Teď jste offline a čekáte, až se znova připojí internet.

Obnovení odstraněných uživatelských účtů a členství ve skupinách ve službě Active Directory

Podpora pro Windows Server 2003 byla ukončena 14. července 2015

Společnost Microsoft ukončila podporu pro Windows Server 2003 dne 14. července 2015. Tato změna ovlivnila aktualizace softwaru a možnosti zabezpečení. Další informace o tom, co to pro vás znamená a jak zajistit ochranu.

DŮLEŽITÉ: Tento článek je přeložen pomocí softwaru na strojový překlad Microsoft. Nepřesný či chybný překlad lze opravit prostřednictvím technologie Community Translation Framework (CTF). Microsoft nabízí strojově přeložené, komunitou dodatečně upravované články, a články přeložené lidmi s cílem zajistit přístup ke všem článkům v naší znalostní bázi ve více jazycích. Strojově přeložené a dodatečně upravované články mohou obsahovat chyby ve slovníku, syntaxi a gramatice. Společnost Microsoft není odpovědná za jakékoliv nepřesnosti, chyby nebo škody způsobené nesprávným překladem obsahu nebo jeho použitím našimi zákazníky. Více o CTF naleznete na http://support.microsoft.com/gp/machine-translation-corrections/cs.

Projděte si také anglickou verzi článku: 840001
Souhrn
Můžete použít tři metody obnovení odstraněny uživatelské účty, účty počítače a skupin zabezpečení. Tyto objekty se nazývají objekty zabezpečení. Ve všech třech metodách vynucené obnovení odstraněných objektů a obnovte informace o členství skupiny pro komitenty zabezpečení Odstraněná. Při obnovení odstraněného objektu, je třeba obnovit původní hodnoty atributů člen a memberOf v ohrožených zaregistrovaný objekt zabezpečení. Tři způsoby:
  • Metoda 1: Obnovení odstraněných uživatelských účtů a pak přidejte obnovené uživatele zpět do svých skupin pomocí nástroje příkazového řádku Ntdsutil.exe (Microsoft Windows Server 2003 Service Pack 1 [SP1] pouze)
  • Metoda 2: Obnovit odstraněný uživatelský účet a obnovená uživatele přidáte zpět do jejich skupiny
  • Metoda 3: Provést vynucené obnovení odstraněné uživatelských účtů a skupin zabezpečení odstranění uživatelé dvakrát
Poznámka: Tento článek znalostní BÁZE nezahrnuje podrobnosti AD Koš funkce zahrnuté v systému Windows Server 2008 R2; Zkontrolujte části odkazy pro další informace o této funkci.

Vzhledem k tomu, že jejich přidávání do skupin zabezpečení, které byly provedeny od posledního stavu systému zálohování a čas, kdy došlo k odstranění zachovat metody 1 a 2 poskytovat lepší prostředí pro uživatele domény a správci. V metodě 3, namísto jednotlivých úprav zaregistrovaných objektů zabezpečení můžete vrátit zpět zabezpečení členství ve skupinách do stavu v době od posledního zálohování.

Pokud nemáte platnou zálohu stavu systému a kde došlo k odstranění doména obsahuje řadiče domény se systémem Windows Server 2003, můžete ručně nebo programově obnovit odstraněné objekty. Nástroj Repadmin také lze určit, kdy a kde uživatel byl odstraněn.

Většina rozsáhlých odstranění jsou náhodné. Společnost Microsoft doporučuje podniknout několik kroků k jiným uživatelům zabránit v odstranění objektů ve velkém.

Poznámka: Chcete-li zabránit náhodnému odstranění nebo přesunu objektů (zejména organizační jednotky), dva odepřít položky řízení přístupu (ACE), které mohou být přidány do popisovače zabezpečení každého objektu (DENY "Odstranit" & "Odstranění STROMU") a jeden odepřít položky řízení přístupu (ACE), které mohou být přidány do popisovače zabezpečení nadřazeného každého objektu (ODEPŘÍT "Odstranit dítě"). To provedete v systému Windows 2000 Server a Windows Server 2003 pomocí Active Directory Users a počítačů, ADSIEdit, nástroj LDP nebo nástroje příkazového řádku DSACLS. Můžete také změnit výchozí oprávnění schématu AD pro organizační jednotky tak, aby ve výchozím nastavení jsou zahrnuty tyto položky řízení přístupu.

Například chránit organizační jednotce, která se nazývá uživatele v doméně AD, která se nazývá CONTOSO.COM omylem přesunuty nebo odstraněny z jeho nadřazené organizační jednotky, která se nazývá Spolecnost, proveďte následující konfiguraci:

Pro organizační jednotku spolecnost přidáte ACE ODEPŘÍT pro všechny uživateleOdstraňovat PODŘÍZENÉ s rozsahem pouze tento objekt :
DSACLS "OU = společnost, DC = CONTOSO, DC = COM" /D "EVERYONE: DC"

Organizační jednotce uživatele přidat ACE ODEPŘÍT pro všechny uživateleOdstranit a odstranění STROMUpouze tento objekt rozsah:
DSACLS "OU = Users, OU = společnost, DC = CONTOSO, DC = COM" /D "EVERYONE: SDDT"

Modulu snap-in Active Directory uživatelé a počítače v systému Windows Server 2008 obsahuje zaškrtávací políčko chránit objekt před náhodným smazáním na kartě objektu .

Poznámka:Pokročilé funkce políčko musí být povoleno zobrazení dané karty.

Když vytvoříte organizační jednotky pomocí Active Directory Users a počítače v systému Windows Server 2008, se zobrazí zaškrtávací políčko kontejner chránit před nechtěným odstraněním . Ve výchozím nastavení políčko zaškrtnuto a může být vypnutá.

Každý objekt služby Active Directory je možné nakonfigurovat pomocí těchto ACE, toto je nejvhodnější pro organizační jednotky. Odstranění nebo pohyb všech objektů v listu může mít významný vliv. Tato konfigurace zabrání toto odstranění nebo pohyby. Pokud chcete opravdu odstranit nebo přesunout objekt pomocí taková konfigurace, musí být nejprve odstraněny ACE odepřít.
Další informace
Tento podrobný článek popisuje, jak obnovit uživatelské účty, účty počítače a členství ve skupinách a poté, co byla odstraněna ze služby Active Directory. Ve variantách tohoto scénáře uživatelské účty, účty počítače nebo skupiny zabezpečení byl pravděpodobně odstraněn samostatně nebo v kombinaci. Ve všech těchto případech stejné počáteční kroky použít--autoritativní obnovení, nebo auth obnovenítěchto objektů, které byly omylem odstraněny. Některé odstraněné objekty vyžadují více práce má být obnoven. Mezi tyto objekty patří objekty, například uživatelské účty, které obsahují atributy, které jsou zpětné odkazy atributy jiných objektů. Dvě z těchto atributů jsou managedBy a memberOf.

Při přidávání zaregistrovaných objektů zabezpečení, například účet uživatele, skupiny zabezpečení nebo účet počítače do skupiny zabezpečení, je třeba provést následující změny ve službě Active Directory:
  1. Jméno komitenta zabezpečení je přidán k atributu člen každé skupiny zabezpečení.
  2. Pro každou skupinu zabezpečení, aby skupiny uživatelů, počítačů nebo thesecurity je členem, zpět bude přidán odkaz na atributmemberOf zaregistrovaný objekt zabezpečení.
Podobně jestliže uživatel, počítač nebo skupinu odstraněna ze služby Active Directory, dojde k následujícím akcím:
  1. Odstraněné zabezpečení je přesunuta do kontejneru deletedobjects.
  2. Počet hodnot atributů, včetně atribut memberOf vynechány z odstraněné securityprincipal.
  3. Odstraněné zaregistrovaných objektů jsou odebrány ze všech securitygroups, že je členem. Jinými slovy odstraněný securityprincipals odebrán atribut člen každé skupiny zabezpečení.
Při obnovení odstraněného zaregistrovaných objektů a obnovení členství ve skupinách, klíče bod pamatovat je, že každý zaregistrovaný objekt zabezpečení musí existovat ve službě Active Directory před obnovením jeho členství ve skupině. (Člen může být uživatel, počítač nebo jiné skupiny zabezpečení.) Lépe formulovat obecněji toto pravidlo, můžete obnovit objekt obsahující atributy, jejichž hodnoty jsou zpět odkazy musí existovat ve službě Active Directory před objekt, který obsahuje daný odkaz vpřed nebo změněn.

Přestože tento článek je zaměřen na obnovení odstraněné uživatelských účtů a jejich členství ve skupinách zabezpečení, jeho koncepce se použije rovněž pro odstranění jiných objektů. Pojmy Tento článek se použije rovněž pro odstraněných objektů, jejichž hodnoty atribut odkazy vpřed a zpět odkazy na jiné objekty ve službě Active Directory.

Můžete použít některou ze tří metod obnovení zaregistrované objekty zabezpečení. Při použití metody 1 můžete ponechat v platnosti všechny zabezpečení objektů, které byly přidány do žádné skupiny zabezpečení v doménové struktuře a přidat pouze zaregistrované objekty zabezpečení, které byly odstraněny ze svých doménách zpět do jejich skupiny zabezpečení. Například můžete vytvořit zálohu stavu systému, přidat uživatele do skupiny zabezpečení a potom obnovit zálohu stavu systému. Při použití metody 1 nebo 2, zachovat se všichni uživatelé, kteří byly přidány do skupiny zabezpečení obsahující odstraněné uživatelů mezi daty, která byla vytvořena záloha stavu systému a data, která byla obnovena záloha. Při použití metody 3 můžete vrátit zpět zabezpečení členství ve skupinách pro všechny skupiny zabezpečení obsahující odstraněné uživatelům jejich stavu v době, která byla vytvořena záloha stavu systému.

Metoda 1: Obnovení odstraněných uživatelských účtů a pak přidejte obnovené uživatele zpět do svých skupin pomocí nástroje příkazového řádku Ntdsutil.exe (Microsoft Windows Server 2003 Service Pack 1 [SP1] pouze)

Poznámka: Tato metoda je platné pouze v řadičích domény se systémem Windows Server 2003 s aktualizací SP1. Pokud systém Windows Server 2003 SP1 nebyla nainstalována na řadiči domény, které můžete použít pro obnovení systému, použijte metodu 2.

V systému Windows Server 2003 SP1 byla přidána funkce nástroje příkazového řádku Ntdsutil.exe více správcům snadno obnovit zpětná propojení odstraněných objektů. Dva soubory jsou generovány pro každou operaci autoritativní obnovení. Jeden soubor obsahuje seznamu autoritativně obnovených objektů. Druhý soubor je soubor LDF, který se používá v nástroji Ldifde.exe. Tento soubor se používá k obnovení zpětná propojení pro objekty, které jsou autoritativní obnovení. Autoritativní obnovení objektu uživatele v systému Windows Server 2003 SP1 také vytváří soubory LDIF s členství ve skupině. Tímto způsobem se vyhnete dvojité obnovení.

Při použití této metody provedením následujících hlavních kroků:
  1. Zkontrolujte, zda globální katalog v hasnot domény uživatele replikovat odstranění a potom zabránit fromreplicating tohoto globálního katalogu. Pokud neexistuje žádný latentní globální katalog, vyhledejte nejvíce currentsystem stav zálohování řadiče domény globálního katalogu v doméně odstraněné user'shome.
  2. Auth obnovení všech odstraněný uživatelský účet a pak permitend konec replikace těchto uživatelských účtů.
  3. Přidáte všechny obnovené uživatele zpět na všechny skupiny allthe domén, které uživatelské účty byly členem dříve, než weredeleted.
Chcete-li použít metodu 1, postupujte takto:
  1. Zkontrolujte, zda je v domovské doméně daného uživatele, který nebyl replikován jakékoli části odstranění domaincontroller globálního katalogu.

    Poznámka: Zaměřit na globální katalogy, které mají alespoň frequentreplication plány.

    Pokud existuje jeden nebo více těchto globálních katalogů, pomocí nástroje příkazového řádku Repadmin.exe okamžitě zakázat inboundreplication. Chcete-li to provést, postupujte takto:
    1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
    2. Napište cmd v Otevřít pole a pak klepněte na tlačítko OK.
    3. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
      repadmin/options <recovery dc="" name=""></recovery> + DISABLE_INBOUND_REPL
      Poznámka:Pokud nelze vydat příkaz Repadmin okamžitě, odeberte všechna připojení k síti z latentní globální katalog dokud zakázat příchozí replikace pomocí příkazu Repadmin a ihned vrátit připojení k síti.
    Tento řadič domény bude označována jako řadič recoverydomain. Pokud neexistuje žádný globální katalog, přejděte ke kroku 2.
  2. Je vhodné zastavit provádění změn skupinám zabezpečení v theforest, pokud jsou splněny všechny následující příkazy:
    • Použití metody 1 auth obnovení odstraněných uživatelé nebo počítače účty podle jejich cestu rozlišující název (dn).
    • Odstranění byla replikována do všech řadičů domény v doménové struktuře kromě latentní obnovení řadiče domény.
    • Nejste auth obnovení skupiny zabezpečení nebo jejich nadřazených kontejnerů.
    Pokud jste auth obnovení skupiny zabezpečení nebo názvu (OU) kontejnerů, které jsou hostitelem zabezpečení skupinám nebo uživatelským účtům, temporarilystop tyto změny.

    Upozornění správců a pomoci deskadministrators v příslušných doménách kromě uživatelů domény v thedomain, kde došlo k odstranění o zastavení těchto změn.
  3. Vytvořte novou zálohu stavu systému v doméně, kde došlo k thedeletion. Zálohu můžete využít, pokud budete muset vrátit zpět yourchanges.

    Poznámka: Pokud zálohování stavu systému jsou aktuální až do bodu thedeletion, tento krok přeskočit a přejděte ke kroku 4.

    Pokud je zjištěn řadič domény arecovery v kroku 1, zálohujte stav systému.

    Globální katalog umístěn v doméně Ifall kde occurredreplicated odstranění odstranění, zálohujte stav systému globálního katalogu v thedomain, kde došlo k odstranění.

    Při vytváření zálohy canreturn řadič domény pro obnovení zpět do jeho aktuální stav a znovu plán obnovy performyour Pokud vaše první akci se nezdaří.
  4. Pokud nemůžete najít domaincontroller latentní globálního katalogu v doméně, kde došlo k odstranění uživatele, najděte nejvíce recentsystem stav zálohování řadiče domény globálního katalogu v doméně. Záloha stavu Thissystem by měl obsahovat odstraněných objektů. Pomocí tohoto domaincontroller jako řadič domény pro obnovení.

    Její theglobal katalogu řadiče domény v doméně uživatele obsahovat globální anduniversal informace členství pro skupiny zabezpečení, které jsou umístěny inexternal domén. Pokud není k dispozici žádná záloha stavu systému z domaincontroller globálního katalogu v doméně, kde byly odstraněny uživatelé, nelze použít atribut memberOf v obnovené uživatelské účty k určení členství ve skupinách globální oruniversal nebo obnovení členství v externích doménách.Kromě toho je vhodné vyhledat nejnovější systém státu zálohování správcem bez globálního katalogu řadič domény.
  5. Pokud znáte heslo pro offline administratoraccount, spusťte v režimu Dsrepair obnovení řadiče domény. V takovém případě notknow heslo pro účet správce v režimu offline obnovení passwordwhile, řadič domény pro obnovení je stále v normální aktivní Directorymode.

    Nástroj setpwd příkazového řádku můžete použít k obnovení hesla v doméně controllersthat se systémem Microsoft Windows 2000 Service Pack 2 (SP2) a novější whilethey jsou v režimu online služby Active Directory.

    Poznámka:Společnost Microsoft již nepodporuje systém Windows 2000.

    Další informace o změně hesla správce konzoly pro zotavení klepněte na následující číslo článku databáze Microsoft Knowledge Base:
    239803 Jak změnit heslo správce konzoly pro zotavení v řadiči domény
    Z domaincontrollers systému Windows Server 2003 mohou správci příkaz nastavit heslo dsrm v nástroji příkazového řádku Ntdsutil resetovat heslo k účtu offlineadministrator.

    Další informace o tom, jak obnovit účet správce režimu obnovení adresářových služeb, získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
    322672 Jak obnovit heslo účtu správce režimu obnovení adresářových služeb v systému Windows Server 2003
  6. Spustit řadič recoverydomain v režimu Dsrepair během spouštění stiskněte klávesu F8. Přihlaste se ke konzole řadiče recoverydomain pomocí účtu správce v režimu offline. Pokud nastavíte v kroku 5 thepassword, použijte nové heslo.

    Pokud domaincontroller obnovení řadiče domény globálního katalogu latentní, neobnovujte nalezenou státu. Přejděte ke kroku 7.

    Pokud vytváříte domaincontroller obnovení pomocí zálohy stavu systému, obnovte aktuální systemstate zálohy, která byla provedena v řadiči domény, obnovení nyní.
  7. Auth obnovit odstraněný uživatelský účet, účty deletedcomputer nebo odstraněné zabezpečení skupiny.

    Poznámka: Podmínky auth obnovení a autoritativní obnovení naleznete procesu zvýšit číslo verze specificobjects nebo zvláštních kontejnerů a jejich podřízené objekty pomocí příkaz authoritative restore v nástroji příkazového řádku Ntdsutil . Dojde k replikaci brzy asend do konce, stane autoritativní řadiči thedomain, které sdílejí tento oddíl cílové objekty v řadičdomény obnovení místní kopii Active Directory. Isdifferent autoritativní obnovení z obnovení stavu systému. Populatesthe obnovení stavu systému obnovit místní kopie řadiče domény služby Active Directory s theversions objekty v době, že systém státu zálohování wasmade.

    Další informace o ověření obnovení řadiče domény klepněte na následující číslo článku databáze Microsoft Knowledge Base:
    241594 Jak provést autoritativní obnovení řadiče domény v systému Windows 2000


    Autoritativní obnovení jsou performedwith nástroj příkazového řádku Ntdsutil a odkazovat na cestu název (dn) domény uživatelů thedeleted nebo kontejnerů hostující odstraněného uživatele.

    Whenyou auth obnovit použití domény název (dn) cesty, které jsou tak nízké v doméně treeas, které musí být, aby se zabránilo návratu objekty, které nesouvisejí s thedeletion. Tyto objekty mohou zahrnovat objekty, které byly upraveny po systemstate backup.

    Obnovení odstraněných uživatelé ověření v followingorder:
    1. Auth obnovení domény název (dn) cestu pro každý odstraněný uživatelský účet, účet počítače nebo skupiny zabezpečení.

      Autoritativní obnovení konkrétních objektů trvat déle, ale jsou méně destruktivní než autoritativní obnovení celého podstromu. Auth obnovit nejnižší společný nadřazený kontejner obsahující odstraněných objektů.

      Nástroj Ntdsutil používá následující syntaxi:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovení objektu <object dn="" path=""></object>"q q
      Například auth obnovte odstraněný uživatelský JohnDoe v Mayberry OU z Contoso.com domény, použijte následující příkaz:
      ntdsutil "autoritativní obnovení" "obnovit objekt cn = JohnDoe, ou = Mayberry, dc = contoso, dc = com" q q
      Chcete-li auth obnovit odstraněné zabezpečení skupiny ContosoPrintAccess v Mayberry OU z Contoso.com domény, použijte následující příkaz:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovit objekt cn = ContosoPrintAccess, ou = Mayberry, dc = contoso, dc = com" q q


      Důležité Použití uvozovek je vyžadován.

      Nejméně dva soubory jsou generovány pro každého uživatele, který obnovujete. Tyto soubory mají následující formát:

      ar_RRRRMMDD HHMMSS_objects.txt
      Tento soubor obsahuje seznamu autoritativně obnovených objektů. Tento soubor pomocí příkazu ntdsutil authoritatative obnovení "vytvořit soubor ldif z" v libovolné jiné doméně v doménové struktuře, kde uživatel byl členem domény místní skupiny.

      ar_RRRRMMDD HHMMSS_links_usn.LOC.ldf
      Pokud provádíte obnovení ověření na globální katalog, jeden z těchto souborů je generována pro každou doménu v doménové struktuře. Tento soubor obsahuje skript, který lze použít nástroj Ldifde.exe. Skript obnoví zpětná propojení pro obnovené objekty. V domovské doméně uživatele skript obnoví všechny členstvím obnovené uživatelé. V ostatních doménách v doménové struktuře, kde má uživatel členství ve skupinách skript obnoví pouze univerzální a globální skupiny členství. Skript neobnoví všechny místní domény členství ve skupinách. Tato členství nejsou sledovány globálního katalogu.
    2. Auth obnovit pouze organizační jednotku nebo běžný název (CN) kontejnery, které jsou hostitelem odstraněného uživatelských účtů nebo skupin.

      Autoritativní obnovení celého podstromu jsou platné, pokud obsahuje organizační jednotku, je určen pomocí příkazu ntdsutil "autoritativní obnovení" naprostou většinu objekty, které se pokoušíte auth obnovení. V ideálním případě cílové organizační jednotky obsahuje všechny objekty, které se pokoušíte auth obnovení.

      Autoritativní obnovení v podstromu OU obnoví všechny atributy a objekty, které jsou umístěny v kontejneru. Všechny změny, které byly provedeny doby obnovení zálohy stavu systému jsou vrácena zpět na hodnoty v době zálohování. S uživatelské účty, účty počítače a skupin zabezpečení, toto vrácení může znamenat ztrátu poslední změny hesla do domovského adresáře do profilu cesty na místo a kontaktní informace, členství ve skupinách a všechny popisovače zabezpečení, které jsou definovány v těchto objektů a atributy.

      Nástroj Ntdsutil používá následující syntaxi:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovit podstrom <container dn="" path=""></container>"q q
      Například k obnovení ověření Mayberry OU z Contoso.com domény, použijte následující příkaz:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovení podstromu ou = Mayberry, dc = contoso, dc = com" q q
    Poznámka: Tento krok opakujte pro každý z partnerů OU orgroups uživatelé tohoto hostitele odstraněna.

    Důležité Po obnovení podřízeného objektu organizační jednotky, všechny kontejnery deletedparent odstranění podřízených objektů musí být explicitně authrestored.

    Pro každou organizační jednotku, která obnovíte, alespoň jsou generovány twofiles. Tyto soubory mají následující formát:

    ar_RRRRMMDD HHMMSS_objects.txt

    Tento soubor obsahuje seznam objektů, authoritativelyrestored. Tento soubor pomocí příkazu ntdsutil authoritatative obnovení "vytvořit soubor ldif z" v libovolné jiné doméně v doménové struktuře, kde restoredusers byli členy domény místní skupiny.

    Další informace naleznete visitthe následujícího webu společnosti Microsoft:ar_RRRRMMDD HHMMSS_links_usn.LOC.ldf
    Tento soubor obsahuje skript, který lze použít nástroj theLdifde.exe. Skript obnoví zpětná propojení pro obnovené objekty.V domovské doméně uživatele skript obnoví všechny členstvím obnovené uživatelé.
  8. Pokud odstraněné objekty byly obnoveny v řadičdomény zotavení z důvodu obnovení stavu systému, odeberte všechny síťové cablesthat poskytnout připojení k síti do všech ostatních řadičů domény v theforest.
  9. Restartujte řadič domény pro obnovení v normálním režimu AD.
  10. Zadejte následující příkaz zakázat příchozí replicationto řadič domény pro obnovení:
    repadmin/options <recovery dc="" name=""></recovery> + DISABLE_INBOUND_REPL
    Povolení síťové připojení zpět k obnovení stavu systému controllerwhose domény byla obnovena.
  11. Odchozí replikace, auth obnovit objekty z řadiče domény therecovery na řadiče domény v doméně a v theforest.

    Během příchozí replikace controllerremains domény obnovení zakázáno, zadejte následující příkaz Posunout objectsto auth obnovení všech webů replikovaných řadičích domén v doméně a všechny katalogy theglobal v doménové struktuře:
    repadmin /syncall /d /e /P <recovery dc=""><Naming context=""></Naming></recovery>
    Pokud jsou splněny všechny následující příkazy, obnovení a replikace odstraněný useraccounts znovu sestavena linksare členství skupiny. Přejděte ke kroku 14.

    Poznámka: Pokud jeden nebo více z následujících tvrzení není pravdivé, přejděte tostep 12.
    • V doménové struktuře se systémem na úrovni funkčnosti doménové struktury systému Windows Server 2003 nebo na úrovni funkčnosti doménové struktury systému Windows Server 2003 – provizorní.
    • Pouze uživatelské účty nebo účty počítačů byly odstraněny a nikoli skupiny zabezpečení.
    • Odstranění uživatelé byli přidáni do skupin zabezpečení ve všech doménách v doménové struktuře po doménové struktury byla přepnuta do úrovně funkčnosti doménové struktury systému Windows Server 2003.
  12. V konzole pro zotavení řadiče domény pomocí nástroje theLdifde.exe a thear_RRRRMMDD HHMMSS_links_usn.LOC.ldf soubor torestore členství ve skupině uživatele. Chcete-li to provést, postupujte takto:
    • Klepněte na tlačítko Start, klepněte na tlačítko Spustit, typ cmd v Otevřít pole a pak klepněte na tlačítko OK.
    • Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
      ldifde -i -f ar_RRRRMMDD HHMMSS_links_usn.LOC.ldf
    Importu LDIFDE může selhat a může zobrazit následující chybová zpráva:
    Na řádkuxxx>: Neplatná syntaxe chyba na straně serveru je "parametr je nesprávný."
    Pokud číslo problematické v ODKAZECH.LDF soubor odkazuje na jednu ze tří atributů cestovního pověření, msPKIDPAPIMasterKeys, msPKIAccountCredentials nebo msPKIRoamingTimeStamp, naleznete v následujícím článku znalostní báze Microsoft Knowledge Base (KB):
    2014074 Chyba "parametr je nesprávný" při pokusu o Import souboru LDF autoritativní obnovení
    Poznámka:Tento článek popisuje změny, které jsou povinny úspěšně importovat soubor LDF odkazy.
  13. Povolte příchozí replikace řadičdomény obnovení pomocí následujícího příkazu:
    repadmin/options <recovery dc="" name=""></recovery> -DISABLE_INBOUND_REPL
  14. Pokud odstraněné uživatele byly přidány do místní skupiny v externaldomains, proveďte jednu z následujících akcí:
    • Odstranění uživatelé ručně přidáte zpět do těchto skupin.
    • Obnovení stavu systému a ověření každé skupiny místního zabezpečení, které obsahuje odstraněné uživatele obnovit.
  15. Ověření členství v controller'sdomain obnovení domény a globální katalogy v jiných doménách.
  16. Vytvořte nový stav systému zálohu řadiče domény v doméně řadiče domény therecovery.
  17. V doménové struktuře oznámí správci, delegatedadministrators, help desk správce v doménové struktuře a uživatelé v domainthat obnovení uživatele byla dokončena.

    Pomáhají správcům stůl haveto může obnovit hesla obnovit ověřování uživatelských účtů a hesla domény accountswhose počítače po obnovení systému wasmade změnit.

    Uživatelé, kteří po backupwas stavu systému, provedené najdete již funguje jejich poslední heslo změnit svá hesla. Se pokusí přihlásit pomocí své předchozí heslo, pokud vědí, že je suchusers.Jinak nápovědy desk správci musí resetovat heslo a zaškrtněte políčkouživatel musí změnit heslo při příštím přihlášení , preferablyon řadič domény ve stejné lokalitě služby Active Directory jako uživatel je locatedin.

Metoda 2: Obnovit odstraněný uživatelský účet a obnovená uživatele přidáte zpět do jejich skupiny

Při použití této metody provedením následujících hlavních kroků:
  1. Zkontrolujte, zda globální katalog v hasnot domény uživatele replikovat odstranění a potom zabránit fromreplicating tohoto globálního katalogu. Pokud neexistuje žádný latentní globální katalog, vyhledejte nejvíce currentsystem stav zálohování řadiče domény globálního katalogu v doméně odstraněné user'shome.
  2. Auth obnovení všech odstraněný uživatelský účet a pak permitend konec replikace těchto uživatelských účtů.
  3. Přidáte všechny obnovené uživatele zpět na všechny skupiny allthe domén, které uživatelské účty byly členem dříve, než weredeleted.
Při použití metody 2, postupujte takto:
  1. Zkontrolujte, zda je v domovské doméně daného uživatele, který nebyl replikován jakékoli části odstranění domaincontroller globálního katalogu.

    Poznámka: Zaměřit na globální katalogy, které mají alespoň frequentreplication plány.

    Pokud existuje jeden nebo více těchto globálních katalogů, pomocí nástroje příkazového řádku Repadmin.exe okamžitě zakázat inboundreplication. Chcete-li to provést, postupujte takto:
    1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
    2. Napište cmd v Otevřít pole a pak klepněte na tlačítko OK.
    3. Na příkazovém řádku zadejte následující příkaz a stiskněte klávesu ENTER:
      repadmin/options <recovery dc="" name=""></recovery> + DISABLE_INBOUND_REPL
      Poznámka:Pokud nelze vydat příkaz Repadmin okamžitě, odeberte všechna připojení k síti z latentní globální katalog dokud zakázat příchozí replikace pomocí příkazu Repadmin a ihned vrátit připojení k síti.
    Tento řadič domény bude označována jako řadič recoverydomain. Pokud neexistuje žádný globální katalog, přejděte ke kroku 2.
  2. Rozhodněte, zda přidání, odstranění a změny useraccounts, účty počítače a skupin zabezpečení musí být dočasně stoppeduntil, byly dokončeny všechny kroky pro obnovení.

    Udržovat cesta pro obnovení mostflexible, dočasně zastavte, změny následujících položek.Změny zahrnují obnovení hesla uživatelů v doméně, správci stolu nápovědy, andadministrators v doméně, kde odstranění došlo k chybě, groupmembership změn ve skupinách odstraněného uživatele. Vezměte v úvahu zastavení přidávání, odstraňování a změny následujících položek:
    1. Uživatelské účty a atributy uživatelských účtů
    2. Atributy na účty počítače a účty počítačů
    3. Účty služeb
    4. Skupiny zabezpečení
    Je vhodné zastavit provádění změn skupinám zabezpečení v theforest, pokud jsou splněny všechny následující příkazy:
    • Použití metody 2 auth obnovení odstraněných uživatelé nebo počítače účty podle jejich cesta a název (dn).
    • Odstranění byla replikována do všech řadičů domény v doménové struktuře kromě latentní obnovení řadiče domény.
    • Nejste auth obnovení skupiny zabezpečení nebo jejich nadřazených kontejnerů.
    Pokud jste auth obnovení skupiny zabezpečení nebo názvu (OU) kontejnerů, které jsou hostitelem zabezpečení skupinám nebo uživatelským účtům, temporarilystop tyto změny.

    Upozornění správců a pomoci deskadministrators v příslušných doménách kromě uživatelů domény v thedomain, kde došlo k odstranění o zastavení těchto změn.
  3. Vytvořte novou zálohu stavu systému v doméně, kde došlo k thedeletion. Zálohu můžete využít, pokud budete muset vrátit zpět yourchanges.

    Poznámka: Pokud zálohování stavu systému jsou aktuální až do bodu thedeletion, tento krok přeskočit a přejděte ke kroku 4.

    Pokud je zjištěn řadič domény arecovery v kroku 1, zálohujte stav systému.

    Globální katalog umístěn v doméně Ifall kde occurredreplicated odstranění odstranění, zálohujte stav systému globálního katalogu v thedomain, kde došlo k odstranění.

    Při vytváření zálohy canreturn řadič domény pro obnovení zpět do jeho aktuální stav a znovu plán obnovy performyour Pokud vaše první akci se nezdaří.
  4. Pokud nemůžete najít domaincontroller latentní globálního katalogu v doméně, kde došlo k odstranění uživatele, najděte nejvíce recentsystem stav zálohování řadiče domény globálního katalogu v doméně. Záloha stavu Thissystem by měl obsahovat odstraněných objektů. Pomocí tohoto domaincontroller jako řadič domény pro obnovení.

    Její theglobal katalogu řadiče domény v doméně uživatele obsahovat globální anduniversal informace členství pro skupiny zabezpečení, které jsou umístěny inexternal domén. Pokud není k dispozici žádná záloha stavu systému z domaincontroller globálního katalogu v doméně, kde byly odstraněny uživatelé, nelze použít atribut memberOf v obnovené uživatelské účty k určení členství ve skupinách globální oruniversal nebo obnovení členství v externích doménách.Kromě toho je vhodné vyhledat nejnovější systém státu zálohování správcem bez globálního katalogu řadič domény.
  5. Pokud znáte heslo pro offline administratoraccount, spusťte v režimu Dsrepair obnovení řadiče domény. V takovém případě notknow heslo pro účet správce v režimu offline obnovení passwordwhile, řadič domény pro obnovení je stále v normální aktivní Directorymode.

    Nástroj setpwd příkazového řádku můžete použít k obnovení hesla v doméně controllersthat se systémem Microsoft Windows 2000 Service Pack 2 (SP2) a novější whilethey jsou v režimu online služby Active Directory.

    Poznámka:Společnost Microsoft již nepodporuje systém Windows 2000.

    Další informace o změně hesla správce konzoly pro zotavení klepněte na následující číslo článku databáze Microsoft Knowledge Base:
    239803 Jak změnit heslo správce konzoly pro zotavení v řadiči domény
    Z domaincontrollers systému Windows Server 2003 mohou správci příkaz nastavit heslo dsrm v nástroji příkazového řádku Ntdsutil resetovat heslo k účtu offlineadministrator.

    Další informace o tom, jak obnovit účet správce režimu obnovení adresářových služeb, získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
    322672 Jak obnovit heslo účtu správce režimu obnovení adresářových služeb v systému Windows Server 2003
  6. Spustit řadič recoverydomain v režimu Dsrepair během spouštění stiskněte klávesu F8. Přihlaste se ke konzole řadiče recoverydomain pomocí účtu správce v režimu offline. Pokud nastavíte v kroku 5 thepassword, použijte nové heslo.

    Pokud domaincontroller obnovení řadiče domény globálního katalogu latentní, neobnovujte nalezenou státu. Přejděte ke kroku 7.

    Pokud vytváříte domaincontroller obnovení pomocí zálohy stavu systému, obnovte aktuální systemstate zálohy, která byla provedena v řadiči domény, obnovení nyní.
  7. Auth obnovit odstraněný uživatelský účet, účty deletedcomputer nebo odstraněné zabezpečení skupiny.

    Poznámka: Podmínky auth obnovení a autoritativní obnovení naleznete procesu zvýšit číslo verze specificobjects nebo zvláštních kontejnerů a jejich podřízené objekty pomocí příkaz authoritative restore v nástroji příkazového řádku Ntdsutil . Dojde k replikaci brzy asend do konce, stane autoritativní řadiči thedomain, které sdílejí tento oddíl cílové objekty v řadičdomény obnovení místní kopii Active Directory. Isdifferent autoritativní obnovení z obnovení stavu systému. Populatesthe obnovení stavu systému obnovit místní kopie řadiče domény služby Active Directory s theversions objekty v době, že systém státu zálohování wasmade.

    Další informace o ověření obnovení řadiče domény klepněte na následující číslo článku databáze Microsoft Knowledge Base:
    241594 Jak provést autoritativní obnovení řadiče domény v systému Windows 2000


    Autoritativní obnovení jsou performedwith nástroj příkazového řádku Ntdsutil a odkazovat na cestu název (dn) domény uživatelů thedeleted nebo kontejnerů hostující odstraněného uživatele.

    Whenyou auth obnovit použití domény název (dn) cesty, které jsou tak nízké v doméně treeas, které musí být, aby se zabránilo návratu objekty, které nesouvisejí s thedeletion. Tyto objekty mohou zahrnovat objekty, které byly upraveny po systemstate backup.

    Obnovení odstraněných uživatelé ověření v followingorder:
    1. Auth obnovení domény název (dn) cestu pro každý odstraněný uživatelský účet, účet počítače nebo skupiny zabezpečení.

      Autoritativní obnovení konkrétních objektů trvat déle, ale jsou méně destruktivní než autoritativní obnovení celého podstromu. Auth obnovit nejnižší společný nadřazený kontejner obsahující odstraněných objektů.

      Nástroj Ntdsutil používá následující syntaxi:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovení objektu <object dn="" path=""></object>"q q
      Například auth obnovte odstraněný uživatelský JohnDoe v Mayberry OU z Contoso.com domény, použijte následující příkaz:
      ntdsutil "autoritativní obnovení" "obnovit objekt cn = JohnDoe, ou = Mayberry, dc = contoso, dc = com" q q
      Chcete-li auth obnovit odstraněné zabezpečení skupiny ContosoPrintAccess v Mayberry OU z Contoso.com domény, použijte následující příkaz:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovit objekt cn = ContosoPrintAccess, ou = Mayberry, dc = contoso, dc = com" q q


      Důležité Použití uvozovek je vyžadován.

      Poznámka:Tato syntaxe je k dispozici pouze v systému Windows Server 2003. V systému Windows 2000 pouze syntaxe je následujícím způsobem:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovit podstrom Cesta k objektu název domény"
      Poznámka: Operace Ntdsutil autoritativní obnovení se nezdaří, pokud cesta rozlišující název (DN) obsahuje rozšířené znaky nebo mezery. V pořadí pro skriptované obnovení úspěšné obnovení objektu" <DN path=""></DN>"příkaz musí být předána jako jeden úplný řetězec.
      Chcete-li tento problém vyřešit, obtékání DN, obsahující rozšířené znaky a mezery pomocí sekvence escape zpětného lomítka dvojité nabídky značek. Zde je příklad:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovení objektu \"CN=John Nováková, OU = Mayberry NC, DC = contoso, DC = com\ "" q q

      Poznámka:Příkaz musí být upravena dále, je-li DN objektů obnovovaný obsahovat čárky. Viz následující příklad:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovení objektu \"CN=Doe\, John, OU = Mayberry NC, DC = contoso, DC = com\ "" q q

      Poznámka:Pokud objekty byly obnoveny z pásky, které jsou označeny jako autoritativní obnovení nefunguje podle očekávání a použije stejnou pásku znovu obnovení databáze NTDS, USN verzi objekty autoritativně obnovit se musí zvýšit vyšší než výchozí 100000 nebo objekty nebudou replikovány po druhé obnovení. Níže uvedené syntaxe je potřeba skriptovat číslo vyšší verze, která je vyšší než 100000 (výchozí): ntdsutil "autoritativní obnovení" "obnovení objektu \"CN=Doe\, John, OU = Mayberry NC, DC = contoso, DC = com\ "verinc 150000\" "q q

      Poznámka:Pokud skript zobrazí výzvu k potvrzení pro každý objekt obnovovaný můžete vypnout pokynů. Syntaxe pro vypnutí výzvy: ntdsutil "popups off" "autoritativní obnovení" "obnovit objekt \"CN=John Nováková, OU = Mayberry NC, DC = contoso, DC = com\ "verinc 150000\" "q q
    2. Auth obnovit pouze organizační jednotku nebo běžný název (CN) kontejnery, které jsou hostitelem odstraněného uživatelských účtů nebo skupin.

      Autoritativní obnovení celého podstromu jsou platné, pokud obsahuje organizační jednotku, je určen pomocí příkazu ntdsutil "autoritativní obnovení" naprostou většinu objekty, které se pokoušíte auth obnovení. V ideálním případě cílové organizační jednotky obsahuje všechny objekty, které se pokoušíte auth obnovení.

      Autoritativní obnovení v podstromu OU obnoví všechny atributy a objekty, které jsou umístěny v kontejneru. Všechny změny, které byly provedeny doby obnovení zálohy stavu systému jsou vrácena zpět na hodnoty v době zálohování. S uživatelské účty, účty počítače a skupin zabezpečení, toto vrácení může znamenat ztrátu poslední změny hesla do domovského adresáře do profilu cesty na místo a kontaktní informace, členství ve skupinách a všechny popisovače zabezpečení, které jsou definovány v těchto objektů a atributy.

      Nástroj Ntdsutil používá následující syntaxi:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovit podstrom <container dn="" path=""></container>"q q
      Například k obnovení ověření Mayberry OU z Contoso.com domény, použijte následující příkaz:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovení podstromu ou = Mayberry, dc = contoso, dc = com" q q
    Poznámka: Tento krok opakujte pro každý z partnerů OU orgroups uživatelé tohoto hostitele odstraněna.

    Důležité Po obnovení podřízeného objektu organizační jednotky, všechny kontejnery deletedparent odstranění podřízených objektů musí být explicitně authrestored.
  8. Pokud odstraněné objekty byly obnoveny v řadičdomény zotavení z důvodu obnovení stavu systému, odeberte všechny síťové cablesthat poskytnout připojení k síti do všech ostatních řadičů domény v theforest.
  9. Restartujte řadič domény pro obnovení v normálním režimu AD.
  10. Zadejte následující příkaz zakázat příchozí replicationto řadič domény pro obnovení:
    repadmin/options <recovery dc="" name=""></recovery> + DISABLE_INBOUND_REPL
    Povolení síťové připojení zpět k obnovení stavu systému controllerwhose domény byla obnovena.
  11. Odchozí replikace, auth obnovit objekty z řadiče domény therecovery na řadiče domény v doméně a v theforest.

    Během příchozí replikace controllerremains domény obnovení zakázáno, zadejte následující příkaz Posunout objectsto auth obnovení všech webů replikovaných řadičích domén v doméně a všechny katalogy theglobal v doménové struktuře:
    repadmin /syncall /d /e /P <recovery dc=""><Naming context=""></Naming></recovery>
    Pokud jsou splněny všechny následující příkazy, obnovení a replikace odstraněný useraccounts znovu sestavena linksare členství skupiny. Přejděte ke kroku 14.

    Poznámka: Pokud jeden nebo více z následujících tvrzení není pravdivé, přejděte tostep 12.
    • V doménové struktuře se systémem na úrovni funkčnosti doménové struktury systému Windows Server 2003 nebo na úrovni funkčnosti doménové struktury systému Windows Server 2003 – provizorní.
    • Pouze uživatelské účty nebo účty počítačů byly odstraněny a nikoli skupiny zabezpečení.
    • Odstranění uživatelé byli přidáni do skupin zabezpečení ve všech doménách v doménové struktuře po doménové struktury byla přepnuta do úrovně funkčnosti doménové struktury systému Windows Server 2003.
  12. Určení weremembers odstranění uživatelů ze skupin zabezpečení, které a přidat je do těchto skupin.

    Poznámka: Chcete-li přidat uživatele do skupiny, uživatele, kteří musí authrestored v kroku 7 a kdo je odchozí replikované v kroku 11 havereplicated do řadičů domény v odkazované domény controller'sdomain a na všechny řadiče domény globálního katalogu v theforest.

    Pokud jste nainstalovali nástroj pro vytváření skupin tore naplnit členství ve skupinách zabezpečení, použijte tento nástroj nyní pro restoredeleted uživatele do skupin zabezpečení, které byly členy před jejich weredeleted. Provést po přímé a tranzitivní řadičů domény na theforest a servery globálního katalogu replikovanou příchozí uživatelé obnovit theauth a žádné obnovené kontejnery.

    Pokud to není havesuch nástroj, nástroj příkazového řádku Ldifde.exe a Groupadd.execommand čára lze automatizovat tento úkol je spuštěný v řadiči domény therecovery. Tyto nástroje jsou k dispozici služby společnosti Microsoft ProductSupport. V tomto scénáři Ldifde.exe vytvoří InterchangeFormat LDIF (LDAP Data) informační soubor, který obsahuje jména uživatele, skupiny zabezpečení, počínaje kontejner OU účty andtheir, administratorspecifies. Groupadd.exe potom přečte atribut memberOf pro každý uživatelský účet, který je uveden v souboru LDF a potom generuje zvláštní a jedinečné informace LDIF pro každou doménu v theforest. Tyto informace LDIF obsahuje názvy skupin zabezpečení, které mají odstraněné uživatelům přidat zpět tak, aby jejich canbe členství ve skupině obnoveno. V této fázi zotavení, postupujte takto:
    1. Přihlaste se do konzoly pro zotavení řadiče domény pomocí uživatelského účtu, který je členem skupiny zabezpečení správce domény.
    2. Chcete-li vypsat názvy dříve odstraněný uživatelský účet a jejich atributy memberOf , počínaje vrchní kontejner organizační jednotky, kde došlo k odstranění pomocí příkazu Ldifde . Příkaz Ldifde používá následující syntaxi:
      ldifde -d <dn path="" of="" container="" that="" hosts="" deleted="" users=""></dn> -r "(objectClass=user)" -l memberof -p subtree -f user_membership_after_restore.ldf
      Je-li odstranit účty, které byly přidány do skupiny zabezpečení počítače, použijte následující syntaxi:
      ldifde -d <dn path="" of="" container="" that="" hosts="" deleted="" users=""></dn> -r "(objectClass=computer)" -l memberof -p subtree -f computer_membership_after_restore.ldf
    3. Spusťte příkaz Groupadd vytvořit více souborů LDF, které obsahují názvy domén a názvy zabezpečení globální a univerzální skupiny, které byly odstraněné uživatele členem. Příkaz Groupadd používá následující syntaxi:
      Groupadd /after_restore users_membership_after_restore.ldf
      Opakujte tento příkaz odstranit účty, které byly přidány do skupiny zabezpečení počítače.
    4. Importovat každý Groupadd_Fully.qualified.domainnamesoubor LDF, který jste vytvořili v kroku 12c do řadiče domény jeden globální katalog, který odpovídá souboru LDF pro každou doménu. Pomocí nástroje Ldifde následující syntaxi:
      Ldifde-i-f Groupadd_ – k<fully.qualified.domain.name></fully.qualified.domain.name>LDF
      V libovolném řadiči domény kromě řadiče domény pro obnovení spusťte soubor LDF pro odstranění uživatelů z domény.
    5. Na konzole každého řadiče domény, který se používá k importu Groupadd_<fully.qualified.domain.name></fully.qualified.domain.name>soubor LDF pro určitou doménu, odchozí replikou dodatky členství skupiny na ostatní řadiče domény v doméně a řadiče domény globálního katalogu v doménové struktuře pomocí následujícího příkazu:
      repadmin /syncall /d /e /P <recovery dc=""><Naming context=""></Naming></recovery>
  13. Chcete-li zakázat odchozí replikace, zadejte následující text a stiskněte klávesu ENTER:
    repadmin/options + DISABLE_OUTBOUND_REPL
    Poznámka: Chcete-li znovu povolit odchozí replikace, zadejte následující text, andthen stiskněte klávesu ENTER:
    repadmin/možnosti - DISABLE_OUTBOUND_REPL
  14. Pokud odstraněné uživatele byly přidány do místní skupiny v externaldomains, proveďte jednu z následujících akcí:
    • Odstranění uživatelé ručně přidáte zpět do těchto skupin.
    • Obnovení stavu systému a ověření každé skupiny místního zabezpečení, které obsahuje odstraněné uživatele obnovit.
  15. Ověření členství v controller'sdomain obnovení domény a globální katalogy v jiných doménách.
  16. Vytvořte nový stav systému zálohu řadiče domény v doméně řadiče domény therecovery.
  17. V doménové struktuře oznámí správci, delegatedadministrators, help desk správce v doménové struktuře a uživatelé v domainthat obnovení uživatele byla dokončena.

    Pomáhají správcům stůl haveto může obnovit hesla obnovit ověřování uživatelských účtů a hesla domény accountswhose počítače po obnovení systému wasmade změnit.

    Uživatelé, kteří po backupwas stavu systému, provedené najdete již funguje jejich poslední heslo změnit svá hesla. Se pokusí přihlásit pomocí své předchozí heslo, pokud vědí, že je suchusers.Jinak nápovědy desk správci musí resetovat heslo a zaškrtněte políčkouživatel musí změnit heslo při příštím přihlášení , preferablyon řadič domény ve stejné lokalitě služby Active Directory jako uživatel je locatedin.

Metoda 3: Provést vynucené obnovení odstraněného uživatele a skupiny zabezpečení odstranění uživatelé dvakrát

Při použití této metody provedením následujících hlavních kroků:
  1. Zkontrolujte, zda globální katalog v hasnot domény uživatele replikovat odstranění a potom zabránit této domény Řadič frominbound replikovat odstranění. Pokud není žádný latentní globální katalog, locatethe aktuální systém státu zálohování řadiče domény globálního katalogu v domovské doméně daného uživatele.
  2. Autoritativní obnovení odstraněných uživatelské účty a skupiny allsecurity v doméně daného uživatele.
  3. Počkejte replikace end-to-end obnovené usersand skupin zabezpečení všech řadičů domény v odstraněné user'sdomain a řadiče domény globálního katalogu v doménové struktuře.
  4. Opakujte kroky 2 a 3, autoritativní obnovení zabezpečení a deletedusers skupiny. (Můžete obnovit data Stav systému pouze jednou.)
  5. Pokud odstraněné uživatele byly členy zabezpečení skupiny domény inother, vynucené obnovení skupiny zabezpečení, aby deletedusers byli členy v těchto doménách. Nebo pokud systém státu zálohování arecurrent, vynucené obnovení všech skupin zabezpečení v thosedomains.
Chcete-li splnit požadavek, aby členové skupiny odstraněna musí být obnoven dříve než skupiny zabezpečení opravit odkazy členství ve skupině, obnovení obou typů objektů v této metodě dvakrát. První obnovení zavádí všechny uživatelské účty a účty skupin a druhé obnovení obnovení odstraněné skupiny a opraví informace členství, včetně informací o členství ve vnořených skupinách.

Chcete-li použít metodu 3, postupujte takto:
  1. Zkontrolujte, zda controllerexists v odstranění uživatelé domácí domény a nebyla provedena replikace v jakékoli části odstranění domény globálního katalogu.

    Poznámka: Zaměřit na globální katalogy v doméně, která má plány replikace leastfrequent. Pokud existují tyto řadiče domény, okamžitě zakázat příchozí replikace pomocí nástroje příkazového řádku theRepadmin.exe. Todo, postupujte takto:
    1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
    2. Napište příkaz v Otevřít pole a pak klepněte na tlačítko OK.
    3. Napište repadmin/options <recovery dc="" name=""></recovery> + DISABLE_INBOUND_REPL na příkazovém řádku a stiskněte klávesu ENTER.

      Poznámka:Pokud nelze vydat příkaz Repadmin okamžitě, odeberte veškeré síťové připojení z řadiče domény, dokud zakázat příchozí replikace pomocí příkazu Repadmin a ihned vrátit připojení k síti.
    Tento řadič domény bude označována jako řadič recoverydomain.
  2. Vyvarujte se přidávání, odstraňování a změny položek thefollowing až obnovovací kroky byly dokončeny. Changesinclude obnovení hesla uživatelů v doméně, pomáhají správcům stůl, andadministrators v doméně, kde odstranění došlo k chybě, groupmembership změn ve skupinách odstraněného uživatele.
    1. Uživatelské účty a atributy uživatelských účtů
    2. Atributy na účty počítače a účty počítačů
    3. Účty služeb
    4. Skupiny zabezpečení

      Poznámka:Zejména se vyhněte se změny členství ve skupinách uživatelů, počítačů, skupin a účtů služeb v doménové struktuře, kde došlo k odstranění.
    5. Oznámí všem správcům doménové struktury, delegovanou správci a správci stolu nápovědy v doménové struktuře dočasné stand-down.
    Tento stand-down je vyžadován v metodě 2, protože areauthoritatively obnovení skupiny zabezpečení všechny odstraněné uživatelů. Proto všechny změny provedené u skupin od systému státu záložní arelost.
  3. Vytvořte novou zálohu stavu systému v doméně, kde došlo k thedeletion. Zálohu můžete využít, pokud budete muset vrátit zpět yourchanges.

    Poznámka:Zálohování stavu systému jsou aktuální až do doby došlo k této thedeletion, tento krok přeskočit a přejděte ke kroku 4.

    Pokud jste identifieda obnovení řadiče domény v kroku 1, zálohovat své statenow systému.

    Pokud globální katalogy, které jsou umístěny v doméně wherethe odstranění replikovat odstranění, zálohujte stav systému aglobal katalogu v doméně, kde došlo k odstranění došlo k chybě.

    Při youcreate zálohu, můžete vrátit řadič domény pro obnovení zpět do itscurrent stavu a znovu provést plán obnovy, pokud první pokus je notsuccessful.
  4. Pokud nemůžete najít domaincontroller latentní globálního katalogu v doméně, kde došlo k odstranění uživatele, najděte nejvíce recentsystem stav zálohování řadiče domény globálního katalogu v doméně. Záloha stavu Thissystem by měl obsahovat odstraněných objektů. Pomocí tohoto domaincontroller jako řadič domény pro obnovení.

    Pouze databáze theglobal katalogu řadičů domény v doméně uživatele obsahovat skupinu membershipinformation externích doménách v doménové struktuře. Pokud není žádná statebackup systémové řadiče domény globálního katalogu v doméně, kde uživatelé weredeleted nelze použít atribut memberOf v obnovené uživatelské účty k určení členství ve skupinách globální oruniversal nebo obnovení členství v externích doménách. Přejděte k dalšímu kroku. Pokud je externí záznam o členství ve skupinách v externaldomains, po byly obnoveny theuser účty přidat obnovené uživatele do skupiny zabezpečení v těchto doménách.
  5. Pokud znáte heslo pro offline administratoraccount, spusťte v režimu Dsrepair obnovení řadiče domény. V takovém případě notknow heslo pro účet správce v režimu offline obnovení passwordwhile, řadič domény pro obnovení je stále v normální aktivní Directorymode.

    Nástroj setpwd příkazového řádku můžete použít k obnovení hesla v doméně controllersthat se systémem Microsoft Windows 2000 Service Pack 2 (SP2) a novější whilethey jsou v režimu online služby Active Directory.

    Poznámka:Společnost Microsoft již nepodporuje systém Windows 2000.

    Další informace o změně hesla správce konzoly pro zotavení klepněte na následující číslo článku databáze Microsoft Knowledge Base:
    239803 Jak změnit heslo správce konzoly pro zotavení v řadiči domény
    Z domaincontrollers systému Windows Server 2003 mohou správci příkaz nastavit heslo dsrm v nástroji příkazového řádku Ntdsutil resetovat heslo k účtu offlineadministrator.

    Další informace o tom, jak obnovit účet správce režimu obnovení adresářových služeb, získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
    322672 Obnovení adresářové služby obnovení režimu hesla účtu správce v systému Windows Server 2003
  6. Spustit řadič recoverydomain v režimu Dsrepair během spouštění stiskněte klávesu F8.Přihlaste se ke konzole domaincontroller obnovení pomocí účtu správce v režimu offline. Pokud resetujete heslo nártu 5, použijte nové heslo.

    Není-li řadič domény pro obnovení řadiče domény globálního katalogu alatent, obnovit data Stav systému. Godirectly na krok 7.

    Pokud vytváříte controllerby domény obnovení pomocí zálohy stavu systému, obnovení, provedené aktuální backupthat stavu systému řadiče domény pro obnovení, který nyní obsahuje deletedobjects.
  7. Auth obnovit odstraněný uživatelský účet, účty deletedcomputer nebo odstraněné zabezpečení skupiny.

    Poznámka: Podmínky auth obnovení a autoritativní obnovení naleznete procesu zvýšit číslo verze specificobjects nebo zvláštních kontejnerů a jejich podřízené objekty pomocí příkaz authoritative restore v nástroji příkazového řádku Ntdsutil . Dojde k replikaci brzy asend do konce, stane autoritativní řadiči thedomain, které sdílejí tento oddíl cílové objekty v řadičdomény obnovení místní kopii Active Directory. Isdifferent autoritativní obnovení z obnovení stavu systému. Populatesthe obnovení stavu systému obnovit místní kopie řadiče domény služby Active Directory s theversions objekty v době, že systém státu zálohování wasmade.

    Další informace o ověření obnovení řadiče domény klepněte na následující číslo článku databáze Microsoft Knowledge Base:
    241594 Jak provést autoritativní obnovení řadiče domény v systému Windows 2000


    Autoritativní obnovení jsou performedwith nástroj příkazového řádku Ntdsutil odkazování na název (dn) cestu domény uživatelů thedeleted nebo kontejnerů, které jsou hostitelem odstraněného uživatele.

    Whenyou auth obnovit použití domény název (dn) cesty, které jsou tak nízké v doméně treeas, které musí být, aby se zabránilo návratu objekty, které nesouvisejí s thedeletion. Tyto objekty mohou zahrnovat objekty, které byly upraveny po systemstate backup.

    Obnovení odstraněných uživatelé ověření v followingorder:
    1. Auth obnovení domény název (dn) cestu pro každý odstraněný uživatelský účet, účet počítače nebo skupiny zabezpečení odstraněny.

      Autoritativní obnovení konkrétních objektů trvat déle, ale jsou méně destruktivní než autoritativní obnovení celého podstromu. Auth obnovit nejnižší společný nadřazený kontejner obsahující odstraněných objektů.

      Nástroj Ntdsutil používá následující syntaxi:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovení objektu <object dn="" path=""></object>"q q
      Například auth obnovte odstraněný uživatelský JohnDoe v Mayberry OU z Contoso.com domény, použijte následující příkaz:
      ntdsutil "autoritativní obnovení" "obnovit objekt cn = JohnDoe, ou = Mayberry, dc = contoso, dc = com" q q
      Chcete-li auth obnovit odstraněné zabezpečení skupiny ContosoPrintAccess v Mayberry OU z Contoso.com domény, použijte následující příkaz:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovit objekt cn = ContosoPrintAccess, ou = Mayberry, dc = contoso, dc = com" q q


      Důležité Použití uvozovek je vyžadován.

      Pomocí tohoto formátu Ntdsutil můžete také automatizovat mnoho objektů v dávkovém souboru nebo skriptu autoritativní obnovení.
      Poznámka:Tato syntaxe je k dispozici pouze v systému Windows Server 2003. Syntaxe pouze v systému Windows 2000 je použití: ntdsutil "autoritativní""obnovení podstromu Cesta k objektu název domény".
    2. Auth obnovit pouze organizační jednotku nebo běžný název (CN) kontejnery, které jsou hostitelem odstraněného uživatelských účtů nebo skupin.

      Autoritativní obnovení celého podstromu jsou platné, pokud organizační jednotku, je určen pomocí příkazu Ntdsutil Authoritative restore obsahuje naprostou většinu objekty, které se pokoušíte auth obnovení. V ideálním případě cílové organizační jednotky obsahuje všechny objekty, které se pokoušíte auth obnovení.

      Autoritativní obnovení v podstromu OU obnoví všechny atributy a objekty, které jsou umístěny v kontejneru. Všechny změny, které byly provedeny doby obnovení zálohy stavu systému jsou vrácena zpět na hodnoty v době zálohování. S uživatelské účty, účty počítače a skupin zabezpečení, toto vrácení může znamenat ztrátu poslední změny hesla do domovského adresáře do profilu cesty na místo a kontaktní informace, členství ve skupinách a všechny popisovače zabezpečení, které jsou definovány v těchto objektů a atributy.

      Nástroj Ntdsutil používá následující syntaxi:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovit podstrom <container dn="" path=""></container>"q q
      Například k obnovení ověření Mayberry OU z Contoso.com domény, použijte následující příkaz:
      Nástroj Ntdsutil "autoritativní obnovení" "obnovení podstromu ou = Mayberry, dc = contoso, dc = com" q q
    Poznámka: Tento krok opakujte pro každý z partnerů OU orgroups uživatelé tohoto hostitele odstraněna.

    Důležité Po obnovení podřízeného objektu organizační jednotky, všechny parentcontainers odstranění podřízených objektů musí být explicitně authrestored.
  8. Restartujte řadič domény pro obnovení v normálním režimu AD.
  9. Odchozí replikaci autoritativně obnovených objectsfrom řadič domény pro obnovení řadiče domény v andin domény v doménové struktuře.

    Během příchozí replikace řadičdomény obnovení zůstane zakázána, zadejte následující příkaz Posunout theauthoritatively obnovit objekty všech domaincontrollers webů repliku v doméně a globálních katalogů v doménové struktuře:
    repadmin /syncall /d /e /P <recovery dc=""><Naming context=""></Naming></recovery>
    Po všechny řadiče domény v přímé a tranzitivní v jeho theforest domény a globální katalog servery replikovány v theauthoritatively obnovit uživatelé a žádné obnovené kontejnery, přejděte na step11.

    Pokud jsou splněny všechny následující příkazy, znovu linksare členství ve skupině s obnovení odstraněné uživatelské účty. Přejděte ke kroku 13.
    • V doménové struktuře se systémem na úrovni funkčnosti doménové struktury systému Windows Server 2003 nebo na úrovni funkčnosti systému Windows Server 2003 provizorní.
    • Pouze skupiny zabezpečení nebyly odstraněny.
    • Odstranění uživatelé byli přidáni do všech skupin zabezpečení ve všech doménách v doménové struktuře.
    Zvažte použití příkazu Repadmin k urychlení theoutbound replikace uživatelů z řadiče domény obnovená.

    Ifgroups byl také odstraněn, nebo pokud vám nemůže zaručit, že všechny odstraněné userswere přidána ke všem skupinám zabezpečení po přechodu na WindowsServer 2003 – provizorní nebo úroveň funkčnosti doménové struktury, přejděte ke kroku 12.
  10. Opakujte kroky 7, 8 a 9 bez obnovení systemstate a potom přejděte ke kroku 11.
  11. Pokud odstraněné uživatele byly přidány do místní skupiny v externaldomains, proveďte jednu z následujících akcí:
    • Odstranění uživatelé ručně přidáte zpět do těchto skupin.
    • Obnovení stavu systému a ověření každé skupiny místního zabezpečení, které obsahuje odstraněné uživatele obnovit.
  12. Ověření členství v controller'sdomain obnovení domény a globální katalogy v jiných doménách.
  13. Chcete-li povolit příchozí replikace na řadič domény pro obnovení, zadejte následující příkaz:
    repadmin/options název řadiče domény pro obnovení -DISABLE_INBOUND_REPL
  14. Vytvořte zálohu řadiče domény nový stav systému v řadiči domény therecovery domény a globální katalogy v jiných doménách v theforest.
  15. Oznámí všem správcům doménové struktury, delegatedadministrators, správci stolu nápovědy v doménové struktuře a uživatelé v doméně dokončení obnovení uživatele.

    Help desk administratorsmay nutné resetovat hesla auth obnovení uživatelských účtů a computeraccounts, jehož heslo domény změněn po obnovení systému wasmade.

    Uživatelé, kteří po backupwas stavu systému, provedené najdete již funguje jejich poslední heslo změnit svá hesla. Se pokusí přihlásit pomocí své předchozí heslo, pokud vědí, že je suchusers.Jinak musí správci stolu nápovědy obnovení heslamusí uživatel změnit heslo při příštím přihlášení políčko zaškrtnuto, pokud možno v řadiči domény ve stejné lokalitě služby Active Directory jako useris se nachází v.

Obnovení odstraněného uživatele v řadiči domény systému Windows Server 2003, pokud nemáte zálohu stavu systému platný

Pokud nemáte aktuální zálohy stavu systému v doméně, kde byly odstraněny uživatelské účty nebo skupiny zabezpečení a v doméně obsahující řadiče domény systému Windows Server 2003 došlo k odstranění ručně obnovit položky odstraněné objekty v kontejneru odstraněných objektů pomocí následujícího postupu:
  1. Postupujte podle kroků v části "Jak ručně obnovit odstraněné objekty kontejneru objectsin" Chcete-li obnovit položky odstraněné uživatelů, počítačů, skupin nebo všechny tyto.
  2. Změna theaccount z hodnoty zakázáno povoleno pomocí Active Directory Users and Computers. (Účet se zobrazí v originalOU.)
  3. Použití funkcí hromadné obnovení v 2003version Windows Server Active Directory Users a počítačů provádět hromadné vynulování na zásadu "při dalším přihlášení musí změnit heslo", domovský adresář, cestu k profilu a členství ve skupině odstraněného účtu, podle potřeby.Můžete také použít programový ekvivalent těchto funkcí.
  4. Pokud byl Microsoft Exchange 2000 nebo novější, opravte Odstraněný uživatel poštovní schránku theExchange.
  5. Pokud server Exchange 2000 nebo novější byla použita, opětovné přiřazení deleteduser s poštovní schránkou serveru Exchange.
  6. Ověřte obnovené uživatel přihlásit a získat přístup k localdirectories, sdílené adresáře a soubory.
Některé nebo všechny tyto kroky pro obnovení můžete automatizovat pomocí následujících metod:
  • Napište skript, který automatizuje ručně stepsthat jsou uvedeny v kroku 1. Při psaní skriptu zvažte oboru objektu thedeleted podle data, času a poslední známé nadřazeného kontejneru a thenautomating reanimation odstraněných objektů. K automatizaci reanimation, změnit atribut isDeleted z true na FALSE a změňte název relativedistinguished na hodnotu, která je kontejner definovaný atributem lastKnownParent nebo v nové organizační jednotce nebo společný název (CN) že isspecified správcem. (Relativní rozlišující název je také knownas RDN.)
  • Získání programu jiných společností než Microsoft, který podporuje thereanimation odstraněných objektů v řadičích domény systému Windows Server 2003. AdRestore je nástroj Onesuch. AdRestore používá undeleteprimitives systém Windows Server 2003 obnovit objekty jednotlivě. AndCommvault následující Software Corporation, které nabízejí produkty, které podporují systémy typu undelete funkce onWindows řadiče domény se systémem Server 2003.

    AdRestore získáte na následujícím webu:
Společnost Microsoft poskytuje kontaktní informace jiného výrobce, a tím vám usnadňuje získání technické podpory. Tyto kontaktní informace se mohou změnit bez předchozího upozornění. Společnost Microsoft nezaručuje přesnost kontaktních informací jiných výrobců.

Jak ručně obnovit objekty v kontejneru odstraněných objektů

Chcete-li ručně obnovit objekty v kontejneru odstraněných objektů, postupujte takto:
  1. Klepněte na tlačítko Start, na příkaz Spustita zadejte Ldp.exe.

    Poznámka: Pokud není nainstalován nástroj Ldp, nainstalujte podporu toolsfrom instalační disk CD-ROM systému Windows Server 2003.
  2. Použití nabídky připojení Ldp performthe připojit operace a operace bind řadičdomény Windows Server 2003.

    Během bindoperation zadejte pověření správce domény.
  3. V nabídce Možnosti klepněte naovládací prvky.
  4. V seznamu Předdefinovaných zatížení klepněte na tlačítkoVrátit odstraněné objekty.

    Poznámka: Ovládací prvek 1.2.840.113556.1.4.417 přesune do okna Aktivní ovládací prvek.
  5. Ve skupinovém rámečku Typ ovládacího prvkuklepněte na příkazServera klepněte na tlačítko OK.
  6. V nabídce Zobrazit klepněte na tlačítkostroma zadejte cestu k rozlišujícímu názvu pro odstraněné objectscontainer v doméně, kde došlo k odstranění.

    Poznámka: Cesta k rozlišenému názvu se také nazývá cestu DN. Forexample, pokud došlo k odstranění domény contoso.com, bude cesta DN následující cestu:
    CN = odstraněných objektů, dc = contoso, dc = com
  7. V levém podokně okna poklepejte na Kontejner objektu odstranit.

    Poznámka: Jako výsledek hledání dotazu Idap pouze 1000 objektů ve výchozím nastavení. Příklad FOT, pokud existují více než 1 000 objektů v kontejneru odstraněné objekty, ne všechny objekty se zobrazují v tomto kontejneru. Pokud cílový objekt se nezobrazí, použijte Nástroj Ntdsutila pak nastavíte maximální počet pomocí maxpagesize Chcete-li získat výsledky hledání.
  8. Poklepejte na objekt, který chcete obnovit nebo toreanimate.
  9. Klepněte pravým tlačítkem myši na objekt, který chcete obnovit položky a pak klepnutím změnit.

    Změnit hodnotu pro atribut isDeleted a cesta v jeden DirectoryAccess protokolu LDAP (Lightweight) upravit operace. Konfigurace dialogové oknozměnit , postupujte takto:
    1. Zadejte do pole Upravit atribut položkaisDeleted.

      Hodnota pole ponechejte prázdné.
    2. Klepněte na přepínač Odstranit a potom klepněte na tlačítko Enter , aby vznikl první dvě položky v dialogovém okně Seznam položek .

      Důležité Neklepejte na tlačítko Spustit.
    3. Do pole atribut zadejte distinguishedName.
    4. Do pole hodnoty zadejte novou cestu DN reanimated objekt.

      Chcete-li obnovit položky JohnDoe uživatelský účet do Mayberry organizační jednotky, například použijte následující cesta:
      CN =JohnDoe, ou =Mayberry, dc =Společnost Contoso, dc =com
      Poznámka: Pokud chcete obnovit odstraněný objekt do jeho původní kontejner položky, přidat hodnotu atributu odstraněného objektu lastKnownParent na hodnotu KN a potom vložit úplnou cestu DN v poli hodnoty .
    5. V poli operace klepněte na tlačítko Nahradit.
    6. Klepněte na tlačítko ENTER.
    7. Klepnutím zaškrtněte políčko synchronní .
    8. Klepnutím zaškrtněte políčko Rozšířený .
    9. Klepněte na příkaz Spustit.
  10. Poté, co můžete obnovit položky objekty,ovládací prvky nabídce klepněte na příkaz Možnosti , klepněte na tlačítko Odebrat ze seznamu Aktivních ovládacích prvků pole (1.2.840.113556.1.4.417) .
  11. Resetování hesel pro uživatelské účty, profily, domácí directoriesand členství ve skupinách pro odstraněné uživatele.

    Pokud byly odstraněny wasdeleted objektu, všechny hodnoty atributů, s výjimkou SID, ObjectGUID, LastKnownParent a SAMAccountName .
  12. Povolte účet reanimated v Usersand počítače služby Active Directory.

    Poznámka: Reanimated objekt má stejnou primární číslo SID, jak bylo odstranění beforethe, ale objekt musí být přidán znovu do stejné skupiny tohave zabezpečení stejnou úroveň přístupu k prostředkům. První vydání systému Windows Server 2003 nezachová atributu sIDHistory u obnoveno uživatelské účty, účty počítačů, skupiny andsecurity. Windows Server 2003 s aktualizací Service Pack 1 zachovat atributu sIDHistory u odstraněných objektů.
  13. Odebrat atributy aplikace Microsoft Exchange a znovu userto poštovní schránky serveru Exchange.

    Poznámka: Reanimation odstraněných objektů je podporována při deletionoccurs v řadiči domény systému Windows Server 2003. Reanimation z deletedobjects není podporován v řadičdomény systému Windows 2000, který je následně upgradován na systém Windows Server 2003 dojde odstranění.

    Poznámka: Pokud dojde k odstranění v řadiči domény systému Windows 2000 v thedomain, atribut lastParentOf není naplněna na domaincontrollers Windows Server 2003.

Jak lze zjistit, kdy a kde došlo k odstranění.

Při odstranění uživatele z důvodu hromadného odstranění, je vhodné naučit se zakládala odstranění. Chcete-li tak učinit, postupujte takto:
  1. Pokud auditování byl správně nakonfigurován ke sledování thedeletion kontejnerů organizační jednotky (OU) nebo podřízených objektů, usea nástroj, vyhledává v protokolu událostí zabezpečení řadičů domény v thedomain, kde došlo k odstranění. Jeden takový nástroj, který vyhledá události logson oboru sadu řadičů domény je nástroj EventCombMT. EventCombMTis část sadu nástrojů Windows Server 2003 Resource Kit Tools.

    Formore informace o získání sady Windows Server 2003 Resource Kit Toolstools, naleznete na následujícím webu společnosti Microsoft:
  2. Postupujte podle kroků 1 až 7 v "How to undeleteobjects ručně v kontejneru odstraněných objektů" části Vyhledejte odstraněný securityprincipals. Pokud byl odstraněn strom, vyhledejte parentcontainer odstraněného objektu pomocí následujícího postupu.
  3. Hodnota atributu objectGUID zkopírujte do schránky systému Windows.

    Při zadávání příkazu Repadmin v kroku 4 můžete vložit thisvalue.
  4. Zadejte následující příkaz:
    repadmin /showmeta GUID =objectGUID>PLNĚ KVALIFIKOVANÝ NÁZEV DOMÉNY>
    Je-li objectGUID objektu nebo containeris 791273b2-eba7-4285-a117-aa804ea76e95 a name(FQDN) úplný dc.contoso.com, zadejte následující příkaz:
    repadmin /showmeta GUID = 791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com
    Syntaxe tohoto příkazu musí obsahovat identifikátor GUID deletedobject nebo kontejneru a úplný název domény serveru, který chcete ze zdroje.
  5. Ve výstupu příkazu Repadmin Najděte původní datum, čas a domény řadič pro atribut isDeleted . Informace pro atribut isDeleted se objeví v pátém řádku následující sampleoutput:
    Loc.USN  Originating DC                  Org.USN  Org.Time/Date       Ver  Attribute----------------------------------------------------------------------------------------------- 134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  objectClass 134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  ou 134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  instanceType 134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  whenCreated 134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   1  isDeleted 134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  nTSecurityDescriptor 134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  name 134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   1  lastKnownParent 134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  objectCategory
  6. Je-li název ve sloupci výstup thesecond řadiči původní domény se zobrazí jako 32znakový alfanumerický identifikátor GUID usethe identifikátor GUID přeložit na adresu IP a název řadiče thedomain, který byl odeslán odstranění pomocí příkazu Ping. Příkaz Ping používá syntaxi thefollowing:
    ping – <originating dc="" guid=""></originating>._msdomain řadiče.<fully qualified="" path="" for="" forest="" root=""></fully>>
    Poznámka: "-" Možnost je velká a malá písmena. Použijte plně kvalifikovaný název_domény kořenové domény v doménové struktuře bez ohledu na to, umístěný v originatingdomain řadič domény.

    Pokud původní domaincontroller bydleli v libovolné doméně v doménové struktuře Contoso.com a měl identifikátor GUID of644eb7e7-1566-4f29-a778-4b487637564b, zadejte následující příkaz:
    ping – 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com
    Výstup tohoto příkazu vrácené je podobná následující:
    Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:Reply from 65.53.65.101: bytes=32 time<1ms TTL=128Reply from 65.53.65.101: bytes=32 time<1ms TTL=128Reply from 65.53.65.101: bytes=32 time<1ms TTL=128Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
  7. Zobrazení protokolu zabezpečení thatoriginated řadič domény odstranění na nebo o dobu, po kterou byl podle outputof příkazu Repadmin v kroku 5.

    Věnovat pozornost skewsand čas změny časového pásma mezi počítači, které byly použity k dosažení thispoint. Pokud odstranit auditování povoleno pro kontejnery organizační jednotky nebo deletedobjects, věnujte pozornost příslušných auditování událostí. Je-li auditování notenabled, věnujte pozornost uživatelů, kteří vytvořili oprávnění k odstranění OU containersor podřízené objekty v nich a který také byl ověřován theoriginating řadič domény v době před odstranění.

Jak minimalizovat dopad hromadného odstranění v budoucnosti

Klíče k minimalizaci dopadu hromadného odstranění uživatelů, počítačů a skupin se přesvědčte se, zda jste zálohy stavu systému aktuální, pevně ovládací prvek přístup privilegovaný uživatel účty těsně ovládací prvek co dělat tyto účty zabezpečení a nakonec na praxi zotavení z hromadného odstranění.

Dojít změny stavu systému, každý den. Tyto změny mohou zahrnovat obnovení hesla uživatelských účtů a účtů počítače kromě změn členství ve skupinách a jiné změny atributů u uživatelských účtů, účtů počítačů a skupin zabezpečení. Pokud selže nezdaří hardware, software nebo jiné havárie dojde k webu, můžete obnovit zálohy, které byly provedeny po každé významné sady změn ve všech doménách služby Active Directory a serveru v doménové struktuře. Pokud není udržovat aktuální zálohy, může dojít ke ztrátě dat nebo může být nutné vrátit obnovených objektů.

Společnost Microsoft doporučuje podniknout následující kroky k zabránění hromadného odstranění:
  1. Sdílení hesla pro předdefinovaný administratoraccounts nebo povolit běžné správy uživatelských účtů ke sdílení. Pokud je známo, že thepassword pro předdefinovaný účet správce, změna passwordand definovat vnitřní proces, který odrazuje od jeho použití. Auditování událostí forshared uživatelských účtů znemožňují zjistit že identitu userwho je provedení změn ve službě Active Directory. Proto musí se nedoporučuje použití sdílených useraccounts.
  2. Jen velmi zřídka že uživatelské účty, účty počítačů záměrně odstranit skupiny andsecurity. To platí zejména pro treedeletions. Zrušit schopnost služby a todelete delegovanému správci tyto objekty z schopnost vytvářet a spravovat uživatelské účty, účty počítačů, skupiny zabezpečení, OU kontejnerů a jejich atributy. Grantonly nejvíce oprávněními zabezpečení uživatelských účtů nebo skupinám právo k odstranění performtree. Tyto účty privilegovaný uživatel může obsahovat enterpriseadministrators.
  3. Delegovaný správce udělte přístup pouze k ofobject třídy, které mohou správci spravovat. Například isbetter, je-li správcem systému nápovědy desk jehož primárním úkolem je upravit uživatelské účty propertieson nemá oprávnění k vytvoření a odstranění computeraccounts, skupiny zabezpečení nebo kontejnerů organizační jednotky. Toto omezení platí také todelete oprávnění pro administrators jiné konkrétní objectclasses.
  4. Vyzkoušet nastavení auditování sledovat operationsin odstranit doménu lab. Poté, co jste obeznámeni s výsledky, použít vaše bestsolution do domény výroby.
  5. Velkoobchod řízení přístupu a auditování změn v hostiteli containersthat desítky tisíc objektů můžete vytvořit databasegrow služby Active Directory významně, zejména v doménách systému Windows 2000. Pomocí domény thatmirrors test v provozním vyhodnotit potenciální změny místa na disku.Zkontrolujte místo na disku pevného disku svazky, které hostitelské soubory Ntds.dit a žurnálů řadičů domény do domény výroby zdarma. Avoidsetting změny na hlavy síti řadič domény řízení přístupu a auditování.Tyto změny by zbytečně použít pro všechny objekty ze všech theclasses do nádob v oddílu. Například se makingchanges systému DNS (Domain Name) a recordregistration (DLT) v kombinované Nomenklatuře sledování distribuovaného propojení = SYSTÉMOVOU složku z oddílu domény.
  6. Strukturu organizační jednotky doporučené postupy slouží k oddělení useraccounts, účty počítačů, skupin zabezpečení a účty služeb v jejich ownorganizational jednotka. Při použití této struktury discretionaryaccess ovládacího prvku seznamu (DACL) můžete aplikovat na objekty z jedné třídy pro delegatedadministration a umožňuje pro objekty, které chcete obnovit podle třídy objektu, pokud mají být obnoveny. Isdiscussed strukturu organizační jednotky doporučené postupy v části "Vytváření organizační jednotka Design" Bílé knihy Nejlepší praxe Active Directory návrhu pro správu sítí Windows Tento dokument white paper získáte na webu followingMicrosoft:
  7. Test hromadného odstranění v laboratorním prostředí, který zrcadlí yourproduction domény. Zvolte způsob obnovení, který dává smysl, přičemž thencustomize je pro vaši organizaci. Můžete určit následující:
    • Názvy řadičů domény v každé doméně, které jsou pravidelně zálohována
    • Kde jsou uloženy záložní bitové kopie

      V ideálním případě by tyto obrázky jsou uloženy na další pevný disk, který je místní globálního katalogu v každé doméně v doménové struktuře.
    • Které členy organizace stolu nápovědy kontaktovat
    • Nejlepší způsob, jak vytvořit kontakt
  8. Většina hromadného odstranění uživatelských účtů, computeraccounts a skupiny zabezpečení, které společnost Microsoft vidí je náhodné. Pracovníci oddělení IT, Discussthis scénář a rozvíjet vnitřní akční plán. Atfirst, zaměření na včasné odhalení a vrací funkce vaší domainusers a váš podnik co nejrychleji. Můžete také provést kroky k zabránění náhodnému hromadné odstranění výskytu upravit seznamy řízení přístupu (ACL) organizační jednotky. Další informace o použití nástroje rozhraní systému Windows Chcete-li zabránit náhodnému hromadné odstranění naleznete "Ochrana proti náhodnému hromadného odstranění v adresáři Active Directory" na následujícím webu:Další informace o tom, jak zabránit náhodnému hromadné odstranění pomocí Dsacls.exe na příkazovém řádku nebo pomocí skriptu naleznete v "Skript chránit organizační jednotky (OU) před nechtěným odstraněním" na následujícím webu:

Nástroje a skripty, které vám mohou pomoci obnovit z hromadného odstranění

Nástroj příkazového řádku Groupadd.exe přečte atribut memberOf v kolekci uživatelů v organizační jednotce a vytvoří soubor LDF, který přidá všechny obnovené uživatelské účty do skupin zabezpečení v každé doméně v doménové struktuře.

Groupadd.exe automaticky vyhledá domén a skupiny zabezpečení, které uživatelé odstranili byli členy a jsou přidány zpět do těchto skupin. Tento proces je vysvětleno podrobněji v kroku 11 metoda 1.

Groupadd.exe lze spustit v řadičích domény následující:
  • Řadiče domény systému Windows Server 2003
  • Řadiče domény Windows 2000, které mají 1.1framework nainstalován .NET
Groupadd.exe používá následující syntaxi:
groupadd /after_restore ldf_file [/before_restore ldf_file]
Zde ldf_file představuje název soubor LDF, který má být použit s předchozí argument after_restore představuje uživatelský zdroj dat souboru a before_restore představuje data uživatele z pracovního prostředí. (Uživatelský zdroj dat soubor je dobré uživatelská data).

Získat Groupadd.exe, obraťte se na služby podpory produktů společnosti Microsoft.

Produkty třetích stran popisované v tomto článku jsou vyráběny společnostmi nezávislými na společnosti Microsoft. Společnost Microsoft neposkytuje žádnou záruku, implicitně předpokládanou ani jinou, týkající se výkonu nebo spolehlivosti těchto produktů.
Odkazy
Další informace o tom, jak obnovit objekt, který obsahuje znaky s diakritikou získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
886689 Operace Ntdsutil autoritativní obnovení se nezdaří, pokud cesta k rozlišenému názvu obsahuje rozšířených znaků v systému Windows Server 2003 a Windows 2000
Další informace získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
824684 Popis standardní terminologie používané k popisu aktualizací softwaru společnosti Microsoft
910823 Při pokusu o import souborů LDF v počítači se systémem Windows Server 2003 s aktualizací Service Pack 1 zobrazí chybová zpráva: "Chyba přidání řádku LineNumber: žádný takový objekt"
937855 Po obnovení odstraněných objektů provést autoritativní obnovení řadiče domény se systémem Windows Server 2003, propojených atributů některé objekty nejsou replikovány do dalších řadičů domény

Další informace o použití funkce AD Koš součástí systému Windows Server 2008 R2 prosím odkaz Active Directory koše přihrádky Step-by-Step Guide dostupné z tohoto webu společnosti Microsoft:http://technet.microsoft.com/en-us/library/dd392261 (WS.10).aspx

Upozornění: Tento článek je přeložený automaticky

Vlastnosti

ID článku: 840001 - Poslední kontrola: 01/25/2015 07:12:00 - Revize: 18.0

Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Windows Server 2008 Datacenter without Hyper-V, Windows Server 2008 Enterprise without Hyper-V, Windows Server 2008 for Itanium-Based Systems, Windows Server 2008 Standard without Hyper-V, Windows Server 2008 Datacenter, Windows Server 2008 Enterprise, Windows Server 2008 Standard, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard

  • kbhowto kbwinservds kbactivedirectory kbmt KB840001 KbMtcs
Váš názor