Active Directory で削除されたユーザー アカウントとそのグループ メンバーシップを復元する方法

  • [アーティクル]

この記事では、Active Directory で削除されたユーザー アカウントとグループ メンバーシップを復元する方法について説明します。

適用対象: Windows Server 2019、Windows Server 2016、Windows Server 2012 R2
元の KB 番号: 840001

概要

削除されたユーザー アカウント、コンピューター アカウント、セキュリティ グループを復元するには、いくつかの方法を使用できます。 これらのオブジェクトは、まとめてセキュリティ プリンシパルと呼ばれます。

最も一般的な方法は、Windows Server 2008 R2 以降に基づいてドメイン コントローラーでサポートされている AD ごみ箱機能を有効にすることです。 有効にしてオブジェクトを復元する方法など、この機能の詳細については、「 Active Directory ごみ箱のステップ バイ ステップ ガイド」を参照してください。

このメソッドを使用できない場合は、次の 3 つのメソッドを使用できます。 3 つのメソッドすべてで、削除されたオブジェクトを正式に復元し、削除されたセキュリティ プリンシパルのグループ メンバーシップ情報を復元します。 削除されたオブジェクトを復元する場合は、影響を受けるセキュリティ プリンシパルの および memberOf 属性の以前のmember値を復元する必要があります。

注:

Active Directory で削除されたオブジェクトの復旧は、Windows Server 2008 R2 以降に基づいてドメイン コントローラーでサポートされている AD ごみ箱機能を有効にすることで簡略化できます。 有効にしてオブジェクトを復元する方法など、この機能の詳細については、「 Active Directory ごみ箱のステップ バイ ステップ ガイド」を参照してください。

詳細

方法 1 と 2 は、ドメイン ユーザーと管理者にとってより優れたエクスペリエンスを提供します。 これらの方法では、前回のシステム状態バックアップから削除が発生した時刻までの間に行われたセキュリティ グループへの追加が保持されます。 方法 3 では、セキュリティ プリンシパルを個別に調整することはありません。 代わりに、セキュリティ グループメンバーシップを前回のバックアップ時の状態にロールバックします。

ほとんどの大規模な削除は誤って行われます。 Microsoft では、他のユーザーがオブジェクトを一括で削除しないように、いくつかの手順を実行することをお勧めします。

注:

オブジェクト (特に組織単位) の誤削除や移動を防ぐために、各オブジェクトのセキュリティ記述子 (DENY DELETE & DELETE TREE) に 2 つの拒否アクセス制御エントリ (ACE) を追加し、各オブジェクトの PARENT (DENY DELETE CHILD) のセキュリティ記述子に 1 つの拒否アクセス制御エントリ (ACE) を追加できます。 これを行うには、Active Directory ユーザーとコンピューター、ADSIEdit、LDP、または DSACLS コマンド ライン ツールを使用します。 組織単位の AD スキーマの既定のアクセス許可を変更して、これらの ACE が既定で含まれるようにすることもできます。

たとえば、MyCompany と呼ばれる親組織単位から誤って移動または削除されないように呼び出CONTOSO.COMされたorganizationユニットを保護するには、次の構成を行います。

MyCompany 組織単位の場合は、このオブジェクトのみのスコープで DENY ACE for Everyone to DELETE CHILD を追加します。

DSACLS "OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:DC"/

Users 組織単位の場合は、DENY ACE for Everyone to DELETE TREE を追加し、 このオブジェクトのみの スコープを使用します。

DSACLS "OU=Users,OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:SDDT"

Windows Server 2008 のActive Directory ユーザーとコンピューター スナップインには、[オブジェクト] タブの [誤って削除チェックからオブジェクトを保護する] ボックスが含まれています。

注:

そのタブを表示するには、[高度な機能チェック] ボックスを有効にする必要があります。

Windows Server 2008 でActive Directory ユーザーとコンピューターを使用して組織単位を作成すると、[コンテナーを誤って削除チェックから保護する] ボックスが表示されます。 既定では、[チェック] ボックスが選択され、選択を解除できます。

これらの ACE を使用して Active Directory 内のすべてのオブジェクトを構成できますが、組織単位に最適です。 すべてのリーフ オブジェクトの削除または移動は、大きな影響を与える可能性があります。 この構成により、このような削除や移動が防止されます。 このような構成を使用してオブジェクトを実際に削除または移動するには、最初に DENY ACE を削除する必要があります。

この記事では、ユーザー アカウント、コンピューター アカウント、および Active Directory から削除された後のグループ メンバーシップを復元する方法について説明します。 このシナリオのバリエーションでは、ユーザー アカウント、コンピューター アカウント、またはセキュリティ グループが個別に、または組み合わせて削除されている可能性があります。 いずれの場合も、同じ初期手順が適用されます。 誤って削除されたオブジェクトを、権限を持って復元 (認証復元) します。 削除されたオブジェクトの中には、復元する作業が必要なものもあります。 これらのオブジェクトには、他のオブジェクトの属性のバック リンクである属性を含むユーザー アカウントなどのオブジェクトが含まれます。 これらの属性の 2 つは と memberOfですmanagedBy

ユーザー アカウント、セキュリティ グループ、コンピューター アカウントなどのセキュリティ プリンシパルをセキュリティ グループに追加すると、Active Directory で次の変更を行います。

  1. セキュリティ プリンシパルの名前が、各セキュリティ グループのメンバー属性に追加されます。
  2. ユーザー、コンピューター、またはセキュリティ グループがメンバーになっているセキュリティ グループごとに、セキュリティ プリンシパルの memberOf 属性にバック リンクが追加されます。

同様に、ユーザー、コンピューター、またはグループが Active Directory から削除されると、次のアクションが実行されます。

  1. 削除されたセキュリティ プリンシパルは、削除されたオブジェクト コンテナーに移動されます。
  2. 属性を含む memberOf いくつかの属性値は、削除されたセキュリティ プリンシパルから削除されます。
  3. 削除されたセキュリティ プリンシパルは、メンバーであったセキュリティ グループから削除されます。 つまり、削除されたセキュリティ プリンシパルは、各セキュリティ グループのメンバー属性から削除されます。

削除されたセキュリティ プリンシパルを回復し、そのグループ メンバーシップを復元する場合は、そのグループ メンバーシップを復元する前に、各セキュリティ プリンシパルが Active Directory に存在している必要があります。 メンバーは、ユーザー、コンピューター、または別のセキュリティ グループである可能性があります。 この規則をより広く言い直すには、戻るリンクの値を持つ属性を含むオブジェクトが Active Directory に存在している必要があります。その前に、その前方リンクを含むオブジェクトを復元または変更できます。

この記事では、削除されたユーザー アカウントとそのセキュリティ グループのメンバーシップを回復する方法について説明します。 その概念は、他のオブジェクトの削除にも同様に適用されます。 この記事の概念は、属性値が前方リンクと Active Directory 内の他のオブジェクトへのバック リンクを使用する削除されたオブジェクトにも同様に適用されます。

3 つの方法のいずれかを使用して、セキュリティ プリンシパルを回復できます。 方法 1 を使用する場合は、フォレスト全体の任意のセキュリティ グループに追加されたすべてのセキュリティ プリンシパルを所定の場所に残します。 また、それぞれのドメインから削除されたセキュリティ プリンシパルのみをセキュリティ グループに追加します。 たとえば、システム状態のバックアップを作成し、ユーザーをセキュリティ グループに追加してから、システム状態のバックアップを復元します。 方法 1 または 2 を使用する場合は、システム状態バックアップが作成された日付とバックアップが復元された日付の間に、削除されたユーザーを含むセキュリティ グループに追加されたすべてのユーザーを保持します。 方法 3 を使用する場合は、削除されたユーザーを含むすべてのセキュリティ グループのセキュリティ グループ メンバーシップを、システム状態のバックアップ時に状態にロールバックします。

方法 1 - 削除されたユーザー アカウントを復元し、Ntdsutil.exe コマンド ライン ツールを使用して、復元したユーザーをグループに戻します

Ntdsutil.exe コマンド ライン ツールを使用すると、削除されたオブジェクトのバックリンクを復元できます。 権限のある復元操作ごとに 2 つのファイルが生成されます。 1 つのファイルには、権限が復元されたオブジェクトの一覧が含まれています。 もう 1 つのファイルは、Ldifde.exe ユーティリティで使用される .ldf ファイルです。 このファイルは、権限を持って復元されたオブジェクトのバックリンクを復元するために使用されます。 ユーザー オブジェクトの権限のある復元では、グループ メンバーシップを持つ LDAP データ交換形式 (LDIF) ファイルも生成されます。 このメソッドは、二重復元を回避します。

このメソッドを使用する場合は、次の大まかな手順を実行します。

  1. ユーザーのドメイン内のグローバル カタログが削除でレプリケートされていないかどうかを確認します。 その後、そのグローバル カタログがレプリケートされないようにします。 潜在的なグローバル カタログがない場合は、削除されたユーザーのホーム ドメイン内のグローバル カタログ ドメイン コントローラーの最新のシステム状態バックアップを見つけます。
  2. 認証は、削除されたすべてのユーザー アカウントを復元し、それらのユーザー アカウントのエンド ツー エンド レプリケーションを許可します。
  3. 復元されたすべてのユーザーを、削除する前に、ユーザー アカウントがメンバーであったすべてのドメイン内のすべてのグループに再度追加します。

メソッド 1 を使用するには、次の手順に従います。

  1. 削除されたユーザーのホーム ドメインに、削除の一部をレプリケートしていないグローバル カタログ ドメイン コントローラーがあるかどうかを確認します。

    注:

    レプリケーション スケジュールの頻度が最も低いグローバル カタログに焦点を当てます。

    これらのグローバル カタログが 1 つ以上存在する場合は、Repadmin.exe コマンド ライン ツールを使用して、次の手順に従って受信レプリケーションを直ちに無効にします。

    1. [スタート]、[ファイル名を指定して実行] の順に選択します。

    2. [開く] ボックスに「cmd」と入力し、[OK] を選択します

    3. コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

      repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL

      注:

      コマンドを Repadmin すぐに発行できない場合は、 を使用 Repadmin して受信レプリケーションを無効にし、ネットワーク接続をすぐに返すまで、潜在的なグローバル カタログからすべてのネットワーク接続を削除します。

    このドメイン コントローラーは、回復ドメイン コントローラーと呼ばれます。 このようなグローバル カタログがない場合は、手順 2 に進みます。

  2. 次のステートメントがすべて当てはまる場合は、フォレスト内のセキュリティ グループへの変更を停止することをお勧めします。

    • 方法 1 を使用して、削除されたユーザーまたはコンピューター アカウントを識別名 (dn) パスで正式に復元しています。
    • 削除は、潜在的な回復ドメイン コントローラーを除くフォレスト内のすべてのドメイン コントローラーにレプリケートされています。
    • セキュリティ グループまたはその親コンテナーの復元を認証していません。

    セキュリティ グループまたはユーザー アカウントをホストするセキュリティ グループまたは組織単位 (OU) コンテナーを認証復元する場合は、これらの変更をすべて一時的に停止します。

    これらの変更の停止について、削除が発生したドメイン内のドメイン ユーザーに加えて、適切なドメインの管理者とヘルプ デスク管理者に通知します。

  3. 削除が発生したドメインに新しいシステム状態バックアップを作成します。 変更をロールバックする必要がある場合は、このバックアップを使用できます。

    注:

    システム状態のバックアップが削除時点まで最新の状態である場合は、この手順をスキップして手順 4 に進みます。

    手順 1 で回復ドメイン コントローラーを特定した場合は、そのシステム状態を今すぐバックアップします。

    削除が発生したドメイン内のすべてのグローバル カタログが削除でレプリケートされた場合は、削除が発生したドメイン内のグローバル カタログのシステム状態をバックアップします。

    バックアップを作成すると、復旧ドメイン コントローラーを現在の状態に戻すことができます。 最初の試行が成功しなかった場合は、復旧計画をもう一度実行します。

  4. ユーザーの削除が発生したドメインに潜在的なグローバル カタログ ドメイン コントローラーが見つからない場合は、そのドメイン内のグローバル カタログ ドメイン コントローラーの最新のシステム状態バックアップを見つけます。 このシステム状態のバックアップには、削除されたオブジェクトが含まれている必要があります。 このドメイン コントローラーを回復ドメイン コントローラーとして使用します。

    ユーザーのドメイン内のグローバル カタログ ドメイン コントローラーの復元にのみ、外部ドメインに存在するセキュリティ グループのグローバルおよびユニバーサル グループ メンバーシップ情報が含まれます。 ユーザーが削除されたドメインにグローバル カタログ ドメイン コントローラーのシステム状態バックアップがない場合は、復元されたユーザー アカウントの属性を memberOf 使用して、グローバルまたはユニバーサル グループ のメンバーシップを決定したり、外部ドメインのメンバーシップを回復したりすることはできません。 さらに、グローバル 以外のカタログ ドメイン コントローラーの最新のシステム状態バックアップを見つけることをお勧めします。

  5. オフライン管理者アカウントのパスワードがわかっている場合は、回復ドメイン コントローラーを Disrepair モードで起動します。 オフライン管理者アカウントのパスワードがわからない場合は、回復ドメイン コントローラーがまだ通常の Active Directory モードである間、ntdsutil.exe を使用してパスワードをリセットします。

    setpwd コマンド ライン ツールを使用して、オンライン Active Directory モードのドメイン コントローラーでパスワードをリセットできます。

    注:

    Microsoft は Windows 2000 をサポートしなくなりました。

    Windows Server 2003 以降のドメイン コントローラーの管理者は、Ntdsutil コマンド ライン ツールのコマンドを使用 set dsrm password して、オフライン管理者アカウントのパスワードをリセットできます。

    ディレクトリ サービス復元モードの管理者アカウントをリセットする方法の詳細については、「 Windows Server でディレクトリ サービス復元モードの管理者アカウント パスワードをリセットする方法」を参照してください。

  6. スタートアップ プロセス中に F8 キーを押して、回復ドメイン コントローラーを Disrepair モードで起動します。 オフライン管理者アカウントを使用して、回復ドメイン コントローラーのコンソールにサインインします。 手順 5 でパスワードをリセットする場合は、新しいパスワードを使用します。

    回復ドメイン コントローラーが潜在的なグローバル カタログ ドメイン コントローラーである場合は、システム状態を復元しないでください。 手順 7 に進みます。

    システム状態バックアップを使用して回復ドメイン コントローラーを作成する場合は、復旧ドメイン コントローラーで行われた最新のシステム状態バックアップを復元します。

  7. 認証は、削除されたユーザー アカウント、削除されたコンピューター アカウント、または削除されたセキュリティ グループを復元します。

    注:

    認証復元権限復元という用語は、Ntdsutil コマンド ライン ツールの権限のある復元コマンドを使用して、特定のオブジェクトまたは特定のコンテナーとそのすべての下位オブジェクトのバージョン番号をインクリメントするプロセスを指します。 エンドツーエンドレプリケーションが発生するとすぐに、回復ドメイン コントローラーの Active Directory のローカル コピー内のターゲット オブジェクトは、そのパーティションを共有するすべてのドメイン コントローラーで権限を持つ状態になります。 権限のある復元は、システム状態の復元とは異なります。 システム状態の復元では、復元されたドメイン コントローラーの Active Directory のローカル コピーに、システム状態のバックアップが作成された時点のオブジェクトのバージョンが設定されます。

    権限のある復元は Ntdsutil コマンド ライン ツールを使用して実行され、削除されたユーザーまたは削除されたユーザーをホストするコンテナーのドメイン名 (dn) パスを参照します。

    復元を認証する場合は、ドメイン ツリー内で必要な数ほど低いドメイン名 (dn) パスを使用します。 目的は、削除に関連しないオブジェクトを元に戻さないようにすることです。 これらのオブジェクトには、システム状態のバックアップが作成された後に変更されたオブジェクトが含まれる場合があります。

    次の順序で削除されたユーザーを認証復元します。

    1. 認証は、削除された各ユーザー アカウント、コンピューター アカウント、またはセキュリティ グループのドメイン名 (dn) パスを復元します。

      特定のオブジェクトの権限のある復元には時間がかかりますが、サブツリー全体の権限のある復元よりも破壊的ではありません。 認証は、削除されたオブジェクトを保持する最も低い共通の親コンテナーを復元します。

      Ntdsutil では、次の構文が使用されます。

      ntdsutil "authoritative restore" "restore object <object DN path>" q q

      たとえば、ドメインの Mayberry OU で削除されたユーザー John Doe を正式に復元するには、次の Contoso.com コマンドを使用します。

      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q

      ドメインの Mayberry OU で削除されたセキュリティ グループ ContosoPrintAccess を正式にContoso.com復元するには、次のコマンドを使用します。

      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q

      重要

      引用符の使用が必要です。

      復元するユーザーごとに、少なくとも 2 つのファイルが生成されます。 これらのファイルの形式は次のとおりです。

      ar_YYYYMMDD-HHMMSS_objects.txt
      このファイルには、権限が復元されたオブジェクトの一覧が含まれています。 このファイルは、ユーザーがドメイン ローカル グループのメンバーであったフォレスト内の他のドメインの ntdsutil 権限のある復元 create ldif file from コマンドと共に使用します。

      ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
      グローバル カタログで認証の復元を実行すると、これらのファイルのいずれかがフォレスト内のすべてのドメインに対して生成されます。 このファイルには、Ldifde.exe ユーティリティで使用できるスクリプトが含まれています。 スクリプトは、復元されたオブジェクトのバックリンクを復元します。 ユーザーのホーム ドメインでは、スクリプトによって、復元されたユーザーのすべてのグループ メンバーシップが復元されます。 ユーザーがグループ メンバーシップを持つフォレスト内の他のすべてのドメインでは、スクリプトはユニバーサル グループ メンバーシップとグローバル グループ メンバーシップのみを復元します。 このスクリプトでは、ドメイン ローカル グループメンバーシップは復元されません。 これらのメンバーシップは、グローバル カタログによって追跡されません。

    2. 認証は、削除されたユーザー アカウントまたはグループをホストする OU または Common-Name (CN) コンテナーのみを復元します。

      サブツリー全体の権限のある復元は、ntdsutil 権限のある復元コマンドの対象となる OU に、権限を持って復元しようとしているほとんどのオブジェクトが含まれている場合に有効です。 ターゲット OU には、権限を持って復元しようとしているすべてのオブジェクトが含まれているのが理想的です。

      OU サブツリーに対する権限のある復元は、コンテナー内に存在するすべての属性とオブジェクトを復元します。 システム状態のバックアップが復元された時点まで行われた変更は、バックアップ時にその値にロールバックされます。 ユーザー アカウント、コンピューター アカウント、セキュリティ グループでは、このロールバックは、次に対する最新の変更が失われることを意味する可能性があります。

      • パスワード
      • ホーム ディレクトリ
      • プロファイル パス
      • 場所
      • 連絡先情報
      • グループ メンバーシップ
      • これらのオブジェクトと属性に対して定義されているすべてのセキュリティ記述子。

      Ntdsutil では、次の構文が使用されます。

      ntdsutil "authoritative restore" "restore subtree <container DN path>" q q

      たとえば、ドメインの Mayberry OU を正式に復元するには、次の Contoso.com コマンドを使用します。

      ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q

      注:

      削除されたユーザーまたはグループをホストするピア OU ごとに、この手順を繰り返します。

      重要

      OU の下位オブジェクトを復元するときは、削除された下位オブジェクトのすべての削除された親コンテナーを明示的に認証復元する必要があります。

      復元する組織単位ごとに、少なくとも 2 つのファイルが生成されます。 これらのファイルの形式は次のとおりです。

      ar_YYYYMMDD-HHMMSS_objects.txt
      このファイルには、権限が復元されたオブジェクトの一覧が含まれています。 復元されたユーザーがドメイン ローカル グループのメンバーであったフォレスト内の他のドメインで、ntdsutil 権限のある復元 create ldif file from コマンドでこのファイルを使用します。

      ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
      このファイルには、Ldifde.exe ユーティリティで使用できるスクリプトが含まれています。 スクリプトは、復元されたオブジェクトのバックリンクを復元します。 ユーザーのホーム ドメインでは、スクリプトによって、復元されたユーザーのすべてのグループ メンバーシップが復元されます。

  8. システム状態の復元のために削除されたオブジェクトが回復ドメイン コントローラーで回復された場合は、フォレスト内の他のすべてのドメイン コントローラーにネットワーク接続を提供するすべてのネットワーク ケーブルを削除します。

  9. 通常の Active Directory モードで回復ドメイン コントローラーを再起動します。

  10. 次のコマンドを入力して、回復ドメイン コントローラーへの受信レプリケーションを無効にします。

    repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL

    システム状態が復元された復旧ドメイン コントローラーへのネットワーク接続を有効にします。

  11. 認証で復元されたオブジェクトを回復ドメイン コントローラーからドメイン内およびフォレスト内のドメイン コントローラーに送信レプリケートします。

    回復ドメイン コントローラーへの受信レプリケーションは無効のままですが、次のコマンドを入力して、認証復元されたオブジェクトをドメイン内のすべてのクロスサイト レプリカ ドメイン コントローラーとフォレスト内のすべてのグローバル カタログにプッシュします。

    repadmin /syncall /d /e /P <recovery dc> <Naming Context>

    次のステートメントがすべて true の場合、グループ メンバーシップ リンクは復元と削除されたユーザー アカウントのレプリケーションを使用して再構築されます。 手順 14 に進みます。

    注:

    次のステートメントの 1 つ以上が true でない場合は、手順 12 に進みます。

    • フォレストは、Windows Server 2003 以降のフォレスト機能レベルまたは Windows Server 2003 以降の中間フォレスト機能レベルで実行されています。
    • ユーザー アカウントまたはコンピューター アカウントのみが削除され、セキュリティ グループは削除されませんでした。
    • 削除されたユーザーは、フォレストが Windows Server 2003 以降のフォレスト機能レベルに移行された後、フォレスト内のすべてのドメインのセキュリティ グループに追加されました。

  12. 回復ドメイン コントローラーのコンソールで、Ldifde.exe ユーティリティと ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf ファイルを使用して、ユーザーのグループ メンバーシップを復元します。 これを行うには、次の手順に従います。

    • [スタート] を選択し、[実行] を選択し、[開く] ボックスに「cmd」と入力し、[OK] を選択します

    • コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。

      ldifde -i -f ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf

  13. 次のコマンドを使用して、回復ドメイン コントローラーへの受信レプリケーションを有効にします。

    repadmin /options <recovery dc name> -DISABLE_INBOUND_REPL

  14. 削除されたユーザーが外部ドメインのローカル グループに追加された場合は、次のいずれかのアクションを実行します。

    • 削除したユーザーを手動でそれらのグループに追加し直します。
    • システムの状態を復元し、認証を削除したユーザーを含む各ローカル セキュリティ グループを復元します。

  15. 回復ドメイン コントローラーのドメインと他のドメインのグローバル カタログのグループ メンバーシップを確認します。

  16. 復旧ドメイン コントローラーのドメイン内のドメイン コントローラーの新しいシステム状態バックアップを作成します。

  17. フォレストのすべての管理者、委任された管理者、フォレスト内のヘルプ デスク管理者、およびユーザーの復元が完了したことをドメイン内のユーザーに通知します。

    ヘルプ デスクの管理者は、復元されたシステムが作成された後にドメイン パスワードが変更された認証が復元されたユーザー アカウントとコンピューター アカウントのパスワードをリセットする必要がある場合があります。

    システム状態のバックアップが作成された後にパスワードを変更したユーザーは、最新のパスワードが機能しなくなったことがわかります。 このようなユーザーに、以前のパスワードがわかっている場合は、以前のパスワードを使用してログオンを試みるようにします。 それ以外の場合、ヘルプ デスク管理者はパスワードをリセットし、[次回ログオン時にパスワードを変更する必要があります] チェックボックスを選択する必要があります。 ユーザーが配置されているのと同じ Active Directory サイト内のドメイン コントローラーで行うことをお勧めします。

方法 2 - 削除されたユーザー アカウントを復元し、復元したユーザーをグループに戻す

このメソッドを使用する場合は、次の大まかな手順を実行します。

  1. ユーザーのドメイン内のグローバル カタログが削除でレプリケートされていないかどうかを確認します。 その後、そのグローバル カタログがレプリケートされないようにします。 潜在的なグローバル カタログがない場合は、削除されたユーザーのホーム ドメイン内のグローバル カタログ ドメイン コントローラーの最新のシステム状態バックアップを見つけます。
  2. 認証は、削除されたすべてのユーザー アカウントを復元し、それらのユーザー アカウントのエンド ツー エンド レプリケーションを許可します。
  3. 復元されたすべてのユーザーを、削除する前に、ユーザー アカウントがメンバーであったすべてのドメイン内のすべてのグループに再度追加します。

メソッド 2 を使用するには、次の手順に従います。

  1. 削除されたユーザーのホーム ドメインに、削除の一部をレプリケートしていないグローバル カタログ ドメイン コントローラーがあるかどうかを確認します。

    注:

    レプリケーション スケジュールの頻度が最も低いグローバル カタログに焦点を当てます。

    これらのグローバル カタログの 1 つ以上が存在する場合は、Repadmin.exe コマンド ライン ツールを使用して、受信レプリケーションをすぐに無効にします。 これを行うには、次の手順に従います。

    1. [スタート]、[ファイル名を指定して実行] の順に選択します。
    2. [開く] ボックスに「cmd」と入力し、[OK] を選択します
    3. コマンド プロンプトで次のコマンドを入力し、Enter キーを押します。
    repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL

    注:

    Repadmin コマンドをすぐに発行できない場合は、Repadmin を使用して受信レプリケーションを無効にしてから、ネットワーク接続をすぐに返すまで、潜在的なグローバル カタログからすべてのネットワーク接続を削除します。

    このドメイン コントローラーは、回復ドメイン コントローラーと呼ばれます。 このようなグローバル カタログがない場合は、手順 2 に進みます。

  2. すべての回復手順が完了するまで、ユーザー アカウント、コンピューター アカウント、セキュリティ グループへの追加、削除、変更を一時的に停止する必要があるかどうかを決定します。

    最も柔軟な復旧パスを維持するには、次の項目への変更を一時的に停止します。 変更には、削除されたユーザーのグループ メンバーシップの変更に加えて、削除が発生したドメイン内のドメイン ユーザー、ヘルプ デスク管理者、管理者によるパスワード リセットが含まれます。 次の項目への追加、削除、変更の停止を検討してください。

    1. ユーザー アカウントとユーザー アカウントの属性
    2. コンピューター アカウントとコンピューター アカウントの属性
    3. サービス アカウント
    4. セキュリティ グループ

    次のステートメントがすべて当てはまる場合は、フォレスト内のセキュリティ グループへの変更を停止することをお勧めします。

    • 方法 2 を使用して、削除されたユーザーまたはコンピューター アカウントをドメイン名 (dn) パスで正式に復元しています。
    • 削除は、潜在的な回復ドメイン コントローラーを除くフォレスト内のすべてのドメイン コントローラーにレプリケートされています。
    • セキュリティ グループまたはその親コンテナーの復元を認証していません。

    セキュリティ グループまたはユーザー アカウントをホストするセキュリティ グループまたは組織単位 (OU) コンテナーを認証復元する場合は、これらの変更をすべて一時的に停止します。

    これらの変更の停止について、削除が発生したドメイン内のドメイン ユーザーに加えて、適切なドメインの管理者とヘルプ デスク管理者に通知します。

  3. 削除が発生したドメインに新しいシステム状態バックアップを作成します。 変更をロールバックする必要がある場合は、このバックアップを使用できます。

    注:

    システム状態のバックアップが削除時点まで最新の状態である場合は、この手順をスキップして手順 4 に進みます。

    手順 1 で回復ドメイン コントローラーを特定した場合は、そのシステム状態を今すぐバックアップします。

    削除が発生したドメイン内のすべてのグローバル カタログが削除でレプリケートされた場合は、削除が発生したドメイン内のグローバル カタログのシステム状態をバックアップします。

    バックアップを作成すると、復旧ドメイン コントローラーを現在の状態に戻すことができます。 最初の試行が成功しなかった場合は、復旧計画をもう一度実行します。

  4. ユーザーの削除が発生したドメインに潜在的なグローバル カタログ ドメイン コントローラーが見つからない場合は、そのドメイン内のグローバル カタログ ドメイン コントローラーの最新のシステム状態バックアップを見つけます。 このシステム状態のバックアップには、削除されたオブジェクトが含まれている必要があります。 このドメイン コントローラーを回復ドメイン コントローラーとして使用します。

    ユーザーのドメイン内のグローバル カタログ ドメイン コントローラーの復元にのみ、外部ドメインに存在するセキュリティ グループのグローバルおよびユニバーサル グループ メンバーシップ情報が含まれます。 ユーザーが削除されたドメインにグローバル カタログ ドメイン コントローラーのシステム状態バックアップがない場合は、復元されたユーザー アカウントの属性を memberOf 使用して、グローバルまたはユニバーサル グループのメンバーシップを決定したり、外部ドメインのメンバーシップを回復したりすることはできません。 さらに、グローバル 以外のカタログ ドメイン コントローラーの最新のシステム状態バックアップを見つけることをお勧めします。

  5. オフライン管理者アカウントのパスワードがわかっている場合は、回復ドメイン コントローラーを Disrepair モードで起動します。 オフライン管理者アカウントのパスワードがわからない場合は、回復ドメイン コントローラーがまだ通常の Active Directory モードである間にパスワードをリセットします。

    setpwd コマンド ライン ツールを使用すると、Windows 2000 Service Pack 2 (SP2) 以降を実行しているドメイン コントローラーで、オンライン Active Directory モードの間にパスワードをリセットできます。

    注:

    Microsoft は Windows 2000 をサポートしなくなりました。

    Windows Server 2003 以降のドメイン コントローラーの管理者は、Ntdsutil コマンド ライン ツールのコマンドを使用 set dsrm password して、オフライン管理者アカウントのパスワードをリセットできます。

    ディレクトリ サービス復元モードの管理者アカウントをリセットする方法の詳細については、「 Windows Server でディレクトリ サービス復元モードの管理者アカウント パスワードをリセットする方法」を参照してください。

  6. スタートアップ プロセス中に F8 キーを押して、回復ドメイン コントローラーを Disrepair モードで起動します。 オフライン管理者アカウントを使用して、回復ドメイン コントローラーのコンソールにサインインします。 手順 5 でパスワードをリセットする場合は、新しいパスワードを使用します。

    回復ドメイン コントローラーが潜在的なグローバル カタログ ドメイン コントローラーである場合は、システム状態を復元しないでください。 手順 7 に進みます。

    システム状態バックアップを使用して回復ドメイン コントローラーを作成する場合は、復旧ドメイン コントローラーで行われた最新のシステム状態バックアップを復元します。

  7. 認証は、削除されたユーザー アカウント、削除されたコンピューター アカウント、または削除されたセキュリティ グループを復元します。

    注:

    認証復元権限復元という用語は、Ntdsutil コマンド ライン ツールの権限のある復元コマンドを使用して、特定のオブジェクトまたは特定のコンテナーとそのすべての下位オブジェクトのバージョン番号をインクリメントするプロセスを指します。 エンドツーエンドレプリケーションが発生するとすぐに、回復ドメイン コントローラーの Active Directory のローカル コピー内のターゲット オブジェクトは、そのパーティションを共有するすべてのドメイン コントローラーで権限を持つ状態になります。 権限のある復元は、システム状態の復元とは異なります。 システム状態の復元では、復元されたドメイン コントローラーの Active Directory のローカル コピーに、システム状態のバックアップが作成された時点のオブジェクトのバージョンが設定されます。

    権限のある復元は Ntdsutil コマンド ライン ツールを使用して実行され、削除されたユーザーまたは削除されたユーザーをホストするコンテナーのドメイン名 (dn) パスを参照します。

    復元を認証する場合は、ドメイン ツリー内で必要な数ほど低いドメイン名 (dn) パスを使用します。 目的は、削除に関連しないオブジェクトを元に戻さないようにすることです。 これらのオブジェクトには、システム状態のバックアップが作成された後に変更されたオブジェクトが含まれる場合があります。

    次の順序で削除されたユーザーを認証復元します。

    1. 認証は、削除された各ユーザー アカウント、コンピューター アカウント、またはセキュリティ グループのドメイン名 (dn) パスを復元します。

      特定のオブジェクトの権限のある復元には時間がかかりますが、サブツリー全体の権限のある復元よりも破壊的ではありません。 認証は、削除されたオブジェクトを保持する最も低い共通の親コンテナーを復元します。

      Ntdsutil では、次の構文が使用されます。

      ntdsutil "authoritative restore" "restore object <object DN path>" q q

      たとえば、ドメインの Mayberry OU で削除されたユーザー John Doe を正式に復元するには、次の Contoso.com コマンドを使用します。

      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q

      ドメインの Mayberry OU で削除されたセキュリティ グループ ContosoPrintAccess を正式にContoso.com復元するには、次のコマンドを使用します。

      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q

      重要

      引用符の使用が必要です。

      注:

      この構文は、Windows Server 2003 以降でのみ使用できます。 Windows 2000 の唯一の構文は、次を使用することにあります。

      ntdsutil "authoritative restore" "restore subtree object DN path"

      注:

      識別名パス (DN) に拡張文字またはスペースが含まれている場合、Ntdsutil の権限のある復元操作は成功しません。 スクリプト化された復元を成功させるには、コマンドを restore object <DN path> 1 つの完全な文字列として渡す必要があります。

      この問題を回避するには、拡張文字とスペースを含む DN を円記号二重引用符エスケープ シーケンスでラップします。 次に例を示します:

      ntdsutil "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\"" q q

      注:

      復元されるオブジェクトの DN にコンマが含まれている場合は、コマンドをさらに変更する必要があります。 次の例を参照してください。

      ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\"" q q

      注:

      オブジェクトがテープから復元され、権限がマークされ、復元が期待どおりに機能しなかった場合、NTDS データベースをもう一度復元するために同じテープが使用される場合、権限を持って復元されるオブジェクトの USN バージョンを既定値の 100000 より大きくする必要があります。または、2 回目の復元後にオブジェクトがレプリケートされません。 次の構文は、100000 より大きいバージョン番号をスクリプト化するために必要です (既定値)。

      ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q

      注:

      復元する各オブジェクトに対して確認を求めるメッセージがスクリプトによって表示される場合は、プロンプトをオフにすることができます。 プロンプトをオフにする構文は次のとおりです。

      ntdsutil "popups off" "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q

    2. 認証は、削除されたユーザー アカウントまたはグループをホストする OU または Common-Name (CN) コンテナーのみを復元します。

      サブツリー全体の権限のある復元は、ntdsutil 権限のある復元コマンドの対象となる OU に、権限を持って復元しようとしているほとんどのオブジェクトが含まれている場合に有効です。 ターゲット OU には、権限を持って復元しようとしているすべてのオブジェクトが含まれているのが理想的です。

      OU サブツリーに対する権限のある復元は、コンテナー内に存在するすべての属性とオブジェクトを復元します。 システム状態のバックアップが復元された時点まで行われた変更は、バックアップ時にその値にロールバックされます。 ユーザー アカウント、コンピューター アカウント、セキュリティ グループの場合、このロールバックは、パスワード、ホーム ディレクトリ、プロファイル パス、場所と連絡先情報、グループ メンバーシップ、およびそれらのオブジェクトと属性で定義されているすべてのセキュリティ記述子に対する最新の変更が失われることを意味する場合があります。

      Ntdsutil では、次の構文が使用されます。

      ntdsutil "authoritative restore" "restore subtree <container DN path>" q q

      たとえば、ドメインの Mayberry OU を正式に復元するには、次の Contoso.com コマンドを使用します。

      ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q

      注:

      削除されたユーザーまたはグループをホストするピア OU ごとに、この手順を繰り返します。

      重要

      OU の下位オブジェクトを復元するときは、削除された下位オブジェクトのすべての削除された親コンテナーを明示的に認証復元する必要があります。

  8. システム状態の復元のために削除されたオブジェクトが回復ドメイン コントローラーで回復された場合は、フォレスト内の他のすべてのドメイン コントローラーにネットワーク接続を提供するすべてのネットワーク ケーブルを削除します。

  9. 通常の Active Directory モードで回復ドメイン コントローラーを再起動します。

  10. 次のコマンドを入力して、回復ドメイン コントローラーへの受信レプリケーションを無効にします。

    repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL

    システム状態が復元された復旧ドメイン コントローラーへのネットワーク接続を有効にします。

  11. 認証で復元されたオブジェクトを回復ドメイン コントローラーからドメイン内およびフォレスト内のドメイン コントローラーに送信レプリケートします。

    回復ドメイン コントローラーへの受信レプリケーションは無効のままですが、次のコマンドを入力して、認証復元されたオブジェクトをドメイン内のすべてのクロスサイト レプリカ ドメイン コントローラーとフォレスト内のすべてのグローバル カタログにプッシュします。

    repadmin /syncall /d /e /P <recovery dc> <Naming Context>

    次のステートメントがすべて true の場合、グループ メンバーシップ リンクは復元と削除されたユーザー アカウントのレプリケーションを使用して再構築されます。 手順 14 に進みます。

    注:

    次のステートメントの 1 つ以上が true でない場合は、手順 12 に進みます。

    • フォレストは、Windows Server 2003 以降のフォレスト機能レベル、または Windows Server 2003 以降の中間フォレスト機能レベルで実行されています。
    • ユーザー アカウントまたはコンピューター アカウントのみが削除され、セキュリティ グループは削除されませんでした。
    • 削除されたユーザーは、フォレストが Windows Server 2003 以降のフォレスト機能レベルに移行された後、フォレスト内のすべてのドメインのセキュリティ グループに追加されました。

  12. 削除されたユーザーがメンバーだったセキュリティ グループを特定し、それらのグループに追加します。

    注:

    ユーザーをグループに追加する前に、手順 7 で復元した認証を行ったユーザーと、手順 11 で送信レプリケートしたユーザーは、参照先ドメイン コントローラーのドメイン コントローラーとフォレスト内のすべてのグローバル カタログ ドメイン コントローラーにレプリケートされている必要があります。

    セキュリティ グループのメンバーシップを再入力するためにグループ プロビジョニング ユーティリティを展開した場合は、そのユーティリティを使用して、削除されたユーザーを削除する前にメンバーであったセキュリティ グループに復元します。 フォレストのドメインとグローバル カタログ サーバー内のすべての直接および推移的なドメイン コントローラーが、認証で復元されたユーザーと復元されたコンテナーを受信レプリケートした後に行います。

    ユーティリティがない場合は、回復ドメイン コントローラーで実行するときに、 Ldifde.exe および Groupadd.exe コマンド ライン ツールを使用してこのタスクを自動化できます。 これらのツールは、Microsoft 製品サポート サービスから入手できます。 このシナリオでは、Ldifde.exe は、ユーザー アカウントとそのセキュリティ グループの名前を含む LDAP データ交換形式 (LDIF) 情報ファイルを作成します。 管理者が指定する OU コンテナーから開始します。 Groupadd.exe は、.ldf ファイルに memberOf 一覧表示されている各ユーザー アカウントの属性を読み取ります。 次に、フォレスト内のドメインごとに個別の一意の LDIF 情報が生成されます。 この LDIF 情報には、削除されたユーザーに関連付けられているセキュリティ グループの名前が含まれています。 LDIF 情報を使用して、グループ メンバーシップを復元できるように、ユーザーに情報を追加し直します。 回復のこのフェーズでは、次の手順に従います。

    1. ドメイン管理者のセキュリティ グループのメンバーであるユーザー アカウントを使用して、回復ドメイン コントローラーのコンソールにサインインします。

    2. Ldifde コマンドを使用して、削除が発生した最上位の OU コンテナーから始まる、以前に削除されたユーザー アカウントとその memberOf 属性の名前をダンプします。 Ldifde コマンドは、次の構文を使用します。

      ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=user)" -l memberof -p subtree -f user_membership_after_restore.ldf

      削除されたコンピューター アカウントがセキュリティ グループに追加された場合は、次の構文を使用します。

      ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=computer)" -l memberof -p subtree -f computer_membership_after_restore.ldf

    3. コマンドを Groupadd 実行して、ドメインの名前と、削除されたユーザーがメンバーであったグローバルおよびユニバーサル セキュリティ グループの名前を含む.ldf ファイルをさらにビルドします。 コマンドは Groupadd 、次の構文を使用します。

      Groupadd / after_restore users_membership_after_restore.ldf

      削除されたコンピューター アカウントがセキュリティ グループに追加された場合は、このコマンドを繰り返します。

    4. 手順 12c で作成した各 Groupadd_fully.qualified.domain.name.ldf ファイルを、各ドメインの .ldf ファイルに対応する 1 つのグローバル カタログ ドメイン コントローラーにインポートします。 次の Ldifde 構文を使用します。

      Ldifde -i -k -f Groupadd_<fully.qualified.domain.name>.ldf

      回復ドメイン コントローラーを除く任意のドメイン コントローラーで、ユーザーが削除されたドメインの .ldf ファイルを実行します。

    5. 特定のドメインのGroupadd_<fully.qualified.domain.name.ldf> ファイルをインポートするために使用される各ドメイン コントローラーのコンソールで、ドメイン内の他のドメイン コントローラーとフォレスト内のグローバル カタログ ドメイン コントローラーにグループ メンバーシップの追加を送信レプリケートします。 これを行うには、次のコマンドを使用します。

      repadmin /syncall /d /e /P <recovery dc> <Naming Context>

  13. 送信レプリケーションを無効にするには、次のテキストを入力し、Enter キーを押します。

    repadmin /options +DISABLE_OUTBOUND_REPL

    注:

    送信レプリケーションを再度有効にするには、次のテキストを入力し、Enter キーを押します。

    repadmin /options -DISABLE_OUTBOUND_REPL

  14. 削除されたユーザーが外部ドメインのローカル グループに追加された場合は、次のいずれかのアクションを実行します。

    • 削除したユーザーを手動でそれらのグループに追加し直します。
    • システムの状態を復元し、認証を削除したユーザーを含む各ローカル セキュリティ グループを復元します。

  15. 回復ドメイン コントローラーのドメインと他のドメインのグローバル カタログのグループ メンバーシップを確認します。

  16. 復旧ドメイン コントローラーのドメイン内のドメイン コントローラーの新しいシステム状態バックアップを作成します。

  17. フォレストのすべての管理者、委任された管理者、フォレスト内のヘルプ デスク管理者、およびユーザーの復元が完了したことをドメイン内のユーザーに通知します。

    ヘルプ デスクの管理者は、復元されたシステムが作成された後にドメイン パスワードが変更された認証が復元されたユーザー アカウントとコンピューター アカウントのパスワードをリセットする必要がある場合があります。

    システム状態のバックアップが作成された後にパスワードを変更したユーザーは、最新のパスワードが機能しなくなったことがわかります。 このようなユーザーに、以前のパスワードがわかっている場合は、以前のパスワードを使用してログオンを試みるようにします。 それ以外の場合、ヘルプ デスク管理者はパスワードをリセットし、[次回ログオン時にパスワードを変更する必要があります] チェックボックスを選択する必要があります。 ユーザーが配置されているのと同じ Active Directory サイト内のドメイン コントローラーで行うことをお勧めします。

方法 3 - 削除されたユーザーと削除されたユーザーのセキュリティ グループを 2 回正式に復元する

このメソッドを使用する場合は、次の大まかな手順を実行します。

  1. ユーザーのドメイン内のグローバル カタログが削除でレプリケートされていないかどうかを確認します。 その後、そのドメイン コントローラーが削除を受信レプリケートできないようにします。 潜在的なグローバル カタログがない場合は、削除されたユーザーのホーム ドメイン内のグローバル カタログ ドメイン コントローラーの最新のシステム状態バックアップを見つけます。
  2. 削除されたすべてのユーザー アカウントと、削除されたユーザーのドメイン内のすべてのセキュリティ グループを権限を持って復元します。
  3. 復元されたユーザーとセキュリティ グループが、削除されたユーザーのドメイン内のすべてのドメイン コントローラーとフォレストのグローバル カタログ ドメイン コントローラーにエンドツーエンドでレプリケーションされるまで待ちます。
  4. 手順 2 と 3 を繰り返して、削除されたユーザーとセキュリティ グループを正式に復元します。 (システム状態は 1 回だけ復元します)。
  5. 削除されたユーザーが他のドメインのセキュリティ グループのメンバーである場合は、削除されたユーザーがそれらのドメインのメンバーであったすべてのセキュリティ グループを正式に復元します。 または、システム状態のバックアップが最新の場合は、それらのドメイン内のすべてのセキュリティ グループを権限を持って復元します。 グループ メンバーシップ リンクを修正するには、セキュリティ グループの前に削除されたグループ メンバーを復元する必要があるという要件を満たすために、このメソッドで両方のオブジェクトの種類を 2 回復元します。 最初の復元では、すべてのユーザー アカウントとグループ アカウントが配置されます。 2 つ目の復元では、削除されたグループが復元され、入れ子になったグループのメンバーシップ情報など、グループ メンバーシップ情報が修復されます。

メソッド 3 を使用するには、次の手順に従います。

  1. グローバル カタログ ドメイン コントローラーが削除されたユーザーのホーム ドメインに存在し、削除のどの部分にもレプリケートされていないかどうかを確認します。

    注:

    レプリケーション スケジュールの頻度が最も低いドメイン内のグローバル カタログに焦点を当てます。 これらのドメイン コントローラーが存在する場合は、Repadmin.exe コマンド ライン ツールを使用して、受信レプリケーションをすぐに無効にします。 これを行うには、次の手順に従います。

    1. [スタート]、[ファイル名を指定して実行] の順に選択します。
    2. [開く] ボックスに「cmd」と入力し、[OK] を選択します
    3. コマンド プロンプトで「」と入力 repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL し、Enter キーを押します。

    注:

    Repadmin コマンドをすぐに発行できない場合は、Repadmin を使用して受信レプリケーションを無効にしてから、すぐにネットワーク接続を返すまで、ドメイン コントローラーからすべてのネットワーク接続を削除します。

    このドメイン コントローラーは、回復ドメイン コントローラーと呼ばれます。

  2. すべての回復手順が完了するまで、次の項目の追加、削除、変更は行わないでください。 変更には、削除されたユーザーのグループ メンバーシップの変更に加えて、削除が発生したドメイン内のドメイン ユーザー、ヘルプ デスク管理者、管理者によるパスワード リセットが含まれます。

    1. ユーザー アカウントとユーザー アカウントの属性

    2. コンピューター アカウントとコンピューター アカウントの属性

    3. サービス アカウント

    4. セキュリティ グループ

      注:

      特に、削除が発生したフォレスト内のユーザー、コンピューター、グループ、およびサービス アカウントのグループ メンバーシップの変更は避けてください。

    5. 一時的なスタンドダウンのフォレスト内のすべてのフォレスト管理者、委任された管理者、およびヘルプ デスク管理者に通知します。 このスタンドダウンは、削除されたすべてのユーザーのセキュリティ グループを正式に復元するため、方法 2 で必要です。 そのため、システム状態バックアップの日付以降にグループに加えられた変更はすべて失われます。

  3. 削除が発生したドメインに新しいシステム状態バックアップを作成します。 変更をロールバックする必要がある場合は、このバックアップを使用できます。

    注:

    削除が発生した時点までのシステム状態バックアップが最新の状態である場合は、この手順をスキップして手順 4 に進みます。

    手順 1 で回復ドメイン コントローラーを特定した場合は、そのシステム状態を今すぐバックアップします。

    削除が発生したドメイン内にあるすべてのグローバル カタログが削除をレプリケートした場合は、削除が発生したドメイン内のグローバル カタログのシステム状態をバックアップします。

    バックアップを作成すると、復旧ドメイン コントローラーを現在の状態に戻すことができます。 最初の試行が成功しなかった場合は、復旧計画をもう一度実行します。

  4. ユーザーの削除が発生したドメインに潜在的なグローバル カタログ ドメイン コントローラーが見つからない場合は、そのドメイン内のグローバル カタログ ドメイン コントローラーの最新のシステム状態バックアップを見つけます。 このシステム状態のバックアップには、削除されたオブジェクトが含まれている必要があります。 このドメイン コントローラーを回復ドメイン コントローラーとして使用します。

    ユーザーのドメイン内のグローバル カタログ ドメイン コントローラーのデータベースにのみ、フォレスト内の外部ドメインのグループ メンバーシップ情報が含まれています。 ユーザーが削除されたドメインにグローバル カタログ ドメイン コントローラーのシステム状態バックアップがない場合は、復元されたユーザー アカウントの属性を memberOf 使用して、グローバル またはユニバーサル グループ のメンバーシップを決定したり、外部ドメインのメンバーシップを回復したりすることはできません。 次の手順に進みます。 外部ドメインにグループ メンバーシップの外部レコードがある場合は、ユーザー アカウントの復元後に、復元されたユーザーをそれらのドメインのセキュリティ グループに追加します。

  5. オフライン管理者アカウントのパスワードがわかっている場合は、回復ドメイン コントローラーを Disrepair モードで起動します。 オフライン管理者アカウントのパスワードがわからない場合は、回復ドメイン コントローラーがまだ通常の Active Directory モードである間にパスワードをリセットします。

    setpwd コマンド ライン ツールを使用して、Windows 2000 SP2 以降を実行しているドメイン コントローラーがオンライン Active Directory モードになっている間にパスワードをリセットできます。

    注:

    Microsoft は Windows 2000 をサポートしなくなりました。

    Windows Server 2003 以降のドメイン コントローラーの管理者は、Ntdsutil コマンド ライン ツールのコマンドを使用 set dsrm password して、オフライン管理者アカウントのパスワードをリセットできます。

    ディレクトリ サービス復元モードの管理者アカウントをリセットする方法の詳細については、「 Windows Server でディレクトリ サービス復元モードの管理者アカウント パスワードをリセットする方法」を参照してください。

  6. スタートアップ プロセス中に F8 キーを押して、回復ドメイン コントローラーを Disrepair モードで起動します。 オフライン管理者アカウントを使用して、回復ドメイン コントローラーのコンソールにログオンします。 手順 5 でパスワードをリセットする場合は、新しいパスワードを使用します。

    回復ドメイン コントローラーが潜在的なグローバル カタログ ドメイン コントローラーである場合は、システム状態を復元しないでください。 手順 7 に直接進みます。

    システム状態バックアップを使用して回復ドメイン コントローラーを作成する場合は、削除されたオブジェクトを含む復旧ドメイン コントローラーで行われた最新のシステム状態バックアップを復元します。

  7. 認証は、削除されたユーザー アカウント、削除されたコンピューター アカウント、または削除されたセキュリティ グループを復元します。

    注:

    認証復元権限復元という用語は、Ntdsutil コマンド ライン ツールの権限のある復元コマンドを使用して、特定のオブジェクトまたは特定のコンテナーとそのすべての下位オブジェクトのバージョン番号をインクリメントするプロセスを指します。 エンドツーエンドレプリケーションが発生するとすぐに、回復ドメイン コントローラーの Active Directory のローカル コピー内のターゲット オブジェクトは、そのパーティションを共有するすべてのドメイン コントローラーで権限を持つ状態になります。 権限のある復元は、システム状態の復元とは異なります。 システム状態の復元では、復元されたドメイン コントローラーの Active Directory のローカル コピーに、システム状態のバックアップが作成された時点のオブジェクトのバージョンが設定されます。

    権限のある復元は、削除されたユーザーのドメイン名 (dn) パス、または削除されたユーザーをホストするコンテナーを参照することで、Ntdsutil コマンド ライン ツールを使用して実行されます。

    復元を認証するときは、ドメイン ツリー内で必要な数ほど低いドメイン名パスを使用します。 目的は、削除に関連しないオブジェクトを元に戻さないようにすることです。 これらのオブジェクトには、システム状態のバックアップが作成された後に変更されたオブジェクトが含まれる場合があります。

    次の順序で削除されたユーザーを認証復元します。

    1. 認証は、削除された各ユーザー アカウント、コンピューター アカウント、または削除されたセキュリティ グループのドメイン名 (dn) パスを復元します。

      特定のオブジェクトの権限のある復元には時間がかかりますが、サブツリー全体の権限のある復元よりも破壊的ではありません。 認証は、削除されたオブジェクトを保持する最も低い共通の親コンテナーを復元します。

      Ntdsutil では、次の構文が使用されます。

      ntdsutil "authoritative restore" "restore object <object DN path>" q q

      たとえば、ドメインの Mayberry OU で削除されたユーザー John Doe を正式に復元するには、次の Contoso.com コマンドを使用します。

      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q

      ドメインの Mayberry OU で削除されたセキュリティ グループ ContosoPrintAccess を正式にContoso.com復元するには、次のコマンドを使用します。

      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q

      重要

      引用符の使用が必要です。

      この Ntdsutil 形式を使用すると、バッチ ファイルまたはスクリプト内の多数のオブジェクトの権限のある復元を自動化することもできます。

      注:

      この構文は、Windows Server 2003 以降でのみ使用できます。 Windows 2000 の唯一の構文は、 を使用することにあります。 ntdsutil "authoritative restore" "restore subtree object DN path"

    2. 認証は、削除されたユーザー アカウントまたはグループをホストする OU または Common-Name (CN) コンテナーのみを復元します。

      サブツリー全体の権限のある復元は、Ntdsutil の権限のある復元コマンドの対象となる OU に、権限を持って復元しようとしているほとんどのオブジェクトが含まれている場合に有効です。 ターゲット OU には、権限を持って復元しようとしているすべてのオブジェクトが含まれているのが理想的です。

      OU サブツリーに対する権限のある復元は、コンテナー内に存在するすべての属性とオブジェクトを復元します。 システム状態のバックアップが復元された時点まで行われた変更は、バックアップ時にその値にロールバックされます。 ユーザー アカウント、コンピューター アカウント、セキュリティ グループの場合、このロールバックは、パスワード、ホーム ディレクトリ、プロファイル パス、場所と連絡先情報、グループ メンバーシップ、およびそれらのオブジェクトと属性で定義されているすべてのセキュリティ記述子に対する最新の変更が失われることを意味する場合があります。

      Ntdsutil では、次の構文が使用されます。

      ntdsutil "authoritative restore" "restore subtree <container DN path>" q q

      たとえば、ドメインの Mayberry OU を正式に復元するには、次の Contoso.com コマンドを使用します。

      ntdsutil "authoritative restore" "restore subtree ou=Mayberry,dc=contoso,dc=com" q q

      注:

      削除されたユーザーまたはグループをホストするピア OU ごとに、この手順を繰り返します。

      重要

      OU の下位オブジェクトを復元するときは、削除された下位オブジェクトのすべての親コンテナーを明示的に認証復元する必要があります。

  8. 通常の Active Directory モードで回復ドメイン コントローラーを再起動します。

  9. 回復ドメイン コントローラーからドメイン内およびフォレスト内のドメイン コントローラーに、権限を持って復元されたオブジェクトを送信レプリケートします。

    回復ドメイン コントローラーへの受信レプリケーションは無効のままですが、権限を持って復元されたオブジェクトをドメイン内のすべてのクロスサイト レプリカ ドメイン コントローラーとフォレスト内のグローバル カタログにプッシュするには、次のコマンドを入力します。

    repadmin /syncall /d /e /P <recovery dc> <Naming Context>

    フォレストのドメインとグローバル カタログ サーバー内のすべての直接および推移的なドメイン コントローラーが、権限を持って復元されたユーザーと復元されたコンテナーにレプリケートされたら、手順 11 に進みます。

    次のステートメントがすべて true の場合、グループ メンバーシップ リンクは削除されたユーザー アカウントの復元と共に再構築されます。 手順 13 に進みます。

    • フォレストは、Windows Server 2003 以降のフォレスト機能レベル、または Windows Server 2003 以降の中間フォレスト機能レベルで実行されています。
    • セキュリティ グループのみが削除されませんでした。
    • 削除されたすべてのユーザーが、フォレスト内のすべてのドメイン内のすべてのセキュリティ グループに追加されました。

    コマンドを Repadmin 使用して、復元されたドメイン コントローラーからのユーザーの送信レプリケーションを高速化することを検討してください。

    グループも削除された場合、または Windows Server 2003 以降の中間またはフォレストの機能レベルに移行した後に、削除されたすべてのユーザーがすべてのセキュリティ グループに追加されたことを保証できない場合は、手順 12 に進みます。

  10. システム状態を復元せずに手順 7、8、9 を繰り返し、手順 11 に進みます。

  11. 削除されたユーザーが外部ドメインのローカル グループに追加された場合は、次のいずれかのアクションを実行します。

    • 削除したユーザーを手動でそれらのグループに追加し直します。
    • システムの状態を復元し、認証を削除したユーザーを含む各ローカル セキュリティ グループを復元します。

  12. 回復ドメイン コントローラーのドメインと他のドメインのグローバル カタログのグループ メンバーシップを確認します。

  13. 次のコマンドを使用して、回復ドメイン コントローラーへの受信レプリケーションを有効にします。

    repadmin /options recovery dc name -DISABLE_INBOUND_REPL

  14. 復旧ドメイン コントローラーのドメイン コントローラーとフォレスト内の他のドメインのグローバル カタログの新しいシステム状態バックアップを作成します。

  15. すべてのフォレスト管理者、委任された管理者、フォレスト内のヘルプ デスク管理者、およびユーザーの復元が完了したことをドメイン内のユーザーに通知します。

    ヘルプ デスク管理者は、復元されたシステムが作成された後にドメイン パスワードが変更された認証が復元されたユーザー アカウントとコンピューター アカウントのパスワードをリセットする必要がある場合があります。

    システム状態のバックアップが作成された後にパスワードを変更したユーザーは、最新のパスワードが機能しなくなったことがわかります。 このようなユーザーに、以前のパスワードがわかっている場合は、以前のパスワードを使用してログオンを試みるようにします。 それ以外の場合、ヘルプ デスク管理者は、ユーザーが次回ログオン時にパスワードを変更する必要があるチェックチェック ボックスをオンにして、パスワードをリセットする必要があります。 ユーザーが配置されているのと同じ Active Directory サイト内のドメイン コントローラーで行うことをお勧めします。

有効なシステム状態バックアップがない場合にドメイン コントローラーで削除されたユーザーを回復する方法

ユーザー アカウントまたはセキュリティ グループが削除されたドメインに現在のシステム状態バックアップがなく、Windows Server 2003 以降のドメイン コントローラーを含むドメインで削除が発生した場合は、次の手順に従って、削除されたオブジェクト コンテナーから削除されたオブジェクトを手動で再アニメーション化します。

  1. 次のセクションの手順に従って、削除されたユーザー、コンピューター、グループ、またはそのすべてを再アニメーション化します。
    削除されたオブジェクト コンテナー内のオブジェクトを手動で取り消す方法
  2. Active Directory ユーザーとコンピューターを使用して、アカウントを無効から有効に変更します。 (元の OU にアカウントが表示されます)。
  3. Windows Server 2003 以降のバージョンのActive Directory ユーザーとコンピューターの一括リセット機能を使用して、パスワードの一括リセットを実行するには、次のログオン ポリシー設定、ホーム ディレクトリ、プロファイル パス、削除されたアカウントのグループ メンバーシップで、必要に応じて変更する必要があります。 これらの機能に相当するプログラムを使用することもできます。
  4. Microsoft Exchange 2000 以降を使用した場合は、削除されたユーザーの Exchange メールボックスを修復します。
  5. Exchange 2000 以降を使用した場合は、削除されたユーザーを Exchange メールボックスに再関連付けます。
  6. 回復したユーザーがログオンし、ローカル ディレクトリ、共有ディレクトリ、ファイルにアクセスできることを確認します。

次の方法を使用して、これらの回復手順の一部またはすべてを自動化できます。

  • 手順 1 に記載されている手動の回復手順を自動化するスクリプトを記述します。 このようなスクリプトを記述する場合は、削除されたオブジェクトを日付、時刻、最後の既知の親コンテナーでスコープし、削除されたオブジェクトの再アニメーションを自動化することを検討してください。 再アニメーションを自動化するには、属性を isDeletedTRUE から FALSE に変更し、相対識別名を、属性または管理者によって指定された新しい OU または共通名 (CN) コンテナーで lastKnownParent 定義されている値に変更します。 (相対識別名は RDN とも呼ばれます)。
  • Windows Server 2003 以降のドメイン コントローラーで削除されたオブジェクトの再アニメーション化をサポートする Microsoft 以外のプログラムを取得します。 そのようなユーティリティの 1 つは AdRestore です。 AdRestore では、Windows Server 2003 以降のプリミティブを使用して、オブジェクトを個別に削除解除します。 Aelita Software Corporation と Commvault Systems には、Windows Server 2003 以降のドメイン コントローラーでの削除解除機能をサポートする製品も用意されています。

AdRestore を取得するには、「 AdRestore v1.1」を参照してください。

他社テクニカル サポートのお問い合わせ窓口は、ユーザーの便宜のために提供されているものであり、 将来予告なしに変更されることがあります。 Microsoft は、このサード パーティの連絡先情報の正確性を保証しません。

削除されたオブジェクトのコンテナー内のオブジェクトを手動で取り消す方法

削除されたオブジェクトのコンテナー内のオブジェクトを手動で削除するには、次の手順に従います。

  1. [ スタート] を選択し、[ 実行] を選択し、「 ldp.exe」と入力します。

    ldp.exe を使用できます。

    • ドメイン コントローラーの役割がインストールされているコンピューター。
    • リモート サーバー管理ツール (RSAT) がインストールされているコンピューター。

  2. Windows Server 2003 以降のドメイン コントローラーへの接続操作とバインド操作を実行するには、Ldp の [ 接続 ] メニューを使用します。

    バインド操作中にドメイン管理者の資格情報を指定します。

  3. [ オプション ] メニューの [ コントロール] を選択します。

  4. [ 定義済みの読み込み ] ボックスの一覧で、[ 削除されたオブジェクトを返す] を選択します。

    注:

    1.2.840.113556.1.4.417 コントロールが [Active Controls ] ウィンドウに移動します。

  5. [ コントロールの種類] で [ サーバー] を選択し、[ OK] を選択します

  6. [ 表示 ] メニューの [ ツリー] を選択し、削除が発生したドメイン内の削除されたオブジェクト コンテナーの識別名パスを入力し、[ OK] を選択します

    注:

    識別名パスは DN パスとも呼ばれます。 たとえば、ドメインで contoso.com 削除が行われた場合、DN パスは次のパスになります。
    cn=deleted オブジェクト、dc=contoso、dc=com

  7. ウィンドウの左側のウィンドウで、 削除されたオブジェクト コンテナーをダブルクリックします。

    注:

    Idap クエリの検索結果として、既定では 1,000 個のオブジェクトのみが返されます。 Fot の例では、削除済みオブジェクト コンテナーに 1,000 を超えるオブジェクトが存在する場合、このコンテナーにすべてのオブジェクトが表示されるわけではありません。 ターゲット オブジェクトが表示されない場合は、 ntdsutil を使用し、 maxpagesize を使用して最大値を設定して検索結果を取得します。

  8. 削除または再アニメーション化するオブジェクトをダブルクリックします。

  9. 再アニメーションにするオブジェクトを右クリックし、[ 変更] を選択します。

    1 つのライトウェイト ディレクトリ アクセス プロトコル (LDAP) 変更操作で、属性と DN パスの値 isDeleted を変更します。 [変更] ダイアログを構成するには、次の手順に従います。

    1. [ エントリ属性の編集 ] ボックスに、「 isDeleted」と入力します。 [値] ボックスは空白のままにします。

    2. [ 削除 ] オプション ボタンを選択し、[ Enter ] を選択して、[ エントリ一覧 ] ダイアログで 2 つのエントリの最初のエントリを作成します。

      重要

      [ 実行] を選択しないでください。

    3. [ 属性 ] ボックスに「 distinguishedName」と入力します。

    4. [ ] ボックスに、再アニメーション化されたオブジェクトの新しい DN パスを入力します。

      たとえば、JohnDoe ユーザー アカウントを Mayberry OU に再アニメーション化するには、cn= JohnDoe、ou= Mayberry、dc= contoso、dc= com の DN パスを使用します。

      注:

      削除されたオブジェクトを元のコンテナーに再アニメーション化する場合は、削除されたオブジェクトの lastKnownParent 属性の値を CN 値に追加し、[ ] ボックスに完全な DN パスを貼り付けます。

    5. [ 操作 ] ボックスで、[ 置換] を選択します。

    6. [ Enter] を選択します

    7. [同期チェック] ボックスを選択します。

    8. [拡張チェック] ボックスを選択します。

    9. [RUN]\(実行\) を選択します

  10. オブジェクトを再アニメーション化した後、[オプション] メニューの [コントロール] を選択し、[チェックアウト] ボタンを選択して [アクティブなコントロール] ボックスの一覧から (1.2.840.113556.1.4.417) を削除します。

  11. 削除されたユーザーのユーザー アカウント パスワード、プロファイル、ホーム ディレクトリ、およびグループ メンバーシップをリセットします。

    オブジェクトが削除されると、 を除くSIDObjectGUIDLastKnownParentSAMAccountNameすべての属性値が削除されました。

  12. Active Directory ユーザーとコンピューターで再入力されたアカウントを有効にします。

    注:

    再アニメーション化されたオブジェクトは、削除前と同じプライマリ SID を持ちますが、リソースに同じレベルのアクセス権を持つには、オブジェクトを同じセキュリティ グループに再度追加する必要があります。 Windows Server 2003 以降の最初のリリースでは、再アニメーション化されたユーザー アカウント、コンピューター アカウント、およびセキュリティ グループの属性は保持 sIDHistory されません。 Service Pack 1 の Windows Server 2003 以降では、削除されたオブジェクトの属性が sIDHistory 保持されます。

  13. Microsoft Exchange 属性を削除し、ユーザーを Exchange メールボックスに再接続します。

    注:

    削除されたオブジェクトの再アニメーションは、削除が Windows Server 2003 以降のドメイン コントローラーで行われる場合にサポートされます。 削除されたオブジェクトの再アニメーションは、削除が Windows Server 2003 以降にアップグレードされた Windows 2000 ドメイン コントローラーで行われる場合はサポートされません。

    注:

    ドメイン内の Windows 2000 ドメイン コントローラーで削除が発生した場合、 lastParentOf Windows Server 2003 以降のドメイン コントローラーでは属性は設定されません。

削除が発生したタイミングと場所を判断する方法

一括削除のためにユーザーが削除された場合は、削除の発生場所を確認できます。 そのために、以下の手順に従ってください。

  1. 削除されたセキュリティ プリンシパルを見つけるには、「削除されたオブジェクトのコンテナー内の オブジェクトを手動で削除する方法 」セクションの手順 1 から 7 に従います。 ツリーが削除された場合は、次の手順に従って、削除されたオブジェクトの親コンテナーを見つけます。

  2. 属性の値を objectGUID Windows クリップボードにコピーします。 この値は、手順 4 でコマンドを Repadmin 入力するときに貼り付けることができます。

  3. コマンド ラインで、次のコマンドを実行します。

    repadmin /showmeta GUID=<objectGUID> <FQDN>

    たとえば、削除されたオブジェクトまたはコンテナーの が objectGUID 791273b2-eba7-4285-a117-aa804ea76e95 で、完全修飾ドメイン名 (FQDN) が である場合は dc.contoso.com、次のコマンドを実行します。

    repadmin /showmeta GUID=791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com

    このコマンドの構文には、削除されたオブジェクトまたはコンテナーの GUID と、ソースとなるサーバーの FQDN を含める必要があります。

  4. コマンド出力で Repadmin 、 属性の元の日付、時刻、およびドメイン コントローラーを isDeleted 検索します。 たとえば、属性の情報は isDeleted 、次の出力例の 5 行目に表示されます。

    Loc.USN 発信元 DC Org.USN Org.Time/Date 属性
    134759 Default-First-Site-Name\NA-DC1 134759 DateTime 1 objectClass
    134760 Default-First-Site-Name\NA-DC1 134760 DateTime 2 Ou
    134759 Default-First-Site-Name\NA-DC1 134759 DateTime 1 instanceType
    134759 Default-First-Site-Name\NA-DC1 134759 DateTime 1 whenCreated
    134760 Default-First-Site-Name\NA-DC1 134760 DateTime 1 isDeleted
    134759 Default-First-Site-Name\NA-DC1 134759 DateTime 1 nTSecurityDescriptor
    134760 Default-First-Site-Name\NA-DC1 134760 DateTime 2 name
    134760 Default-First-Site-Name\NA-DC1 134760 DateTime 1 lastKnownParent
    134760 Default-First-Site-Name\NA-DC1 134760 DateTime 2 objectCategory

  5. 送信元ドメイン コントローラーの名前が 32 文字の英数字 GUID として表示される場合は、Ping コマンドを使用して、削除を開始したドメイン コントローラーの名前と IP アドレスに GUID を解決します。 Ping コマンドは、次の構文を使用します。

    ping -a <originating DC GUID>._msdomain controllers.<fully qualified path for forest root domain>

    注:

    -a オプションでは、大文字と小文字が区別されます。 元のドメイン コントローラーが存在するドメインに関係なく、フォレスト ルート ドメインの完全修飾ドメイン名を使用します。

    たとえば、元のドメイン コントローラーがフォレスト内の任意のドメインに Contoso.com 存在し、GUID が 644eb7e7-1566-4f29-a778-4b487637564b の場合は、次のコマンドを実行します。

    ping -a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com

    このコマンドによって返される出力は、次のようになります。

    Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:

Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128

今後の一括削除の影響を最小限に抑える方法

ユーザー、コンピューター、およびセキュリティ グループの一括削除の影響を最小限に抑えるためのキーは次のとおりです。

  • 最新のシステム状態バックアップがあることを確認します。
  • 特権ユーザー アカウントへのアクセスを厳密に制御します。
  • これらのアカウントで実行できる操作を厳密に制御します。
  • 一括削除からの復旧を実践する。

システム状態の変更は毎日発生します。 これらの変更には、次のものが含まれます。

  • ユーザー アカウントとコンピューター アカウントのパスワード リセット
  • グループ メンバーシップの変更
  • ユーザー アカウント、コンピューター アカウント、セキュリティ グループに対するその他の属性の変更。

ハードウェアまたはソフトウェアに障害が発生した場合、またはサイトで別の障害が発生した場合は、フォレスト内の各 Active Directory ドメインとサイトで重要な一連の変更が行われた後に行われたバックアップを復元する必要があります。 現在のバックアップを保持していない場合は、データが失われる場合や、復元されたオブジェクトをロールバックしなければならない場合があります。

一括削除を防ぐために、次の手順を実行することをお勧めします。

  1. 組み込みの管理者アカウントのパスワードを共有したり、一般的な管理ユーザー アカウントの共有を許可したりしないでください。 組み込みの管理者アカウントのパスワードがわかっている場合は、パスワードを変更し、その使用を阻止する内部プロセスを定義します。 共有ユーザー アカウントの監査イベントにより、Active Directory で変更を加えているユーザーの ID を特定できなくなります。 そのため、共有ユーザー アカウントの使用はお勧めできません。

  2. ユーザー アカウント、コンピューター アカウント、セキュリティ グループが意図的に削除されることはまれです。 特にツリーの削除に当てはまります。 サービス管理者と委任された管理者の関連付けを解除して、ユーザー アカウント、コンピューター アカウント、セキュリティ グループ、OU コンテナー、およびその属性を作成および管理する機能からこれらのオブジェクトを削除します。 ツリーの削除を実行する権限は、最も特権の高いユーザー アカウントまたはセキュリティ グループにのみ付与します。 これらの特権ユーザー アカウントには、エンタープライズ管理者が含まれる場合があります。

  3. 委任された管理者に、それらの管理者が管理を許可されているオブジェクトのクラスにのみアクセス権を付与します。 たとえば、ヘルプ デスク管理者の主なジョブは、ユーザー アカウントのプロパティを変更することです。 コンピューター アカウント、セキュリティ グループ、または OU コンテナーを作成および削除するためのアクセス許可がありません。 この制限は、他の特定のオブジェクト クラスの管理者の削除アクセス許可にも適用されます。

  4. 監査設定を試して、ラボ ドメインの削除操作を追跡します。 結果に慣れた後、運用ドメインに最適なソリューションを適用します。

  5. 何万ものオブジェクトをホストするコンテナーに対する卸売アクセス制御と監査の変更により、特に Windows 2000 ドメインで Active Directory データベースが大幅に拡張される可能性があります。 実稼働ドメインをミラー化するテスト ドメインを使用して、空きディスク領域に対する潜在的な変更を評価します。 Ntds.dit ファイルをホストするハード ディスク ドライブ ボリュームと、実稼働ドメイン内のドメイン コントローラーのログ ファイルに空きディスク領域がないか確認します。 ドメイン ネットワーク コントローラー ヘッドに対してアクセス制御と監査の変更を設定しないでください。 これらの変更を行うと、パーティション内のすべてのコンテナー内のすべてのクラスのすべてのオブジェクトに不必要に適用されます。 たとえば、ドメイン パーティションの CN=SYSTEM フォルダー内のドメイン ネーム システム (DNS) と分散リンク追跡 (DLT) レコード登録に変更を加えないようにします。

  6. ベスト プラクティス OU 構造を使用して、ユーザー アカウント、コンピューター アカウント、セキュリティ グループ、およびサービス アカウントを独自の組織単位で分離します。 この構造体を使用する場合は、委任された管理のために、1 つのクラスのオブジェクトに随意アクセス制御リスト (DACL) を適用できます。 また、オブジェクトを復元する必要がある場合は、オブジェクト クラスに従ってオブジェクトを復元できます。 ベスト プラクティスの OU 構造については、次の記事の 「組織単位設計の作成 」セクションで説明します。
    Windows ネットワークを管理するためのベスト プラクティス Active Directory 設計

  7. 運用ドメインを反映するラボ環境で一括削除をテストします。 適切な回復方法を選択し、organizationにカスタマイズします。 次の情報を特定できます。

    • 定期的にバックアップされる各ドメイン内のドメイン コントローラーの名前
    • バックアップ イメージが格納される場所
      理想的には、これらのイメージは、フォレスト内の各ドメインのグローバル カタログにローカルな追加のハード ディスクに格納されます。
    • 問い合わせ先のヘルプ デスクのメンバー organization
    • その連絡先を作成するための最良の方法

  8. ユーザー アカウント、コンピューター アカウント、および Microsoft が見るセキュリティ グループの一括削除のほとんどは、誤って行われます。 IT スタッフとこのシナリオについて話し合い、内部アクション プランを作成します。 早期検出に焦点を当てます。 また、可能な限り迅速にドメイン ユーザーとビジネスに機能を返します。 また、組織単位のアクセス制御リスト (ACL) を編集することで、誤った一括削除が発生しないようにする手順を実行することもできます。

    Windows インターフェイス ツールを使用して誤った一括削除を防ぐ方法の詳細については、「 Active Directory での偶発的な一括削除からの保護」を参照してください。

一括削除からの回復に役立つ可能性のあるツールとスクリプト

Groupadd.exe コマンド ライン ユーティリティは、OU 内のユーザーのコレクションの属性を読み取り memberOf 、復元された各ユーザー アカウントをフォレスト内の各ドメインのセキュリティ グループに追加する .ldf ファイルをビルドします。

Groupadd.exe は、ユーザーがメンバーであったドメインとセキュリティ グループを自動的に検出し、それらのグループに追加し直します。 このプロセスについて、方法1のステップ11でさらに詳しく説明する。

Groupadd.exe は、Windows Server 2003 以降のドメイン コントローラーで実行されます。

Groupadd.exe では、次の構文を使用します。

groupadd / after_restore ldf_file [/ before_restore ldf_file ]

ここでは、 ldf_file 前の引数で使用する .ldf ファイルの名前を表し、 after_restore ユーザー ファイル データ ソースを表し before_restore 、運用環境からのユーザー データを表します。 (ユーザー ファイル データ ソースは適切なユーザー データです)。

Groupadd.exe を入手するには、Microsoft 製品サポート サービスにお問い合わせください。

この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。 明示的か黙示的かにかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。

関連情報

Windows Server 2008 R2 に含まれる AD ごみ箱機能の使用方法の詳細については、「 Active Directory ごみ箱のステップバイステップ ガイド」を参照してください。