間內,對安全性群組新增的項目。在方法 3 中,您會將安全性群組成員資格復原到上次進行備份的狀態,而不需個別調整安全性原則。
如果您沒有系統狀態的有效備份,且進行刪除的網域包含 Windows Server 2003 網域控制站,則您可以手動或以程式設計方式修復已刪除的物件。您也可以使用 Repadmin 公用程式,來判斷使用者遭到刪除的時間與位置。
通常大規模的刪除都是意外所造成。Microsoft 建議您執行數個步驟,以避免其他使用者大量刪除物件。
本文將逐步告訴您,從 Active Directory
刪除使用者帳戶、電腦帳戶及其群組成員資格之後,如何進行還原。在各種不同情況下,使用者帳戶、電腦帳戶或安全性群組可能遭到個別刪除,或以某種組合一同遭到刪除。在這些情況下,相同的初始步驟都將適用
- 系統授權還原 (或
授權還原)
遭到意外刪除的物件。某些遭到刪除的物件,可能需要執行其他操作才能還原。這些物件包含使用者帳戶之類的物件,其中包含的屬性為其他物件之屬性的反向連結。其中的兩個屬性是
managedBy 和
memberOf。
當您將安全性原則 (例如,使用者帳戶、安全性群組或電腦帳戶) 新增到安全性群組時,即會在 Active
Directory 中產生下列變更:
- 安全性原則的名稱會新增到每個安全性群組的 member 屬性。
- 對於每個安全性群組 (使用者、電腦或安全性群組為其所屬成員),反向連結將新增到安全性原則的 memberOf 屬性。
同樣地,從 Active Directory 刪除使用者、電腦或群組時,會發生下列動作:
- 刪除的安全性原則會移動至已刪除的物件容器。
- 一些屬性值 (包括 memberOf 屬性) 會從刪除的安全性原則中刪除。
- 已刪除的安全性原則會從所屬的任何安全性群組中移除。換句話說,已刪除的安全性原則會從每個安全性群組的 member 屬性中移除。
當您修復已刪除的安全性原則並還原其群組成員資格時,請記住每個安全性原則都必須存在於 Active
Directory,才能還原其群組成員資格(成員可能是使用者、電腦或其他安全性群組)。更廣泛地說明這個規則,其意思為包含反向連結屬性值的物件必須存在於
Active
Directory,才能還原或修改包含正向連結的物件。
雖然本文件的重點在於如何修復安全性群組中已刪除的使用者帳戶及其成員資格,但相同的概念也適用於其他遭到刪除的物件。如果物件的屬性值使用正向連結和反向連結對
Active Directory
中的其他物件進行連結,且此類物件遭到刪除,則本文的概念也將適用。
您可以使用其中一種方法來修復安全性原則。當使用方法 1
時,整個樹系中新增至任何安全性群組的所有安全性原則都需原封不動,且您只能將個別網域中所刪除的安全性原則新增回其安全性群組。例如,您先製作系統狀態備份、將使用者新增至安全性群組,然後還原系統狀態備份。如果您使用方法
1 或 2,則會保留新增至安全性群組的任何使用者,這些群組包含了在建立系統狀態備份日期和還原備份日期期間所刪除的使用者。如果使用方法
3,可針對所有包含已刪除使用者的安全性群組,將其安全性群組成員資格回復到製作系統狀態備份時的狀態。
方法 1:使用 Ntdsutil.exe 命令列工具還原已刪除的使用者帳戶,然後將還原的使用者新增至其群組 (僅限 Microsoft Windows Server 2003 Service Pack 1 [SP1])
注意 這個方法只能在執行 Windows Server 2003 SP1 的網域控制站上使用。如果您要用來修復的網域控制站未安裝
Windows Server 2003 SP1,請使用方法 2。
在 Windows Server 2003 SP1
中,Ntdsutil.exe
命令列工具的新功能可協助系統管理員更輕易地還原已刪除之物件的反向連結。每次執行系統授權還原作業都會產生兩個檔案。其中一個檔案會包含系統授權還原物件的清單。另一個檔案是
.ldf 檔,可與 Ldifde.exe 公用程式搭配使用。這個檔案是用來還原系統授權還原之物件的反向連結。在 Windows Server 2003 SP1
中,系統授權還原使用者物件還會產生 LDIF 檔案及群組成員資格。這可避免重複執行還原。
當您使用這個方法時,請執行下列高階步驟:
- 檢查使用者網域中的通用類別目錄在刪除時是否未進行複寫,然後避免該通用類別目錄進行複寫。如果沒有潛在的通用類別目錄,請在已刪除的使用者主網域中,找出通用類別目錄網域控制站的最新系統狀態備份。
- 授權還原所有已刪除的使用者帳戶,然後允許那些使用者帳戶進行端對端複寫。
- 在所有網域中,將所有還原的使用者新增回被刪除前所屬的所有群組中。
如果要使用方法 1,請依照此程序執行:
- 檢查已刪除的使用者主網域中,是否有任何通用類別目錄控制站未複寫刪除的任何部分。
注意 請著重於具有最低複寫頻率排程的通用類別目錄。
如果其中一或多個通用類別目錄已經存在,請使用
Repadmin.exe 命令列工具,立即停用輸入複寫。如果要執行這項操作,請依照下列步驟執行:
- 按一下 [開始],然後按一下
[執行]。
- 在 [開啟] 方塊中,輸入
cmd,然後按一下 [確定]。
- 在命令提示字元中輸入下列命令,然後按下 ENTER:
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
注意 如果您無法立即發出 Repadmin 命令,請從潛在的通用類別目錄中移除所有網路連線,直到您可以使用 Repadmin
停用輸入複寫為止,然後再立即回復網路連線。
這個網域控制站將稱為修復網域控制站。如果沒有此類的通用類別目錄,請前往步驟 2。 - 決定在完成所有修復步驟之前,是否必須先暫時停止新增、刪除和變更使用者帳戶、電腦帳戶和安全性群組。
如果要保持最彈性的修復路徑,請暫時停止對下列項目進行變更。除了已刪除使用者群組中的群組成員資格變更之外,其他的變更還包含網域使用者、服務台系統管理員和進行刪除之網域的系統管理員所執行的密碼重設。請考慮針對下列項目停止進行新增、刪除和修改:
- 使用者帳戶和使用者帳戶上的屬性
- 電腦帳戶和電腦帳戶上的屬性
- 服務帳戶
- 安全性群組
如果下列所有陳述皆成立,最好停止對樹系中的安全性群組進行變更:
- 您正在使用方法 1,根據已刪除使用者或電腦帳戶的網域名稱 (DN)
路徑,授權還原已刪除的使用者或電腦帳戶。
- 除了潛在修復網域控制站之外,已將刪除複寫至樹系中的所有網域控制站。
- 您無法授權還原安全性群組或其父系容器。
如果您要授權還原安全性群組,或主控安全性群組或使用者帳戶的組織單位 (OU)
容器,請暫時停止這些變更。
除了通知位於發生刪除之網域內的網域使用者,也請通知適當網域中的系統管理員和服務台系統管理員,使其停止這些變更。 - 在發生刪除的網域中建立新的系統狀態備份。如果您必須回復所做的變更,便可以使用這個備份。
注意 如果系統狀態備份與刪除點同時間,請略過這個步驟並前往步驟 4。
如果您在步驟 1
中識別出修復網域控制站,請立即備份其系統狀態。
如果位於發生刪除之網域中的所有通用類別目錄在刪除時進行複寫,請針對發生刪除之網域中的通用類別目錄,進行系統狀態備份。
當建立備份時,如果第一次嘗試沒有成功,您可以讓修復網域控制站回復到目前狀態,然後再次執行復原計畫。 - 如果您在刪除使用者的網域中,找不到潛在的通用類別目錄網域控制站,請在該網域尋找通用類別目錄網域控制站的最新系統狀態備份。這個系統狀態備份應該包含已刪除的物件。請將這個網域控制站當做修復網域控制站使用。
只有使用者網域中通用類別目錄網域控制站的還原,才會包含位於外部網域之安全性群組的通用和全域群組成員資格資訊。如果在刪除使用者的網域中,沒有通用類別目錄網域控制站的系統狀態備份,您便無法使用所還原使用者帳戶上的
memberOf
屬性,以判斷通用或全域群組成員資格,或修復外部網域的成員資格。此外,最好可以找出非通用類別目錄網域控制站的最新系統狀態備份。 - 如果您知道離線系統管理員帳戶的密碼,請以 Dsrepair
模式啟動修復網域控制站。如果不知道離線系統管理員帳戶的密碼,請在修復網域控制站仍處於一般 Active Directory
模式時,重設密碼。
當執行 Microsoft Windows 2000 Service Pack 2 (SP2)
和更新版本的網域控制站處於線上 Active Directory 模式時,您可以使用 setpwd 命令列工具重設網域控制站上的密碼。
注意 Microsoft 不再支援 Windows 2000 SP2。請安裝最新版的 Windows 2000 Service Pack
以取得這項功能。
如需有關變更「修復主控台」系統管理員密碼的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:239803
(http://support.microsoft.com/kb/239803/
)
How to Change the Recovery Console Administrator Password on a Domain Controller
Windows Server 2003 網域控制站的系統管理員可以使用 Ntdsutil 命令列工具中的 set dsrm password 命令,重設離線系統管理員帳戶的密碼。
如需有關如何重設「目錄服務還原模式」系統管理員帳戶的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:322672
(http://support.microsoft.com/kb/322672/
)
如何在 Windows Server 2003 中重設目錄服務還原模式的系統管理員帳戶密碼
- 在啟動過程中按下 F8 鍵,以 Dsrepair
模式啟動修復網域控制站,並以離線系統管理員帳戶登入修復網域控制站的主控台。如果您在步驟 5
中重設密碼,請使用新密碼。
如果修復網域控制站屬於潛在的通用類別目錄網域控制站,請勿還原系統狀態。請前往步驟
7。
如果您要使用系統狀態備份來建立修復網域控制站,請立即還原在修復網域控制站上建立的最新系統狀態備份。 - 授權還原已刪除的使用者帳戶、已刪除的電腦帳戶或已刪除的安全性群組。
注意 授權還原和系統授權還原兩個詞彙代表一種過程,是指使用 Ntdsutil 命令列工具中的 authoritative restore 命令,遞增特定容器或其所有次物件的版本編號。一旦發生端對端複寫,修復網域控制站之 Active Directory
本機複本中的目標物件,會在所有共用磁碟分割的網域控制站中變成系統授權。系統授權還原與系統狀態還原不相同。系統狀態還原會使用進行系統狀態備份當時的物件版本,填入所還原之網域控制站的
Active Directory 本機複本。
如需有關授權還原網域控制站的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:241594
(http://support.microsoft.com/kb/241594/
)
HOW TO:在 Windows 2000 中執行網域控制站的系統授權還原
系統授權還原是透過 Ntdsutil 命令列工具來執行的,並且參照已刪除之使用者的網域名稱 (DN) 路徑,或是主控已刪除使用者之容器的網域名稱 (DN)
路徑。
當您執行授權還原時,請儘可能使用網域樹狀目錄中最低層的網域名稱 (DN)
路徑,以避免還原與刪除不相關的物件。這些物件可能包含系統狀態備份之後所修改的物件。
依照下列順序,授權還原已刪除的使用者:
- 授權還原每個已刪除之使用者帳戶、電腦帳戶或安全性群組的網域名稱 (DN)
路徑。
系統授權還原特定物件會花費較長的時間,但和對整個樹狀子目錄進行系統授權還原相較之下,其所造成的損害會比較小。授權還原主控已刪除之物件的最低一般父系容器。
Ntdsutil 使用下列語法:ntdsutil "authoritative restore" "restore object <object DN path>" q q
例如,如果要在 Contoso.com 網域的
Mayberry OU 中授權還原已刪除的使用者
JohnDoe,請使用下列命令:ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
例如,如果要在 Contoso.com 網域的
Mayberry OU 中授權還原已刪除的安全性群組
ContosoPrintAccess,請使用下列命令:ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
重要 必須使用引號。
以您所還原的每個使用者來說,至少會產生兩個檔案。這些檔案具有下列格式:
ar_YYYYMMDD-HHMMSS_objects.txt
這個檔案會包含系統授權還原物件的清單。請在使用者所屬網域本機群組之樹系的任何其他網域中,將這個檔案與 ntdsutil authoritatative restore "get ldif file from" 命令搭配使用。
ar_YYYYMMDD-HHMMSS_objects_usn.loc.ldf
如果您在通用類別目錄上執行授權還原,則會為樹系中的每個網域產生其中一個檔案。這個檔案包含可以與 Ldifde.exe
公用程式搭配使用的指令碼。此指令碼會還原所還原之物件的反向連結。在使用者的主網域中,此指令碼能夠為還原的使用者還原所有群組成員資格。在使用者具有群組成員資格之樹系的所有其他網域中,此指令碼只會還原全域群組成員資格和通用群組成員資格。此指令碼無法還原任何網域本機群組成員資格。這些成員資格並非由通用類別目錄所追蹤。 - 僅授權還原主控已刪除之使用者或群組的 OU 或 Common-Name (CN) 容器。
當
ntdsutil "authoritative restore" 命令所針對的 OU 包含您嘗試授權還原的大多數物件時,系統授權還原整個樹狀子目錄是行得通的。理想的狀況是,目標 OU
包含您嘗試授權還原的所有物件。
在 OU
樹狀子目錄上進行系統授權還原可還原容器中的所有屬性和物件。這會將還原系統狀態備份時所進行的變更還原為備份時的值。對於使用者帳戶、電腦帳戶和安全性群組,這個復原可能表示將遺失最近對在那些物件和屬性上定義的密碼、主目錄、設定檔路徑、位置和連絡資訊、群組成員資格、任何安全性描述元所做的變更。
Ntdsutil 使用下列語法:ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
例如,如果要授權還原 Contoso.com 網域的
Mayberry OU,請使用下列命令:ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
注意 請針對每個主控已刪除之使用者或群組的對等 OU 重複執行這個步驟。
重要 當您還原 OU
的次物件時,必須明確地授權還原已刪除之次物件的所有已刪除父系容器。
以您所還原的每個組織單位來說,至少會產生兩個檔案。這些檔案具有下列格式:
ar_YYYYMMDD-HHMMSS_objects.txt
這個檔案會包含系統授權還原物件的清單。請在所還原使用者所屬網域本機群組之樹系的任何其他網域中,將這個檔案與
ntdsutil authoritatative restore "get ldif file from" 命令搭配使用。
ar_YYYYMMDD-HHMMSS_objects_usn.loc.ldf
這個檔案包含可以與 Ldifde.exe
公用程式搭配使用的指令碼。此指令碼會還原所還原之物件的反向連結。在使用者的主網域中,此指令碼能夠為還原的使用者還原所有群組成員資格。 - 如果修復網域控制站上已刪除的物件因為系統狀態還原而修復了,請移除樹系中可提供網路連線至所有其他網域控制站的網路纜線。
- 以一般 Active Directory 模式重新啟動修復網域控制站。
- 輸入下列命令,以停用對修復網域控制站的輸入複寫:
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
啟用已還原其系統狀態的修復網域控制站的網路連線。 - 將授權還原的物件從修復網域控制站輸出複寫到網域和樹系中的網域控制站。
當修復網域控制站的輸入複寫處於停用狀態時,請輸入下列命令,將授權還原的物件推入到網域中所有站台間的複本網域控制站,以及推入到樹系中所有的通用類別目錄:repadmin /syncall /d /e /P <recovery
dc> <Naming
Context>
如果下列所有陳述皆成立,則藉由還原和複寫已刪除的使用者帳戶,重建群組成員資格連結。請前往步驟
14。
注意 如果下列其中一或多個陳述不成立,請前往步驟 12。
- 您的樹系是在 Windows Server 2003 樹系功能等級或 Windows Server 2003
Interim 樹系功能等級中執行。
- 只刪除了使用者帳戶或電腦帳戶,而未刪除安全性群組。
- 在樹系轉換為 Windows Server 2003
樹系功能等級之後,已刪除的使用者便新增至樹系中所有網域的安全性群組。
- 在修復網域控制站的主控台上,使用 Ldifde.exe 公用程式和
ar_YYYYMMDD-HHMMSS_objects_usn.loc.ldf
檔還原使用者的群組成員資格。如果要執行這項操作,請依照下列步驟執行:
- 使用下列命令,啟用修復網域控制站的輸入複寫:
repadmin /options <recovery dc name> -DISABLE_INBOUND_REPL
- 如果已刪除的使用者已經新增到外部網域的本機群組中,請執行下列其中一個步驟:
- 手動將已刪除的使用者新增回那些群組中。
- 還原系統狀態,並授權還原每個包含已刪除之使用者的本機安全性群組。
- 驗證修復網域控制站網域和其他網域中通用類別目錄的群組成員資格。
- 在修復網域控制站的網域中,為網域控制站製作新的系統狀態備份。
- 通知樹系中所有的樹系系統管理員、委派系統管理員、服務台系統管理員,以及網域中的使用者,告知他們使用者還原作業已經完成。
某些授權還原之使用者帳戶和電腦帳戶的網域密碼,在還原系統後可能會遭到變更,因此服務台系統管理員可能需要為它們重新設定密碼。
在進行系統狀態備份之後,變更其密碼的使用者會發現他們最新的密碼無法正常運作。請發生這個情形的使用者使用先前的密碼進行登入
(如果還記得之前密碼的話)。否則,服務台系統管理員就必須重設密碼,並選取 [使用者必須在下次登入時變更密碼]
核取方塊;更理想的方式是,在使用者所處之相同 Active Directory 網站的網域控制站上執行。
方法 2:還原已刪除的使用者帳戶,然後將還原的使用者新增至其群組中
當您使用這個方法時,請執行下列高階步驟:
- 檢查使用者網域中的通用類別目錄在刪除時是否未進行複寫,然後避免該通用類別目錄進行複寫。如果沒有潛在的通用類別目錄,請在已刪除的使用者主網域中,找出通用類別目錄網域控制站的最新系統狀態備份。
- 授權還原所有已刪除的使用者帳戶,然後允許那些使用者帳戶進行端對端複寫。
- 在所有網域中,將所有還原的使用者新增回被刪除前所屬的所有群組中。
如果要使用方法 2,請依照此程序執行:
- 檢查已刪除的使用者主網域中,是否有任何通用類別目錄控制站未複寫刪除的任何部分。
注意 請著重於具有最低複寫頻率排程的通用類別目錄。
如果其中一或多個通用類別目錄已經存在,請使用
Repadmin.exe 命令列工具,立即停用輸入複寫。如果要執行這項操作,請依照下列步驟執行:
- 按一下 [開始],然後按一下
[執行]。
- 在 [開啟] 方塊中,輸入
cmd,然後按一下 [確定]。
- 在命令提示字元中輸入下列命令,然後按下 ENTER:
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
注意 如果您無法立即發出 Repadmin 命令,請從潛在的通用類別目錄中移除所有網路連線,直到您可以使用 Repadmin
停用輸入複寫為止,然後再立即回復網路連線。
這個網域控制站將稱為修復網域控制站。如果沒有此類的通用類別目錄,請前往步驟 2。 - 決定在完成所有修復步驟之前,是否必須先暫時停止新增、刪除和變更使用者帳戶、電腦帳戶和安全性群組。
如果要保持最彈性的修復路徑,請暫時停止對下列項目進行變更。除了已刪除使用者群組中的群組成員資格變更之外,其他的變更還包含網域使用者、服務台系統管理員和進行刪除之網域的系統管理員所執行的密碼重設。請考慮針對下列項目停止進行新增、刪除和修改:
- 使用者帳戶和使用者帳戶上的屬性
- 電腦帳戶和電腦帳戶上的屬性
- 服務帳戶
- 安全性群組
如果下列所有陳述皆成立,最好停止對樹系中的安全性群組進行變更:
- 您正在使用方法 2,根據已刪除使用者或電腦帳戶的網域名稱 (DN)
路徑,授權還原已刪除的使用者或電腦帳戶。
- 除了潛在修復網域控制站之外,已將刪除複寫至樹系中的所有網域控制站。
- 您無法授權還原安全性群組或其父系容器。
如果您要授權還原安全性群組,或主控安全性群組或使用者帳戶的組織單位 (OU)
容器,請暫時停止這些變更。
除了通知位於發生刪除之網域內的網域使用者,也請通知適當網域中的系統管理員和服務台系統管理員,使其停止這些變更。 - 在發生刪除的網域中建立新的系統狀態備份。如果您必須回復所做的變更,便可以使用這個備份。
注意 如果系統狀態備份與刪除點同時間,請略過這個步驟並前往步驟 4。
如果您在步驟 1
中識別出修復網域控制站,請立即備份其系統狀態。
如果位於發生刪除之網域中的所有通用類別目錄在刪除時進行複寫,請針對發生刪除之網域中的通用類別目錄,進行系統狀態備份。
當建立備份時,如果第一次嘗試沒有成功,您可以讓修復網域控制站回復到目前狀態,然後再次執行復原計畫。 - 如果您在刪除使用者的網域中,找不到潛在的通用類別目錄網域控制站,請在該網域尋找通用類別目錄網域控制站的最新系統狀態備份。這個系統狀態備份應該包含已刪除的物件。請將這個網域控制站當做修復網域控制站使用。
只有使用者網域中通用類別目錄網域控制站的還原,才會包含位於外部網域之安全性群組的通用和全域群組成員資格資訊。如果在刪除使用者的網域中,沒有通用類別目錄網域控制站的系統狀態備份,您便無法使用所還原使用者帳戶上的
memberOf
屬性,以判斷通用或全域群組成員資格,或修復外部網域的成員資格。此外,最好可以找出非通用類別目錄網域控制站的最新系統狀態備份。 - 如果您知道離線系統管理員帳戶的密碼,請以 Dsrepair
模式啟動修復網域控制站。如果您不知道離線系統管理員帳戶的密碼,則請在修復網域控制站仍然處於標準 Active Directory
模式時,重設密碼。
當執行 Microsoft Windows 2000 Service Pack 2 (SP2)
和更新版本的網域控制站處於線上 Active Directory 模式時,您可以使用 setpwd 命令列工具重設網域控制站上的密碼。
注意 Microsoft 不再支援 Windows 2000 SP2。請安裝最新版的 Windows 2000 Service Pack
以取得這項功能。
如需有關變更「修復主控台」系統管理員密碼的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:239803
(http://support.microsoft.com/kb/239803/
)
How to Change the Recovery Console Administrator Password on a Domain Controller
Windows Server 2003 網域控制站的系統管理員可以使用 Ntdsutil 命令列工具中的 set dsrm password 命令,重設離線系統管理員帳戶的密碼。
如需有關如何重設「目錄服務還原模式」系統管理員帳戶的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:322672
(http://support.microsoft.com/kb/322672/
)
如何在 Windows Server 2003 中重設目錄服務還原模式的系統管理員帳戶密碼
- 在啟動過程中按下 F8 鍵,以 Dsrepair
模式啟動修復網域控制站,並以離線系統管理員帳戶登入修復網域控制站的主控台。如果您在步驟 5
中重設密碼,請使用新密碼。
如果修復網域控制站屬於潛在的通用類別目錄網域控制站,請勿還原系統狀態。請前往步驟
7。
如果您要使用系統狀態備份來建立修復網域控制站,請立即還原在修復網域控制站上建立的最新系統狀態備份。 - 授權還原已刪除的使用者帳戶、已刪除的電腦帳戶或已刪除的安全性群組。
注意 授權還原和系統授權還原兩個詞彙代表一種過程,是指使用 Ntdsutil 命令列工具中的 authoritative restore 命令,遞增特定容器或其所有次物件的版本編號。一旦發生端對端複寫,修復網域控制站之 Active Directory
本機複本中的目標物件,會在所有共用磁碟分割的網域控制站中變成系統授權。系統授權還原與系統狀態還原不相同。系統狀態還原會使用進行系統狀態備份當時的物件版本,填入所還原之網域控制站的
Active Directory 本機複本。
如需有關授權還原網域控制站的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:241594
(http://support.microsoft.com/kb/241594/
)
HOW TO:在 Windows 2000 中執行網域控制站的系統授權還原
系統授權還原是透過 Ntdsutil 命令列工具來執行的,並且參照已刪除之使用者的網域名稱 (DN) 路徑,或是主控已刪除使用者之容器的網域名稱 (DN)
路徑。
當您執行授權還原時,請儘可能使用網域樹狀目錄中最低層的網域名稱 (DN)
路徑,以避免還原與刪除不相關的物件。這些物件可能包含系統狀態備份之後所修改的物件。
依照下列順序,授權還原已刪除的使用者:
- 授權還原每個已刪除之使用者帳戶、電腦帳戶或安全性群組的網域名稱 (DN)
路徑。
系統授權還原特定物件會花費較長的時間,但和對整個樹狀子目錄進行系統授權還原相較之下,其所造成的損害會比較小。授權還原主控已刪除之物件的最低一般父系容器。
Ntdsutil 使用下列語法:ntdsutil "authoritative restore" "restore object <object DN path>" q q
例如,如果要在 Contoso.com 網域的
Mayberry OU 中授權還原已刪除的使用者
JohnDoe,請使用下列命令:ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
例如,如果要在 Contoso.com 網域的
Mayberry OU 中授權還原已刪除的安全性群組
ContosoPrintAccess,請使用下列命令:ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
重要 必須使用引號。
注意 這個語法只適用於 Windows Server 2003。Windows 2000 中的唯一語法使用下列:ntdsutil "authoritative restore" "restore subtree object DN path"
注意 如果辨別名稱路徑 (DN) 包含擴充字元或空格,Ntdsutil
系統授權還原作業就不會成功。為了讓指令還原可以成功,"restore object <DN
path>"
命令必須傳送做為一個完整的字串。
如果要暫時略過這個問題,請以反斜線加上雙引號的跳過順序括住包含擴充字元和空格的 DN。以下為範例:
ntdsutil "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry
NC,DC=contoso,DC=com\"" q q
注意 如果要還原的物件 DN 包含逗號,必須進一步修改命令。請參閱下列範例:
ntdsutil "authoritative
restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\"" q
q
注意 如果物件從磁帶還原,而標示的系統授權和還原無法如預期般運作,接著,相同的磁帶被用來再次還原 NTDS 資料庫,則要系統授權還原的
USN 版物件必須增加超過預設的 100000,否則,在第二次還原之後,將無法複寫物件。下列是可將版本編號增加超過 100000 (預設值)
的指令碼所採用的必要語法:ntdsutil "authoritative restore" "restore object \"CN=Doe\,
John,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
注意 如果指令碼針對每個要還原的物件顯示確認提示,您可以關閉提示。關閉提示的語法為:ntdsutil "popups off"
"authoritative restore" "restore object \"CN=John Doe,OU=Mayberry
NC,DC=contoso,DC=com\" verinc 150000\"" q q - 僅授權還原主控已刪除之使用者或群組的 OU 或 Common-Name (CN) 容器。
當
ntdsutil "authoritative restore" 命令所針對的 OU 包含您嘗試授權還原的大多數物件時,系統授權還原整個樹狀子目錄是行得通的。理想的狀況是,目標 OU
包含您嘗試授權還原的所有物件。
在 OU
樹狀子目錄上進行系統授權還原可還原容器中的所有屬性和物件。這會將還原系統狀態備份時所進行的變更還原為備份時的值。對於使用者帳戶、電腦帳戶和安全性群組,這個復原可能表示將遺失最近對在那些物件和屬性上定義的密碼、主目錄、設定檔路徑、位置和連絡資訊、群組成員資格、任何安全性描述元所做的變更。
Ntdsutil 使用下列語法:ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
例如,如果要授權還原 Contoso.com 網域的
Mayberry OU,請使用下列命令:ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
注意 請針對每個主控已刪除之使用者或群組的對等 OU 重複執行這個步驟。
重要 當您還原 OU 的次物件時,必須明確地授權還原已刪除之次物件的所有已刪除父系容器。 - 如果修復網域控制站上已刪除的物件因為系統狀態還原而修復了,請移除樹系中可提供網路連線至所有其他網域控制站的網路纜線。
- 以一般 Active Directory 模式重新啟動修復網域控制站。
- 輸入下列命令,以停用對修復網域控制站的輸入複寫:
repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
啟用已還原其系統狀態的修復網域控制站的網路連線。 - 將授權還原的物件從修復網域控制站輸出複寫到網域和樹系中的網域控制站。
當修復網域控制站的輸入複寫處於停用狀態時,請輸入下列命令,將授權還原的物件推入到網域中所有站台間的複本網域控制站,以及推入到樹系中所有的通用類別目錄:repadmin /syncall /d /e /P <recovery
dc> <Naming
Context>
如果下列所有陳述皆成立,則藉由還原和複寫已刪除的使用者帳戶,重建群組成員資格連結。請前往步驟
14。
注意 如果下列其中一或多個陳述不成立,請前往步驟 12。
- 您的樹系是在 Windows Server 2003 樹系功能等級或 Windows Server 2003
Interim 樹系功能等級中執行。
- 只刪除了使用者帳戶或電腦帳戶,而未刪除安全性群組。
- 在樹系轉換為 Windows Server 2003
樹系功能等級之後,已刪除的使用者便新增至樹系中所有網域的安全性群組。
- 判斷已刪除使用者所屬的安全性群組,然後將其新增至那些群組中。
注意 在您能將使用者新增至群組之前,那些您在步驟 7 授權還原的使用者與您在步驟 11
中輸出複寫的使用者,都必須複寫至參照網域控制站之網域中的網域控制站,以及複寫到樹系中所有的通用類別目錄網域控制站。
如果您已部署群組佈健公用程式,來重新填入安全性群組的成員資格,請立即使用該公用程式,將已刪除使用者還原到,其遭到刪除之前所屬的安全性群組。請在樹系網域和通用類別目錄伺服器中的所有直接和轉移網域控制站,都已經輸入複寫已授權還原的使用者和任何還原的容器之後,執行這項操作。
如果您沒有這個公用程式,則當
Ldifde.exe 命令列工具和 Groupadd.exe 命令列工具在修復網域控制站上執行時,即可為您自動執行此項工作。您可從「Microsoft
技術支援處」取得這些工具。在這種情況下,Ldifde.exe 會從系統管理員指定的 OU 容器開始,建立包含使用者帳戶名稱及其安全性群組的「LDAP
資料交換格式」(LDAP Data Interchange Format,LDIF) 資訊檔案。然後,Groupadd.exe 會讀取 .ldf
檔案中所列之各使用者帳戶的 memberOf 屬性,然後再針對樹系中每個網域產生個別且唯一的 LDIF 資訊。此 LDIF
資訊包含已刪除使用者必須新增回去的安全性群組名稱,如此才能還原其群組成員資格。請依照下列步驟執行此階段的修復作業。
- 使用網域系統管理員安全性群組成員的使用者帳戶,登入至修復網域控制站的主控台。
- 使用 Ldifde 命令,從進行刪除的最上層 OU 容器開始,傾印先前已刪除之使用者帳戶名稱及其 memberOf 屬性。Ldifde 命令使用下列語法:
ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=user)" -l memberof -p subtree -f user_membership_after_restore.ldf
如果已經將已刪除的電腦帳戶新增到安全性群組中,則請使用下列語法:ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=computer)" -l memberof -p subtree -f computer_membership_after_restore.ldf
- 執行 Groupadd 命令以建立其他 .ldf 檔案,其中包含使用者在遭到刪除前所屬的網域名稱,以及通用和全域安全性群組名稱。Groupadd
命令使用下列語法:
Groupadd /after_restore users_membership_after_restore.ldf
如果已經將已刪除的電腦帳戶新增到安全性群組中,則請重複此命令。 - 將您在步驟 12c 中建立的每個
Groupadd_fully.qualified.domainname.ldf 檔案,匯入到與每個網域之
.ldf 檔案相對應的單一通用類別目錄網域控制站。請使用下列 Ldifde 語法:
Ldifde –i –k –f Groupadd_<fully.qualified.domain.name>.ldf
請針對自任何網域控制站 (修復網域控制站除外) 刪除之使用者的網域,執行 .ldf 檔案。 - 在每個網域控制站 (針對特別網域匯入
Groupadd_<fully.qualified.domain.name>.ldf 檔案)
的主控台上使用下列命令,將群組成員資格新增項目輸出複寫到網域中的其他網域控制站,以及到樹系中的通用類別目錄網域控制站:
repadmin /syncall /d /e /P <recovery dc> <Naming Context>
- 使用下列命令,啟用修復網域控制站的輸入複寫:
repadmin /options <recovery dc name> -DISABLE_INBOUND_REPL
- 如果已刪除的使用者已經新增到外部網域的本機群組中,請執行下列其中一個步驟:
- 手動將已刪除的使用者新增回那些群組中。
- 還原系統狀態,並授權還原每個包含已刪除之使用者的本機安全性群組。
- 驗證修復網域控制站網域和其他網域中通用類別目錄的群組成員資格。
- 在修復網域控制站的網域中,為網域控制站製作新的系統狀態備份。
- 通知樹系中所有的樹系系統管理員、委派系統管理員、服務台系統管理員,以及網域中的使用者,告知他們使用者還原作業已經完成。
某些授權還原之使用者帳戶和電腦帳戶的網域密碼,在還原系統後可能會遭到變更,因此服務台系統管理員可能需要為它們重新設定密碼。
在進行系統狀態備份之後,變更其密碼的使用者會發現他們最新的密碼無法正常運作。請發生這個情形的使用者使用先前的密碼進行登入
(如果還記得之前密碼的話)。否則,服務台系統管理員就必須重設密碼,並選取 [使用者必須在下次登入時變更密碼]
核取方塊;更理想的方式是,在使用者所處之相同 Active Directory 網站的網域控制站上執行。
方法 3:系統授權還原已刪除的使用者和已刪除的使用者安全性群組兩次
當您使用此方法時,會執行下列高階步驟:
- 檢查使用者網域中的通用類別目錄在刪除時是否未進行複寫,然後避免該網域控制站輸入複寫刪除。如果沒有潛在的通用類別目錄,請在已刪除的使用者主網域中,找出通用類別目錄網域控制站的最新系統狀態備份。
- 系統授權還原已刪除的使用者網域中,所有的已刪除使用者帳戶和所有安全性群組。
- 等候將還原之使用者和安全性群組,以端對端方式複寫到已刪除之使用者網域中的所有網域控制站,以及樹系的通用類別目錄網域控制站。
- 重複執行步驟 2 和步驟 3,系統授權還原已刪除的使用者和安全性群組(您僅還原系統狀態一次)。
- 如果已刪除的使用者先前是其他網域中的安全性群組成員,則系統授權還原先前為已刪除使用者所屬網域中的所有安全性群組。或是,如果系統狀態備份是最新的,則系統授權還原那些網域中的所有安全性群組。
必須先還原已刪除的群組成員,安全性群組才能修正群組成員資格連結;為達成上述要求,您必須使用此方法還原這兩種物件類型兩次。第一次還原會將所有的使用者帳戶和群組帳戶放置到適當的位置,第二次還原則會還原已刪除的群組,並修復群組成員資格資訊
(包含巢狀群組的成員資格資訊)。
如果要使用方法 3,請依照此程序執行:
- 檢查已刪除使用者的主網域中,是否存在通用類別目錄網域控制站,且尚未複寫刪除的任何部分。
注意 請著重於網域中具有較低複寫頻率排程的通用類別目錄。如果這些網域控制站已經存在,請使用 Repadmin.exe
命令列工具,以立即停用輸入複寫。如果要執行這項操作,請依照下列步驟執行:
- 按一下 [開始],然後按一下
[執行]。
- 在 [開啟] 方塊中,輸入
command,然後按一下 [確定]。
- 在命令提示字元中,輸入 repadmin /options
<recovery dc name>
+DISABLE_INBOUND_REPL,然後按下 ENTER。
注意 如果您無法立即發出 Repadmin 命令,請從網域控制站中移除所有網路連線,直到您可以使用 Repadmin
來停用輸入複寫為止,然後再立即回復網路連線。
這個網域控制站將稱為修復網域控制站。 - 在完成所有修復步驟之前,請避免對下列項目進行新增、刪除和變更。除了已刪除使用者群組中的群組成員資格變更之外,其他的變更還包含網域使用者、服務台系統管理員和進行刪除之網域的系統管理員所執行的密碼重設。
- 使用者帳戶和使用者帳戶上的屬性
- 電腦帳戶和電腦帳戶上的屬性
- 服務帳戶
- 安全性群組
注意 特別要避免對進行刪除之樹系中的使用者、電腦、群組及服務帳戶之群組成員資格進行變更。 - 請通知樹系中所有的樹系系統管理員、委派系統管理員和服務台系統管理員,告知他們暫時終止的資訊。
因為您要系統授權還原所有已刪除使用者的安全性群組,所以方法 2
中必須要有這個終止。因此,在系統狀態備份日期之後對群組所作的變更都會遺失。 - 在發生刪除的網域中建立新的系統狀態備份。如果您必須回復所做的變更,便可以使用這個備份。
注意 如果系統狀態備份與刪除點同時間,請略過這個步驟並前往步驟 4。
如果您在步驟 1
中識別出修復網域控制站,請立即備份其系統狀態。
如果位於發生刪除之網域中的所有通用類別目錄在刪除時進行複寫,請針對發生刪除之網域中的通用類別目錄,進行系統狀態備份。
當建立備份時,如果第一次嘗試沒有成功,您可以讓修復網域控制站回復到目前狀態,然後再次執行復原計畫。 - 如果您在刪除使用者的網域中,找不到潛在的通用類別目錄網域控制站,請在該網域尋找通用類別目錄網域控制站的最新系統狀態備份。這個系統狀態備份應該包含已刪除的物件。請將這個網域控制站當做修復網域控制站使用。
只有使用者網域中的通用網域控制站的資料庫,會包含樹系中外部網域的群組成員資格資訊。如果在刪除使用者的網域中,沒有通用類別目錄網域控制站的系統狀態備份,您便無法使用所還原使用者帳戶上的
memberOf
屬性,以判斷通用或全域群組成員資格,或修復外部網域的成員資格。請前往下一個步驟。如果外部網域中有群組成員資格的外部記錄,則請在還原使用者帳戶之後,將還原的使用者新增至該網域的安全性群組中。 - 如果您知道離線系統管理員帳戶的密碼,請以 Dsrepair
模式啟動修復網域控制站。如果您不知道離線系統管理員帳戶的密碼,則請在修復網域控制站仍然處於標準 Active Directory
模式時,重設密碼。
當執行 Microsoft Windows 2000 Service Pack 2 (SP2)
和更新版本的網域控制站處於線上 Active Directory 模式時,您可以使用 setpwd 命令列工具重設網域控制站上的密碼。
注意 Microsoft 不再支援 Windows 2000 SP2。請安裝最新版的 Windows 2000 Service Pack
以取得這項功能。
如需有關變更「修復主控台」系統管理員密碼的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:239803
(http://support.microsoft.com/kb/239803/
)
How to Change the Recovery Console Administrator Password on a Domain Controller
Windows Server 2003 網域控制站的系統管理員可以使用 Ntdsutil 命令列工具中的 set dsrm password 命令,重設離線系統管理員帳戶的密碼。
如需有關如何重設「目錄服務還原模式」系統管理員帳戶的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:322672
(http://support.microsoft.com/kb/322672/
)
如何在 Windows Server 2003 中重設目錄服務還原模式的系統管理員帳戶密碼
- 在啟動過程中按下 F8 鍵,以 Dsrepair
模式啟動修復網域控制站,並以離線系統管理員帳戶登入修復網域控制站的主控台。如果您在步驟 5
中重設密碼,請使用新密碼。
如果修復網域控制站屬於潛在的通用類別目錄網域控制站,請勿還原系統狀態。請直接前往步驟
7。
如果您要使用系統狀態備份來建立修復網域控制站,則請立即還原在包含已刪除物件之修復網域控制站上所建立的最新系統狀態備份。 - 授權還原已刪除的使用者帳戶、已刪除的電腦帳戶或已刪除的安全性群組。
注意 授權還原和系統授權還原兩個詞彙代表一種過程,是指使用 Ntdsutil 命令列工具中的 authoritative restore 命令,遞增特定容器或其所有次物件的版本編號。一旦發生端對端複寫,修復網域控制站之 Active Directory
本機複本中的目標物件,會在所有共用磁碟分割的網域控制站中變成系統授權。系統授權還原與系統狀態還原不相同。系統狀態還原會使用進行系統狀態備份當時的物件版本,填入所還原之網域控制站的
Active Directory 本機複本。
如需有關授權還原網域控制站的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:241594
(http://support.microsoft.com/kb/241594/
)
HOW TO:在 Windows 2000 中執行網域控制站的系統授權還原
系統授權還原是透過 Ntdsutil 命令列工具來執行的,方法是參照已刪除之使用者的網域名稱 (DN) 路徑,或是主控已刪除使用者之容器的網域名稱 (DN)
路徑。
當您執行授權還原時,請儘可能使用網域樹狀目錄中最低層的網域名稱 (DN)
路徑,以避免還原與刪除不相關的物件。這些物件可能包含系統狀態備份之後所修改的物件。
依照下列順序,授權還原已刪除的使用者:
- 授權還原每個已刪除之使用者帳戶、電腦帳戶或安全性群組的網域名稱 (DN)
路徑。
系統授權還原特定物件會花費較長的時間,但和對整個樹狀子目錄進行系統授權還原相較之下,其所造成的損害會比較小。授權還原主控已刪除之物件的最低一般父系容器。
Ntdsutil 使用下列語法:ntdsutil "authoritative restore" "restore object <object DN path>" q q
例如,如果要在 Contoso.com 網域的
Mayberry OU 中授權還原已刪除的使用者
JohnDoe,請使用下列命令:ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
例如,如果要在 Contoso.com 網域的
Mayberry OU 中授權還原已刪除的安全性群組
ContosoPrintAccess,請使用下列命令:ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
重要 必須使用引號。
使用此 Ntdsutil
格式,您也可以在批次檔或指令碼中,為多種物件自動執行系統授權還原。
注意 這個語法只適用於 Windows Server 2003。Windows 2000 中的唯一語法使用下列:ntdsutil
"authoritative restore" "restore subtree object DN
path"。 - 僅授權還原主控已刪除之使用者或群組的 OU 或 Common-Name (CN) 容器。
當
Ntdsutil Authoritative restore 命令所針對的 OU 包含您嘗試授權還原的大多數物件時,系統授權還原整個樹狀子目錄是行得通的。理想的狀況是,目標 OU
包含您嘗試授權還原的所有物件。
在 OU
樹狀子目錄上進行系統授權還原可還原容器中的所有屬性和物件。這會將還原系統狀態備份時所進行的變更還原為備份時的值。對於使用者帳戶、電腦帳戶和安全性群組,這個復原可能表示將遺失最近對在那些物件和屬性上定義的密碼、主目錄、設定檔路徑、位置和連絡資訊、群組成員資格、任何安全性描述元所做的變更。
Ntdsutil 使用下列語法:ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
例如,如果要授權還原 Contoso.com 網域的
Mayberry OU,請使用下列命令:ntdsutil "authoritative restore" "restore subtree ou=Mayberry,dc=contoso,dc=com" q q
注意 請針對每個主控已刪除之使用者或群組的對等 OU 重複執行這個步驟。
重要 當您還原 OU 的次物件時,必須明確地系統授權還原已刪除之次物件的所有父系容器。 - 以一般 Active Directory 模式重新啟動修復網域控制站。
- 將系統授權還原的物件從修復網域控制站輸出複寫到網域和樹系中的網域控制站。
當修復網域控制站的輸入複寫處於停用狀態時,請輸入下列命令,將系統授權還原的物件推入到網域中所有站台間的複本網域控制站,以及推入到樹系中的通用類別目錄:repadmin /syncall /d /e /P <recovery
dc> <Naming
Context>
在樹系網域和通用類別目錄伺服器中的所有直接和轉移網域控制站,都已經複寫在系統授權還原的使用者和任何還原的容器之後,請前往步驟
11。
如果下列所有陳述皆成立,則藉由還原已刪除的使用者帳戶,重建群組成員資格連結。請前往步驟 13。
- 您的樹系是在 Windows Server 2003 樹系功能等級或 Windows Server 2003
Interim 樹系功能等級中執行。
- 只有安全性群組未被刪除。
- 所有已刪除的使用者會新增到樹系所有網域的所有安全性群組中。
請考慮使用 Repadmin
命令,以加速對還原網域控制站之使用者的輸出複寫。
如果群組也遭到刪除,或是您無法保證在轉換到 Windows Server 2003
Interim 或樹系功能等級之後,所有已刪除的使用者都已新增到所有安全性群組,則請前往步驟 12。 - 重複執行步驟 7、8 和 9,但不要還原系統狀態,然後前往步驟 11。
- 如果已刪除的使用者已經新增到外部網域的本機群組中,請執行下列其中一個步驟:
- 手動將已刪除的使用者新增回那些群組中。
- 還原系統狀態,並授權還原每個包含已刪除之使用者的本機安全性群組。
- 驗證修復網域控制站網域和其他網域中通用類別目錄的群組成員資格。
- 使用下列命令,以停用對修復網域控制站的輸入複寫:
repadmin /options recovery dc name -DISABLE_INBOUND_REPL
- 在修復網域控制站的網域以及樹系中其他網域的通用類別目錄中,為網域控制站建立新的系統狀態備份。
- 請通知樹系中所有的樹系系統管理員、委派系統管理員、服務台系統管理員,以及網域中的使用者,告知他們使用者還原作業已經完成。
某些以授權方式還原之使用者帳戶和電腦帳戶的網域密碼,在還原系統後可能會遭到變更,因此服務台系統管理員可能需要為它們重新設定密碼。
在進行系統狀態備份之後,變更其密碼的使用者會發現他們最新的密碼無法正常運作。請發生這個情形的使用者使用先前的密碼進行登入
(如果還記得之前密碼的話)。否則,服務台系統管理員就必須重設密碼,並勾選 [使用者必須在下次登入時變更密碼]
核取方塊,更理想的方式是在使用者所處之相同 Active Directory 網站的網域控制站上執行。
當您沒有有效的系統狀態備份時,如何修復 Windows Server 2003 網域控制站上已刪除的使用者
如果您在已刪除使用者帳戶或安全性群組的網域中,缺少目前的系統狀態備份,且刪除作業發生在包含 Windows Server 2003
網域控制站的網域中,則請依照下列步驟執行,以手動的方式來重新更動已刪除物件容器中的已刪除物件:
- 請依照<如何手動取消刪除已刪除物件容器中的物件>一節中的步驟,以重新更動已刪除的使用者、電腦、群組或所有上述項目。
- 使用「Active Directory 使用者及電腦」,將帳戶從停用變更為啟用(帳戶顯示於原始 OU
中)。
- 使用 Windows Server 2003 版本之「Active Directory
使用者及電腦」的大量重設功能,以便在「必須在下次登入時變更密碼」原則設定、主目錄、設定檔路徑,以及已刪除帳戶的群組成員資格上,執行大量重設作業。您也可以使用同等效果的程式設計,來代替這些功能。
- 如果使用的是 Microsoft Exchange 2000 或更新版本,請針對已刪除使用者來修復 Exchange
信箱。
- 如果使用的是 Exchange 2000 或更新版本,請讓已刪除使用者與 Exchange
信箱重新產生關聯。
- 請確定已修復的使用者可登入並存取本機目錄、共用目錄和檔案。
您可以使用下列方法,以自動執行部分或全部的修復步驟:
- 撰寫指令碼,自動執行步驟 1
所列的手動修復步驟。當您撰寫此類指令碼時,請考慮依日期、時間和最近的已知父系容器,來制定已刪除物件的範圍,然後再自動重新更動已刪除的物件。如果要自動重新更動,請將
isDeleted 屬性從 TRUE 變更為 FALSE,然後將相對辨別名稱變更為 lastKnownParent 屬性或系統管理員所指定之新 OU 或一般名稱 (CN) 容器中所定義的值 (相對辨別名稱也稱為 RDN)。
- 取得可以在 Windows Server 2003 網域控制站上,支援重新更動已刪除物件的非 Microsoft
程式。AdRestore 就是這樣的公用程式。AdRestore 會使用 Windows Server 2003
的取消刪除基本功能,來取消刪除個別物件。Aelita Software Corporation 和 Commvault Systems 也會在 Windows
Server 2003 網域控制站上提供支援取消刪除功能的產品。
如果要取得 AdRestore,請造訪下列非 Microsoft 網站:
Microsoft
提供協力廠商的連絡資訊,以協助您找出技術支援。此連絡資訊若有變更,恕不另行通知。Microsoft 不保證此協力廠商連絡資訊的準確性。
如何手動取消刪除已刪除物件容器中的物件
如果要手動取消刪除已刪除物件容器中的物件,請依照下列步驟執行:
- 按一下 [開始],再按一下 [執行],然後輸入
ldp.exe。
注意 如果 Ldp 公用程式尚未安裝,請從 Windows Server 2003 安裝 CD 來安裝支援工具。 - 使用 Ldp 中的 [連線] 功能表,以對 Windows Server 2003
網域控制站執行連線操作和連結操作。
在連結操作期間,指定網域系統管理員認證。 - 在 [選項] 功能表上,按一下
[控制項]。
- 在 [載入預先定義項目] 清單中,按一下
[傳回已刪除物件]。
注意 [1.2.840.113556.1.4.417] 控制項會移到 [使用中的控制項] 視窗中。 - 在 [控制項類型] 之下,按一下
[伺服器],然後按一下 [確定]。
- 在 [檢視] 功能表上,按一下
[樹狀目錄],輸入在進行刪除之網域中已刪除物件容器的辨別名稱路徑,然後按一下
[確定]。
注意 辨別名稱路徑也稱為 DN 路徑。例如,如果刪除作業發生在 contoso.com 網域中,則 DN 路徑會是下列路徑:cn=deleted Objects,dc=contoso,dc=com
- 在左邊窗格中,按兩下已刪除物件容器。
- 按兩下您要取消刪除或重新更動的物件。
- 用滑鼠右鍵按一下您想要重新更動的物件,然後按一下
[修改]。
在單一的「輕量型目錄存取協定」(LDAP) 修改操作中,變更 isDeleted 屬性的值和 DN 路徑。如果要設定 [修改] 對話方塊,請依照下列步驟執行:
- 在 [編輯項目屬性] 方塊中,輸入
isDeleted。
將 [數值]
方塊保持空白。 - 按一下 [刪除] 選項按鈕,然後按一下
Enter,讓兩個項目中的第一個項目顯示在 [項目清單] 對話方塊中。
重要 請勿按一下 [執行]。 - 在 [屬性] 方塊中,輸入
distinguishedName。
- 在 [數值] 方塊中,輸入重新更動之物件的新 DN
路徑。
例如,如果要將 JohnDoe 使用者帳戶重新更動到 Mayberry OU,請使用下列 DN 路徑:cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com
注意 如果您要將已刪除物件重新更動到其原始容器,請將已刪除物件之 lastKnownParent 屬性值附加到其 CN 值,然後在 [數值] 方塊中貼上完整的 DN 路徑。 - 在 [操作] 方塊中,按一下
[取代]。
- 按一下 ENTER。
- 按一下以選取 [同步] 核取方塊。
- 按一下以選取 [延伸] 核取方塊。
- 按一下 [執行]。
- 在您重新更動物件之後,按一下
[選項]、[控制項],再按一下以清除
[傳回已刪除物件],然後按一下 [確定]。
當您清除
[傳回已刪除物件],即會從 [使用中的控制項] 清單中移除 [傳回已刪除物件] 控制項
(1.2.840.1138556.1.4.417)。 - 重設已刪除使用者的使用者帳戶密碼、設定檔、主目錄和群組成員資格。
物件當初遭到刪除時,除了 SID、ObjectGUID、LastKnownParent 和 SAMAccountName 以外的所有屬性值也都遭到刪除。 - 在「Active Directory 使用者及電腦」中啟用已重新更動的帳戶。
注意 重新更動的物件擁有與遭到刪除前相同的主要
SID,但該物件必須再次新增回相同的安全性群組,以取得相同等級的資源存取權限。第一個版本的 Windows Server 2003
並未保留已重新更動之使用者帳戶、電腦帳戶和安全性群組上的 sIDHistory 屬性。Windows Server 2003 with Service Pack 1 保留了已刪除物件的 sIDHistory 屬性。 - 移除 Microsoft Exchange 的屬性,並將使用者重新連線到 Exchange 信箱。
注意 如果刪除作業發生在 Windows Server 2003
網域控制站上,便會支援重新更動已刪除的物件。如果刪除作業發生在後來升級為 Windows Server 2003 的 Windows 2000
網域控制站上,則不會支援重新更動已刪除的物件。
注意 如果刪除作業發生在網域內的 Windows 2000 網域控制站上,則 lastParentOf 屬性不會填入 Windows Server 2003 網域控制站。
如何判斷刪除的時間和位置
如果使用者在大量刪除作業中遭到刪除,您可能需要知道最初進行刪除的位置。如果要執行這項操作,請依照下列步驟執行:
- 如果已將稽核正確設定為針對組織單位 (OU)
容器或次物件的刪除作業進行追蹤,請使用能夠針對刪除作業所發生之網域中,其網域控制站的安全性事件日誌進行搜尋的公用程式。EventCombMT
公用程式就是這樣的公用程式,它可在一組限定範圍之網域控制站中搜尋事件日誌。EventCombMT 是 Windows Server 2003 Resource
Kit Tool 工具組的一部分。
如需有關如何取得 Windows Server 2003 Resource Kit Tool
工具組的詳細資訊,請造訪下列 Microsoft 網站: - 請依照<如何手動取消刪除已刪除物件容器中的物件>一節中的步驟 1 到
7,找出已刪除的安全性原則。如果有樹狀目錄已遭刪除,請依照下列步驟執行,來找出已刪除物件的父系容器。
- 將 objectGUID 的屬性值複製到 Windows 剪貼簿。
您可以在步驟 4 中輸入 Repadmin
命令時,貼上這個值。 - 輸入下列命令:
repadmin /showmeta GUID=<objectGUID> <FQDN>
例如,如果已刪除物件或容器的 objectGUID 是
791273b2-eba7-4285-a117-aa804ea76e95,且完整的網域名稱 (FQDN) 是 dc.contoso.com,則請輸入下列命令:repadmin /showmeta GUID=791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com
這個命令的語法必須包含已刪除物件或容器的 GUID,以及您要取得之伺服器的 FQDN。 - 在 Repadmin 命令輸出中,尋找 isDeleted 屬性的原始日期、時間和網域控制站。例如,isDeleted 屬性的資訊顯示在下列範例輸出的第五行:
Loc.USN Originating DC Org.USN Org.Time/Date Ver Attribute
-----------------------------------------------------------------------------------------------
134759 Default-First-Site-Name\NA-DC1 134759 2004-03-15 17:41:20 1 objectClass
134760 Default-First-Site-Name\NA-DC1 134760 2004-03-15 17:41:22 2 ou
134759 Default-First-Site-Name\NA-DC1 134759 2004-03-15 17:41:20 1 instanceType
134759 Default-First-Site-Name\NA-DC1 134759 2004-03-15 17:41:20 1 whenCreated
134760 Default-First-Site-Name\NA-DC1 134760 2004-03-15 17:41:22 1 isDeleted
134759 Default-First-Site-Name\NA-DC1 134759 2004-03-15 17:41:20 1 nTSecurityDescriptor
134760 Default-First-Site-Name\NA-DC1 134760 2004-03-15 17:41:22 2 name
134760 Default-First-Site-Name\NA-DC1 134760 2004-03-15 17:41:22 1 lastKnownParent
134760 Default-First-Site-Name\NA-DC1 134760 2004-03-15 17:41:22 2 objectCategory
- 如果輸出第二欄的原始網域控制站名稱顯示為 32 位元的英數 GUID,請使用 Ping 命令將 GUID 解析為 IP
位址和當初進行刪除的網域控制站名稱。Ping 命令使用下列語法:
ping –a <originating DC GUID>._msdomain controllers.<fully qualified path for forest root domain>
注意 -a
選項需區分大小寫。無論原始網域控制站位於何處,都使用樹系根目錄網域的完整網域名稱。
例如,如果原始網域控制站位於 Contoso.com
樹系的任何網域中,且 GUID 為 644eb7e7-1566-4f29-a778-4b487637564b,則請輸入下列命令:ping –a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com
這個命令傳回的輸出類似下列內容:
Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:
Reply from 65.53.65.101:bytes=32 time<1ms TTL=128
Reply from 65.53.65.101:bytes=32 time<1ms TTL=128
Reply from 65.53.65.101:bytes=32 time<1ms TTL=128
Reply from 65.53.65.101:bytes=32 time<1ms TTL=128
- 在步驟 5 的 Repadmin
命令輸出中指出的確切或大略時間,來檢視當初進行刪除之網域控制站的安全性記錄。
請將電腦間用來達到這個時間點的時間差異和時區列入考量。如果為
OU 容器或已刪除物件啟用刪除稽核功能,則請注意相關的稽核事件。如果並未啟用稽核,則請注意對於具有權限刪除 OU
容器或其中之次物件,且在刪除之前對原始網域控制站進行驗證的使用者。
如何將未來大量刪除的影響降到最低
將使用者、電腦、安全性群組的大量刪除作業之影響降到最低的關鍵在於,確定您具有最新的系統狀態備份、嚴密控制對於授權之使用者帳戶的存取、嚴密控制該帳戶可執行的操作,以及在大量刪除作業發生之後練習修復作業。
系統狀態每天進行變更。這些變更除了在使用者帳戶、電腦帳戶和安全性群組上,進行群組成員資格變更和其他的屬性變更之外,還可能包含對使用者帳戶和電腦帳戶所進行的密碼重設。如果您的硬體、軟體都失敗,或是網站遭遇到其他的嚴重損壞,則您將需要還原在樹系中每個
Active Directory
網域和網站中,於進行重要變更之後所做的備份。如果您並未保留最新的備份,則可能會遺失資料或需要回復還原的物件。
Microsoft
建議您執行下列步驟以避免大量刪除:
- 請勿共用內建系統管理員帳戶的密碼,或允許共用一般系統管理的使用者帳戶。如果每個人都知道內建系統管理員帳戶的密碼,請變更密碼並定義一套內部程序,以降低盜用的可能性。共用使用者帳戶的稽核事件,將無法判斷對
Active Directory 進行變更的使用者身分。因此,不建議您共用使用者帳戶。
- 蓄意刪除使用者帳戶、電腦帳戶和安全性群組是非常少見的情形。尤其對於樹狀目錄的刪除作業,更是如此。取消服務能力和委派系統管理員之間的關聯,讓這些物件不再具有建立和管理使用者帳戶、電腦帳戶、安全性群組、OU
容器及其屬性的能力。僅將這項權限授予最具權限的使用者帳戶和安全性群組,讓他們有權刪除樹狀目錄。這些具有權限的使用者帳戶可能包括企業系統管理員。
- 授予給委派系統管理員的存取權限,只限於允許其管理之物件類別。例如,如果服務台系統管理員的主要工作是修改使用者帳戶的內容,則最好不要讓該管理員具有建立和刪除電腦帳戶、安全性群組或
OU 容器的權限。這項限制也適用於系統管理員對於其他特定物件類別的刪除權限。
- 在測試網域中,嘗試各種稽核設定,以追蹤刪除作業。當您對結果感到滿意之後,再將最佳的解決方案套用到生產網域。
- 對主控成千上萬之物件的容器,進行全盤存取控制和稽核變更,會讓 Active Directory
資料庫大幅成長,特別是在 Windows 2000 網域中。使用會模擬生產網域的測試網域,以評估可用磁碟空間的潛在變更。針對生產網域中主控 Ntds.dit
檔案和網域控制項記錄檔的硬碟磁碟區,檢查可用的磁碟空間。避免對網路網域控制站標頭設定存取控制和稽核變更,進行這些變更會不必要地將變更套用到磁碟分割中,所有容器之所有類別的所有物件。例如,避免對網域磁碟分割中
CN=SYSTEM 資料夾的「網域名稱系統」(DNS) 和散佈式連結追蹤 (DLT) 記錄登錄進行變更。
- 使用最佳實務的 OU
結構在各所屬的組織單位中,分隔使用者帳戶、電腦帳戶、安全性群組和服務帳戶。當使用此類結構時,您可以將判別存取控制清單 (DACL)
套用到委派管理之單一類別的物件中,則當您需要還原物件時,便可以根據物件類別來還原物件。最佳實務的 OU 結構在《管理 Windows 網路的最佳實務 Active Directory 設計》(英文) 白皮書中的<建立組織單元設計>一節有所討論。如果要取得此白皮書,請造訪下列 Microsoft 網站:http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/bpaddsgn.mspx
(http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/bpaddsgn.mspx)
- 在模擬生產網域之測試環境中測試大量刪除作業。選擇您能接受的修復方法,然後針對組織需要進行自訂。您可能要識別下列項目:
- 每個定期備份之網域中的網域控制站名稱
- 備份影像的儲存位置
理想的狀況是,這些影像儲存在額外的硬碟上,而且這個硬碟與樹系中每個網域的通用類別目錄位於相同區域。 - 要連絡的服務台組織成員
- 最佳的連絡方式
- Microsoft 發現,使用者帳戶、電腦帳戶和安全性群組的大規模刪除,都是意外所造成。與您的 IT
人員討論這個情形,並開發內部行動計劃。首先,請著重於早期偵測,並盡快將功能傳回網域使用者和您的企業。
可協助您修復大量刪除的工具和指令碼
Groupadd.exe 命令列公用程式會讀取 OU 中使用者群的
memberOf 屬性,並建立 .ldf
檔案,該檔案可將每個還原的使用者帳戶,新增到樹系中每個網域的安全性群組中。
Groupadd.exe
會自動探索已刪除使用者所屬之網域和安全性群組,然後將其新增回那些群組中。這個過程在方法 1 的步驟 11
中有詳細的說明。
Groupadd.exe 在下列網域控制站上執行:
- Windows Server 2003 網域控制站
- 已安裝 .NET 1.1 Framework 的 Windows 2000 網域控制站
Groupadd.exe 使用下列語法:
groupadd /after_restore ldf_file [/before_restore ldf_file]
其中,
ldf_file 代表要與前一個引數搭配使用的 .ldf
檔案名稱,
after_restore 代表使用者檔案資料來源,而
before_restore 代表來自生產環境的使用者資料
(使用者檔案資料來源是良好的使用者資料)。
如果要取得 Groupadd.exe,請與「Microsoft
技術支援處」連絡。
本文提及的協力廠商產品是由與 Microsoft 無關的獨立廠商所製造。Microsoft 不以暗示或其他方式,提供與這些產品的效能或可靠性有關的保證。
文章編號: 840001 - 上次校閱: 2007年2月2日 - 版次: 8.2
這篇文章中的資訊適用於:
- Microsoft Windows Server 2003, Standard Edition (32-bit x86)
- Microsoft Windows Server 2003, 64-Bit Datacenter Edition
- Microsoft Windows Server 2003, Enterprise x64 Edition
- Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
- Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
- Microsoft Windows Server 2003, Web Edition
- Microsoft Windows XP 64-Bit Edition Version 2003
- Microsoft Windows 2000 Advanced Server
- Microsoft Windows 2000 Datacenter Server
- Microsoft Windows 2000 Professional Edition
- Microsoft Windows 2000 Server
| kbhowto kbwinservds kbactivedirectory KB840001 |
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。
回此頁最上方
