Active Directory에서 삭제된 사용자 계정 및 해당 그룹 멤버 자격을 복원하는 방법

이 문서에서는 Active Directory에서 삭제된 사용자 계정 및 그룹 멤버 자격을 복원하는 방법에 대한 정보를 제공합니다.

적용 대상: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
원래 KB 번호: 840001

소개

여러 가지 방법을 사용하여 삭제된 사용자 계정, 컴퓨터 계정 및 보안 그룹을 복원할 수 있습니다. 이러한 개체는 전체적으로 보안 주체라고 합니다.

가장 일반적인 방법은 Windows Server 2008 R2 이상을 기반으로 하는 도메인 컨트롤러에서 지원되는 AD 휴지통 기능을 사용하도록 설정하는 것입니다. 개체를 사용하도록 설정하고 복원하는 방법을 포함하여 이 기능에 대한 자세한 내용은 Active Directory 휴지통 단계별 가이드를 참조하세요.

이 메서드를 사용할 수 없는 경우 다음 세 가지 메서드를 사용할 수 있습니다. 세 가지 방법 모두 삭제된 개체를 신뢰할 수 있는 복원한 다음 삭제된 보안 주체에 대한 그룹 멤버 자격 정보를 복원합니다. 삭제된 개체를 복원하는 경우 영향을 받는 보안 주체에서 및 memberOf 특성의 member 이전 값을 복원해야 합니다.

추가 정보

방법 1과 2는 도메인 사용자 및 관리자에게 더 나은 환경을 제공합니다. 이러한 메서드는 마지막 시스템 상태 백업 시간과 삭제가 발생한 시간 사이에 수행된 보안 그룹에 대한 추가를 유지합니다. 방법 3에서는 보안 주체를 개별적으로 조정하지 않습니다. 대신 마지막 백업 시 보안 그룹 멤버 자격을 해당 상태로 롤백합니다.

대부분의 대규모 삭제는 실수로 발생합니다. 다른 사용자가 개체를 대량으로 삭제하지 못하도록 몇 가지 단계를 수행하는 것이 좋습니다.

예를 들어 호출된 organization 단위가 CONTOSO.COM실수로 이동되거나 MyCompany라고 하는 부모 조직 구성 단위에서 삭제되지 않도록 보호하려면 다음 구성을 수행합니다.

MyCompany 조직 구성 단위의 경우 모두에 대한 DENY ACE를 추가하여 CHILD를 삭제합니다. 이 개체는 scope.

DSACLS "OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:DC"/

사용자 조직 구성 단위의 경우 DELETE 및 DELETE TREE에 모두에 대한 DENY ACE를 추가합니다. 이 개체는 scope.

DSACLS "OU=Users,OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:SDDT"

Windows Server 2008의 Active Directory 사용자 및 컴퓨터 스냅인에는 개체 탭의 실수로 인한 삭제 검사 개체 보호 상자가 포함되어 있습니다.

Windows Server 2008에서 Active Directory 사용자 및 컴퓨터 사용하여 조직 구성 단위를 만들 때 실수로 인한 삭제로부터 컨테이너 보호 검사 상자가 나타납니다. 기본적으로 검사 상자가 선택되어 있으며 선택을 취소할 수 있습니다.

이러한 AES를 사용하여 Active Directory의 모든 개체를 구성할 수 있지만 조직 구성 단위에 가장 적합합니다. 모든 리프 개체의 삭제 또는 이동은 큰 영향을 미칠 수 있습니다. 이 구성은 이러한 삭제 또는 이동을 방지합니다. 이러한 구성을 사용하여 개체를 실제로 삭제하거나 이동하려면 먼저 Deny ACE를 제거해야 합니다.

이 문서에서는 Active Directory에서 사용자 계정, 컴퓨터 계정 및 그룹 멤버 자격을 삭제한 후 복원하는 방법을 설명합니다. 이 시나리오의 변형에서는 사용자 계정, 컴퓨터 계정 또는 보안 그룹이 개별적으로 또는 일부 조합으로 삭제되었을 수 있습니다. 이러한 모든 경우에 동일한 초기 단계가 적용됩니다. 실수로 삭제된 개체를 신뢰할 수 있도록 복원하거나 인증 복원합니다. 일부 삭제된 개체를 복원하려면 더 많은 작업이 필요합니다. 이러한 개체에는 다른 개체의 특성의 백 링크인 특성이 포함된 사용자 계정과 같은 개체가 포함됩니다. 이러한 특성 중 두 가지는 및 memberOf입니다managedBy.

사용자 계정, 보안 그룹 또는 컴퓨터 계정과 같은 보안 주체를 보안 그룹에 추가하는 경우 Active Directory에서 다음과 같이 변경합니다.

1. 보안 주체의 이름은 각 보안 그룹의 멤버 특성에 추가됩니다.
2. 사용자, 컴퓨터 또는 보안 그룹이 구성원인 각 보안 그룹에 대해 보안 주체의 memberOf 특성에 백 링크가 추가됩니다.

마찬가지로 사용자, 컴퓨터 또는 그룹이 Active Directory에서 삭제되면 다음 작업이 수행됩니다.

1. 삭제된 보안 주체는 삭제된 개체 컨테이너로 이동됩니다.
2. 특성을 포함한 memberOf 몇 가지 특성 값이 삭제된 보안 주체에서 제거됩니다.
3. 삭제된 보안 주체는 구성원이었던 모든 보안 그룹에서 제거됩니다. 즉, 삭제된 보안 주체는 각 보안 그룹의 멤버 특성에서 제거됩니다.

삭제된 보안 주체를 복구하고 그룹 멤버 자격을 복원하는 경우 그룹 멤버 자격을 복원하기 전에 각 보안 주체가 Active Directory에 있어야 합니다. 멤버는 사용자, 컴퓨터 또는 다른 보안 그룹일 수 있습니다. 이 규칙을 보다 광범위하게 다시 설명하려면 값이 뒤로 링크인 특성을 포함하는 개체가 Active Directory에 있어야 해당 전달 링크가 포함된 개체를 복원하거나 수정할 수 있습니다.

이 문서에서는 보안 그룹에서 삭제된 사용자 계정 및 해당 멤버 자격을 복구하는 방법에 중점을 둡니다. 해당 개념은 다른 개체 삭제에도 동일하게 적용됩니다. 이 문서의 개념은 특성 값이 Active Directory의 다른 개체에 대한 앞으로 링크 및 뒤로 링크를 사용하는 삭제된 개체에 동일하게 적용됩니다.

세 가지 방법 중 하나를 사용하여 보안 주체를 복구할 수 있습니다. 메서드 1을 사용하면 포리스트의 모든 보안 그룹에 추가된 모든 보안 주체를 그대로 둡니다. 또한 해당 도메인에서 삭제된 보안 주체만 해당 보안 그룹에 다시 추가합니다. 예를 들어 시스템 상태 백업을 만들고, 보안 그룹에 사용자를 추가한 다음, 시스템 상태 백업을 복원합니다. 메서드 1 또는 2를 사용하는 경우 시스템 상태 백업을 만든 날짜와 백업이 복원된 날짜 사이에 삭제된 사용자를 포함하는 보안 그룹에 추가된 모든 사용자를 유지합니다. 메서드 3을 사용하는 경우 시스템 상태 백업 시 삭제된 사용자를 포함하는 모든 보안 그룹의 보안 그룹 멤버 자격을 해당 상태로 롤백합니다.

방법 1 - 삭제된 사용자 계정을 복원한 다음, Ntdsutil.exe 명령줄 도구를 사용하여 복원된 사용자를 해당 그룹에 다시 추가합니다.

Ntdsutil.exe 명령줄 도구를 사용하면 삭제된 개체의 백링크를 복원할 수 있습니다. 각 신뢰할 수 있는 복원 작업에 대해 두 개의 파일이 생성됩니다. 하나의 파일에는 신뢰할 수 있는 복원된 개체 목록이 포함되어 있습니다. 다른 파일은 Ldifde.exe 유틸리티와 함께 사용되는 .ldf 파일입니다. 이 파일은 신뢰할 수 있도록 복원된 개체의 백링크를 복원하는 데 사용됩니다. 사용자 개체의 신뢰할 수 있는 복원은 그룹 멤버 자격으로 LDAP LDIF(데이터 교환 형식) 파일도 생성합니다. 이 메서드는 이중 복원을 방지합니다.

이 메서드를 사용하는 경우 다음과 같은 상위 수준 단계를 수행합니다.

1. 사용자 도메인의 글로벌 카탈로그가 삭제에서 복제되지 않았는지 확인합니다. 그런 다음 해당 글로벌 카탈로그가 복제되지 않도록 방지합니다. 잠재적인 글로벌 카탈로그가 없는 경우 삭제된 사용자의 홈 도메인에서 글로벌 카탈로그 도메인 컨트롤러의 최신 시스템 상태 백업을 찾습니다.
2. 인증은 삭제된 모든 사용자 계정을 복원한 다음 해당 사용자 계정의 엔드투엔드 복제를 허용합니다.
3. 복원된 모든 사용자를 삭제하기 전에 사용자 계정이 구성원이었던 모든 도메인의 모든 그룹에 다시 추가합니다.

메서드 1을 사용하려면 다음 절차를 수행합니다.

1. 삭제된 사용자의 홈 도메인에 삭제의 일부를 복제하지 않은 전역 카탈로그 도메인 컨트롤러가 있는지 확인합니다.

   참고

   복제 일정이 가장 적은 글로벌 카탈로그에 집중합니다.

   이러한 전역 카탈로그가 하나 이상 있는 경우 Repadmin.exe 명령줄 도구를 사용하여 다음 단계에 따라 인바운드 복제를 즉시 사용하지 않도록 설정합니다.

   1. 시작을 선택한 다음 실행을 선택합니다.

   2. 열기 상자에 cmd를 입력한 다음 확인을 선택합니다.

   3. 명령 프롬프트에 다음 명령을 입력한 다음 Enter 키를 누릅니다.

      repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
      

      참고

      명령을 즉시 실행할 Repadmin 수 없는 경우 를 사용하여 Repadmin 인바운드 복제를 사용하지 않도록 설정한 다음 네트워크 연결을 즉시 반환할 때까지 잠재 글로벌 카탈로그에서 모든 네트워크 연결을 제거합니다.

   이 도메인 컨트롤러를 복구 도메인 컨트롤러라고 합니다. 이러한 글로벌 카탈로그가 없는 경우 2단계로 이동합니다.

2. 다음 명령문이 모두 true인 경우 포리스트의 보안 그룹을 변경하지 않는 것이 가장 좋습니다.

   • 메서드 1을 사용하여 삭제된 사용자 또는 컴퓨터 계정을 고유 이름(dn) 경로로 신뢰할 수 있도록 복원합니다.
   • 삭제는 잠복 복구 도메인 컨트롤러를 제외한 포리스트의 모든 도메인 컨트롤러에 복제되었습니다.
   • 보안 그룹 또는 해당 부모 컨테이너를 인증하지 않습니다.

   보안 그룹 또는 사용자 계정을 호스트하는 보안 그룹 또는 OU(조직 구성 단위) 컨테이너를 복원하는 경우 이러한 모든 변경 내용을 일시적으로 중지합니다.

   이러한 변경 내용을 중지하는 방법에 대해 삭제가 발생한 도메인의 도메인 사용자 외에도 적절한 도메인의 관리자 및 지원 센터 관리자에게 알립니다.

3. 삭제가 발생한 도메인에서 새 시스템 상태 백업을 만듭니다. 변경 내용을 롤백해야 하는 경우 이 백업을 사용할 수 있습니다.

   참고

   시스템 상태 백업이 삭제 시점까지 최신 상태인 경우 이 단계를 건너뛰고 4단계로 이동합니다.

   1단계에서 복구 도메인 컨트롤러를 식별한 경우 지금 시스템 상태를 백업합니다.

   삭제가 발생한 도메인에 있는 모든 글로벌 카탈로그가 삭제에서 복제된 경우 삭제가 발생한 도메인에서 전역 카탈로그의 시스템 상태를 백업합니다.

   백업을 만들 때 복구 도메인 컨트롤러를 현재 상태로 되돌릴 수 있습니다. 그리고 첫 번째 시도가 성공하지 못한 경우 복구 계획을 다시 수행합니다.

4. 사용자 삭제가 발생한 도메인에서 잠재적인 글로벌 카탈로그 도메인 컨트롤러를 찾을 수 없는 경우 해당 도메인에서 글로벌 카탈로그 도메인 컨트롤러의 최신 시스템 상태 백업을 찾습니다. 이 시스템 상태 백업에는 삭제된 개체가 포함되어야 합니다. 이 도메인 컨트롤러를 복구 도메인 컨트롤러로 사용합니다.

   사용자 도메인의 글로벌 카탈로그 도메인 컨트롤러 복원에는 외부 도메인에 있는 보안 그룹에 대한 전역 및 범용 그룹 멤버 자격 정보만 포함됩니다. 사용자가 삭제된 도메인에 전역 카탈로그 도메인 컨트롤러의 시스템 상태 백업이 없는 경우 복원된 사용자 계정의 특성을 사용하여 memberOf 전역 또는 범용 그룹 멤버 자격을 확인하거나 외부 도메인의 멤버 자격을 복구할 수 없습니다. 또한 글로벌이 아닌 카탈로그 도메인 컨트롤러의 최신 시스템 상태 백업을 찾는 것이 좋습니다.

5. 오프라인 관리자 계정의 암호를 알고 있는 경우 복구 모드에서 복구 도메인 컨트롤러를 시작합니다. 오프라인 관리자 계정의 암호를 모르는 경우 복구 도메인 컨트롤러가 여전히 정상적인 Active Directory 모드에 있는 동안 ntdsutil.exe 사용하여 암호를 다시 설정합니다.

   setpwd 명령줄 도구를 사용하여 온라인 Active Directory 모드에 있는 동안 도메인 컨트롤러의 암호를 재설정할 수 있습니다.

   참고

   Microsoft는 더 이상 Windows 2000을 지원하지 않습니다.

   Windows Server 2003 이상 도메인 컨트롤러의 관리자는 Ntdsutil 명령줄 도구의 명령을 사용하여 set dsrm password 오프라인 관리자 계정의 암호를 재설정할 수 있습니다.

   디렉터리 서비스 복원 모드 관리자 계정을 다시 설정하는 방법에 대한 자세한 내용은 Windows Server에서 디렉터리 서비스 복원 모드 관리자 계정 암호를 다시 설정하는 방법을 참조하세요.

6. 시작 프로세스 중에 F8 키를 눌러 복구 도메인 컨트롤러를 복구 모드로 시작합니다. 오프라인 관리자 계정으로 복구 도메인 컨트롤러의 콘솔에 로그인합니다. 5단계에서 암호를 다시 설정하는 경우 새 암호를 사용합니다.

   복구 도메인 컨트롤러가 잠재적인 글로벌 카탈로그 도메인 컨트롤러인 경우 시스템 상태를 복원하지 마세요. 7단계로 이동합니다.

   시스템 상태 백업을 사용하여 복구 도메인 컨트롤러를 만드는 경우 지금 복구 도메인 컨트롤러에서 수행된 최신 시스템 상태 백업을 복원합니다.

7. 인증은 삭제된 사용자 계정, 삭제된 컴퓨터 계정 또는 삭제된 보안 그룹을 복원합니다.

   참고

   인증 복원 및 신뢰할 수 있는 복원이라는 용어는 Ntdsutil 명령줄 도구에서 신뢰할 수 있는 복원 명령을 사용하여 특정 개체 또는 특정 컨테이너 및 모든 하위 개체의 버전 번호를 증가시키는 프로세스를 나타냅니다. 종단 간 복제가 발생하는 즉시 복구 도메인 컨트롤러의 Active Directory 로컬 복사본에 있는 대상 개체는 해당 파티션을 공유하는 모든 도메인 컨트롤러에서 신뢰할 수 있게 됩니다. 신뢰할 수 있는 복원은 시스템 상태 복원과 다릅니다. 시스템 상태 복원은 복원된 도메인 컨트롤러의 Active Directory 로컬 복사본을 시스템 상태 백업이 수행될 당시의 개체 버전으로 채웁니다.

   신뢰할 수 있는 복원은 Ntdsutil 명령줄 도구를 사용하여 수행되며 삭제된 사용자 또는 삭제된 사용자를 호스트하는 컨테이너의 도메인 이름(dn) 경로를 참조합니다.

   복원을 인증하는 경우 도메인 트리에서 낮은 dn(도메인 이름) 경로를 사용해야 합니다. 삭제와 관련이 없는 개체를 되돌리지 않도록 하기 위한 것입니다. 이러한 개체에는 시스템 상태 백업이 만들어진 후 수정된 개체가 포함될 수 있습니다.

   다음 순서로 삭제된 사용자를 인증 복원합니다.

   1. 인증은 삭제된 각 사용자 계정, 컴퓨터 계정 또는 보안 그룹의 dn(도메인 이름) 경로를 복원합니다.

      특정 개체의 신뢰할 수 있는 복원은 시간이 오래 걸리지만 전체 하위 트리의 신뢰할 수 있는 복원보다 덜 파괴적입니다. 인증은 삭제된 개체를 보유하는 가장 낮은 공통 부모 컨테이너를 복원합니다.

      Ntdsutil은 다음 구문을 사용합니다.

      ntdsutil "authoritative restore" "restore object <object DN path>" q q
      

      예를 들어 도메인의 Contoso.comMayberry OU에서 삭제된 사용자 John Doe를 신뢰할 수 있도록 복원하려면 다음 명령을 사용합니다.

      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
      

      도메인의 Mayberry OU Contoso.com 에서 삭제된 보안 그룹 ContosoPrintAccess를 신뢰할 수 있도록 복원하려면 다음 명령을 사용합니다.

      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
      

      중요

      따옴표 사용이 필요합니다.

      복원하는 각 사용자에 대해 두 개 이상의 파일이 생성됩니다. 이러한 파일의 형식은 다음과 같습니다.

      ar_YYYMMDD-HHMMSS_objects.txt
      이 파일에는 신뢰할 수 있는 복원된 개체 목록이 포함되어 있습니다. 사용자가 도메인 로컬 그룹의 구성원이었던 포리스트의 다른 도메인에서 ntdsutil 신뢰할 수 있는 복원 create ldif file from 명령과 함께 이 파일을 사용합니다.

      ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
      전역 카탈로그에서 인증 복원을 수행하는 경우 포리스트의 모든 도메인에 대해 이러한 파일 중 하나가 생성됩니다. 이 파일에는 Ldifde.exe 유틸리티와 함께 사용할 수 있는 스크립트가 포함되어 있습니다. 스크립트는 복원된 개체의 백링크를 복원합니다. 사용자의 홈 도메인에서 스크립트는 복원된 사용자의 모든 그룹 멤버 자격을 복원합니다. 사용자가 그룹 멤버 자격을 가지고 있는 포리스트의 다른 모든 도메인에서 스크립트는 범용 및 전역 그룹 멤버 자격만 복원합니다. 스크립트는 도메인 로컬 그룹 멤버 자격을 복원하지 않습니다. 이러한 멤버 자격은 글로벌 카탈로그에서 추적되지 않습니다.

   2. 인증은 삭제된 사용자 계정 또는 그룹을 호스트하는 OU 또는 CN(Common-Name) 컨테이너만 복원합니다.

      전체 하위 트리의 신뢰할 수 있는 복원은 ntdsutil 신뢰할 수 있는 복원 명령의 대상이 되는 OU에 신뢰할 수 있는 복원을 시도하는 대부분의 개체가 포함된 경우에 유효합니다. 대상 OU에는 신뢰할 수 있도록 복원하려는 모든 개체가 포함되어 있는 것이 가장 좋습니다.

      OU 하위 트리의 신뢰할 수 있는 복원은 컨테이너에 있는 모든 특성과 개체를 복원합니다. 시스템 상태 백업이 복원될 때까지 변경된 모든 변경 내용은 백업 시 해당 값으로 롤백됩니다. 사용자 계정, 컴퓨터 계정 및 보안 그룹을 사용하면 이 롤백이 가장 최근에 변경된 내용이 손실되는 것을 의미할 수 있습니다.

      • 암호
      • 홈 디렉터리
      • 프로필 경로
      • 위치
      • 연락처 정보
      • 그룹 멤버 자격
      • 해당 개체 및 특성에 정의된 모든 보안 설명자입니다.

      Ntdsutil은 다음 구문을 사용합니다.

      ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
      

      예를 들어 도메인의 Contoso.comMayberry OU를 신뢰할 수 있도록 복원하려면 다음 명령을 사용합니다.

      ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
      

      참고

      삭제된 사용자 또는 그룹을 호스트하는 각 피어 OU에 대해 이 단계를 반복합니다.

      중요

      OU의 하위 개체를 복원하는 경우 삭제된 하위 개체의 삭제된 모든 부모 컨테이너는 명시적으로 인증을 복원해야 합니다.

      복원하는 각 조직 구성 단위에 대해 두 개 이상의 파일이 생성됩니다. 이러한 파일의 형식은 다음과 같습니다.

      ar_YYYMMDD-HHMMSS_objects.txt
      이 파일에는 신뢰할 수 있는 복원된 개체 목록이 포함되어 있습니다. 복원된 사용자가 도메인 로컬 그룹의 멤버인 포리스트의 다른 도메인에서 ntdsutil 신뢰할 수 있는 복원 create ldif file from 명령과 함께 이 파일을 사용합니다.

      ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
      이 파일에는 Ldifde.exe 유틸리티와 함께 사용할 수 있는 스크립트가 포함되어 있습니다. 스크립트는 복원된 개체의 백링크를 복원합니다. 사용자의 홈 도메인에서 스크립트는 복원된 사용자의 모든 그룹 멤버 자격을 복원합니다.

8. 시스템 상태 복원으로 인해 복구 도메인 컨트롤러에서 삭제된 개체를 복구한 경우 포리스트의 다른 모든 도메인 컨트롤러에 네트워크 연결을 제공하는 모든 네트워크 케이블을 제거합니다.

9. 일반 Active Directory 모드에서 복구 도메인 컨트롤러를 다시 시작합니다.

10. 다음 명령을 입력하여 복구 도메인 컨트롤러에 대한 인바운드 복제를 사용하지 않도록 설정합니다.

    repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
    

    시스템 상태가 복원된 복구 도메인 컨트롤러에 대한 네트워크 연결을 다시 사용하도록 설정합니다.

11. 아웃바운드는 복구 도메인 컨트롤러에서 도메인 및 포리스트의 도메인 컨트롤러로 인증 복원된 개체를 복제합니다.

    복구 도메인 컨트롤러에 대한 인바운드 복제는 사용하지 않도록 설정된 상태로 유지되지만 다음 명령을 입력하여 인증 복원된 개체를 도메인의 모든 사이트 간 복제본(replica) 도메인 컨트롤러 및 포리스트의 모든 전역 카탈로그에 푸시합니다.

    repadmin /syncall /d /e /P <recovery dc> <Naming Context>
    

    다음 명령문이 모두 true이면 삭제된 사용자 계정의 복원 및 복제를 사용하여 그룹 멤버 자격 링크가 다시 작성됩니다. 14단계로 이동합니다.

    참고

    다음 문 중 하나 이상이 true가 아닌 경우 12단계로 이동합니다.

    • 포리스트는 Windows Server 2003 이상 포리스트 기능 수준 또는 Windows Server 2003 이상 중간 포리스트 기능 수준에서 실행됩니다.
    • 보안 그룹이 아닌 사용자 계정 또는 컴퓨터 계정만 삭제되었습니다.
    • 포리스트가 Windows Server 2003 이상 포리스트 기능 수준으로 전환된 후 삭제된 사용자는 포리스트의 모든 도메인에 있는 보안 그룹에 추가되었습니다.

12. 복구 도메인 컨트롤러의 콘솔에서 Ldifde.exe 유틸리티 및 ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf 파일을 사용하여 사용자의 그룹 멤버 자격을 복원합니다. 이렇게 하려면 다음 단계를 따르세요.

    • 시작을 선택하고 실행을 선택하고 열기 상자에 cmd를 입력한 다음 확인을 선택합니다.

    • 명령 프롬프트에서 다음 명령을 입력하고 Enter 키를 누릅니다.

      ldifde -i -f ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
      

13. 다음 명령을 사용하여 복구 도메인 컨트롤러에 대한 인바운드 복제를 사용하도록 설정합니다.

    repadmin /options <recovery dc name> -DISABLE_INBOUND_REPL
    

14. 삭제된 사용자가 외부 도메인의 로컬 그룹에 추가된 경우 다음 작업 중 하나를 수행합니다.

    • 삭제된 사용자를 해당 그룹에 수동으로 다시 추가합니다.
    • 시스템 상태를 복원하고 삭제된 사용자를 포함하는 각 로컬 보안 그룹을 인증 복원합니다.

15. 복구 도메인 컨트롤러의 도메인 및 다른 도메인의 글로벌 카탈로그에서 그룹 멤버 자격을 확인합니다.

16. 복구 도메인 컨트롤러의 도메인에서 도메인 컨트롤러의 새 시스템 상태 백업을 만듭니다.

17. 모든 포리스트 관리자, 위임된 관리자, 포리스트의 지원 센터 관리자 및 도메인의 사용자에게 사용자 복원이 완료되었음을 알립니다.

    지원 센터 관리자는 복원된 시스템을 만든 후 도메인 암호가 변경된 인증 복원된 사용자 계정 및 컴퓨터 계정의 암호를 다시 설정해야 할 수 있습니다.

    시스템 상태 백업이 완료된 후 암호를 변경한 사용자는 최신 암호가 더 이상 작동하지 않는다는 것을 알게 됩니다. 이러한 사용자가 알고 있는 경우 이전 암호를 사용하여 로그온하도록 합니다. 그렇지 않으면 지원 센터 관리자가 암호를 재설정하고 사용자가 다음 로그온 검사 상자에서 암호를 변경해야 을 선택해야 합니다. 사용자가 있는 것과 동일한 Active Directory 사이트의 도메인 컨트롤러에서 수행하는 것이 좋습니다.

방법 2 - 삭제된 사용자 계정을 복원한 다음 복원된 사용자를 해당 그룹에 다시 추가합니다.

이 메서드를 사용하는 경우 다음과 같은 상위 수준 단계를 수행합니다.

1. 사용자 도메인의 글로벌 카탈로그가 삭제에서 복제되지 않았는지 확인합니다. 그런 다음 해당 글로벌 카탈로그가 복제되지 않도록 방지합니다. 잠재적인 글로벌 카탈로그가 없는 경우 삭제된 사용자의 홈 도메인에서 글로벌 카탈로그 도메인 컨트롤러의 최신 시스템 상태 백업을 찾습니다.
2. 인증은 삭제된 모든 사용자 계정을 복원한 다음 해당 사용자 계정의 엔드투엔드 복제를 허용합니다.
3. 복원된 모든 사용자를 삭제하기 전에 사용자 계정이 구성원이었던 모든 도메인의 모든 그룹에 다시 추가합니다.

메서드 2를 사용하려면 다음 절차를 수행합니다.

1. 삭제된 사용자의 홈 도메인에 삭제의 일부를 복제하지 않은 전역 카탈로그 도메인 컨트롤러가 있는지 확인합니다.

   참고

   복제 일정이 가장 적은 글로벌 카탈로그에 집중합니다.

   이러한 글로벌 카탈로그가 하나 이상 있는 경우 Repadmin.exe 명령줄 도구를 사용하여 인바운드 복제를 즉시 사용하지 않도록 설정합니다. 이렇게 하려면 다음 단계를 따르세요.

   1. 시작을 선택한 다음 실행을 선택합니다.
   2. 열기 상자에 cmd를 입력한 다음 확인을 선택합니다.
   3. 명령 프롬프트에 다음 명령을 입력한 다음 Enter 키를 누릅니다.

   repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
   

   참고

   Repadmin 명령을 즉시 실행할 수 없는 경우 Repadmin을 사용하여 인바운드 복제를 사용하지 않도록 설정한 다음 네트워크 연결을 즉시 반환할 수 있을 때까지 대기 중인 글로벌 카탈로그에서 모든 네트워크 연결을 제거합니다.

   이 도메인 컨트롤러를 복구 도메인 컨트롤러라고 합니다. 이러한 글로벌 카탈로그가 없는 경우 2단계로 이동합니다.

2. 모든 복구 단계가 완료될 때까지 사용자 계정, 컴퓨터 계정 및 보안 그룹에 대한 추가, 삭제 및 변경 내용을 일시적으로 중지해야 하는지 여부를 결정합니다.

   가장 유연한 복구 경로를 유지하려면 다음 항목을 일시적으로 변경하지 않습니다. 변경 내용에는 삭제된 사용자 그룹의 그룹 멤버 자격 변경 외에도 도메인 사용자, 지원 센터 관리자 및 삭제가 발생한 도메인의 관리자에 의한 암호 재설정이 포함됩니다. 다음 항목에 대한 추가, 삭제 및 수정을 중지하는 것이 좋습니다.

   1. 사용자 계정의 사용자 계정 및 특성
   2. 컴퓨터 계정의 컴퓨터 계정 및 특성
   3. 서비스 계정
   4. 보안 그룹

   다음 명령문이 모두 true인 경우 포리스트의 보안 그룹을 변경하지 않는 것이 가장 좋습니다.

   • 메서드 2를 사용하여 삭제된 사용자 또는 컴퓨터 계정을 해당 도메인 이름(dn) 경로로 신뢰할 수 있도록 복원합니다.
   • 삭제는 잠복 복구 도메인 컨트롤러를 제외한 포리스트의 모든 도메인 컨트롤러에 복제되었습니다.
   • 보안 그룹 또는 해당 부모 컨테이너를 인증하지 않습니다.

   보안 그룹 또는 사용자 계정을 호스트하는 보안 그룹 또는 OU(조직 구성 단위) 컨테이너를 복원하는 경우 이러한 모든 변경 내용을 일시적으로 중지합니다.

   이러한 변경 내용을 중지하는 방법에 대해 삭제가 발생한 도메인의 도메인 사용자 외에도 적절한 도메인의 관리자 및 지원 센터 관리자에게 알립니다.

3. 삭제가 발생한 도메인에서 새 시스템 상태 백업을 만듭니다. 변경 내용을 롤백해야 하는 경우 이 백업을 사용할 수 있습니다.

   참고

   시스템 상태 백업이 삭제 시점까지 최신 상태인 경우 이 단계를 건너뛰고 4단계로 이동합니다.

   1단계에서 복구 도메인 컨트롤러를 식별한 경우 지금 시스템 상태를 백업합니다.

   삭제가 발생한 도메인에 있는 모든 글로벌 카탈로그가 삭제에서 복제된 경우 삭제가 발생한 도메인에서 전역 카탈로그의 시스템 상태를 백업합니다.

   백업을 만들 때 복구 도메인 컨트롤러를 현재 상태로 되돌릴 수 있습니다. 그리고 첫 번째 시도가 성공하지 못한 경우 복구 계획을 다시 수행합니다.

4. 사용자 삭제가 발생한 도메인에서 잠재적인 글로벌 카탈로그 도메인 컨트롤러를 찾을 수 없는 경우 해당 도메인에서 글로벌 카탈로그 도메인 컨트롤러의 최신 시스템 상태 백업을 찾습니다. 이 시스템 상태 백업에는 삭제된 개체가 포함되어야 합니다. 이 도메인 컨트롤러를 복구 도메인 컨트롤러로 사용합니다.

   사용자 도메인의 글로벌 카탈로그 도메인 컨트롤러 복원에는 외부 도메인에 있는 보안 그룹에 대한 전역 및 범용 그룹 멤버 자격 정보만 포함됩니다. 사용자가 삭제된 도메인에 전역 카탈로그 도메인 컨트롤러의 시스템 상태 백업이 없는 경우 복원된 사용자 계정의 특성을 사용하여 memberOf 전역 또는 범용 그룹 멤버 자격을 확인하거나 외부 도메인의 멤버 자격을 복구할 수 없습니다. 또한 글로벌이 아닌 카탈로그 도메인 컨트롤러의 최신 시스템 상태 백업을 찾는 것이 좋습니다.

5. 오프라인 관리자 계정의 암호를 알고 있는 경우 복구 모드에서 복구 도메인 컨트롤러를 시작합니다. 오프라인 관리자 계정의 암호를 모르는 경우 복구 도메인 컨트롤러가 여전히 일반 Active Directory 모드에 있는 동안 암호를 다시 설정합니다.

   setpwd 명령줄 도구를 사용하여 온라인 Active Directory 모드에 있는 동안 Windows 2000 SP2(서비스 팩 2) 이상을 실행하는 도메인 컨트롤러에서 암호를 재설정할 수 있습니다.

   참고

   Microsoft는 더 이상 Windows 2000을 지원하지 않습니다.

   Windows Server 2003 이상 도메인 컨트롤러의 관리자는 Ntdsutil 명령줄 도구의 명령을 사용하여 set dsrm password 오프라인 관리자 계정의 암호를 재설정할 수 있습니다.

   디렉터리 서비스 복원 모드 관리자 계정을 다시 설정하는 방법에 대한 자세한 내용은 Windows Server에서 디렉터리 서비스 복원 모드 관리자 계정 암호를 다시 설정하는 방법을 참조하세요.

6. 시작 프로세스 중에 F8 키를 눌러 복구 도메인 컨트롤러를 복구 모드로 시작합니다. 오프라인 관리자 계정으로 복구 도메인 컨트롤러의 콘솔에 로그인합니다. 5단계에서 암호를 다시 설정하는 경우 새 암호를 사용합니다.

   복구 도메인 컨트롤러가 잠재적인 글로벌 카탈로그 도메인 컨트롤러인 경우 시스템 상태를 복원하지 마세요. 7단계로 이동합니다.

   시스템 상태 백업을 사용하여 복구 도메인 컨트롤러를 만드는 경우 지금 복구 도메인 컨트롤러에서 수행된 최신 시스템 상태 백업을 복원합니다.

7. 인증은 삭제된 사용자 계정, 삭제된 컴퓨터 계정 또는 삭제된 보안 그룹을 복원합니다.

   참고

   인증 복원 및 신뢰할 수 있는 복원이라는 용어는 Ntdsutil 명령줄 도구에서 신뢰할 수 있는 복원 명령을 사용하여 특정 개체 또는 특정 컨테이너 및 모든 하위 개체의 버전 번호를 증가시키는 프로세스를 나타냅니다. 종단 간 복제가 발생하는 즉시 복구 도메인 컨트롤러의 Active Directory 로컬 복사본에 있는 대상 개체는 해당 파티션을 공유하는 모든 도메인 컨트롤러에서 신뢰할 수 있게 됩니다. 신뢰할 수 있는 복원은 시스템 상태 복원과 다릅니다. 시스템 상태 복원은 복원된 도메인 컨트롤러의 Active Directory 로컬 복사본을 시스템 상태 백업이 수행될 당시의 개체 버전으로 채웁니다.

   신뢰할 수 있는 복원은 Ntdsutil 명령줄 도구를 사용하여 수행되며 삭제된 사용자 또는 삭제된 사용자를 호스트하는 컨테이너의 도메인 이름(dn) 경로를 참조합니다.

   복원을 인증하는 경우 도메인 트리에서 낮은 dn(도메인 이름) 경로를 사용해야 합니다. 삭제와 관련이 없는 개체를 되돌리지 않도록 하기 위한 것입니다. 이러한 개체에는 시스템 상태 백업이 만들어진 후 수정된 개체가 포함될 수 있습니다.

   다음 순서로 삭제된 사용자를 인증 복원합니다.

   1. 인증은 삭제된 각 사용자 계정, 컴퓨터 계정 또는 보안 그룹의 dn(도메인 이름) 경로를 복원합니다.

      특정 개체의 신뢰할 수 있는 복원은 시간이 오래 걸리지만 전체 하위 트리의 신뢰할 수 있는 복원보다 덜 파괴적입니다. 인증은 삭제된 개체를 보유하는 가장 낮은 공통 부모 컨테이너를 복원합니다.

      Ntdsutil은 다음 구문을 사용합니다.

      ntdsutil "authoritative restore" "restore object <object DN path>" q q
      

      예를 들어 도메인의 Contoso.comMayberry OU에서 삭제된 사용자 John Doe를 신뢰할 수 있도록 복원하려면 다음 명령을 사용합니다.

      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
      

      도메인의 Mayberry OU Contoso.com 에서 삭제된 보안 그룹 ContosoPrintAccess를 신뢰할 수 있도록 복원하려면 다음 명령을 사용합니다.

      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
      

      중요

      따옴표 사용이 필요합니다.

      참고

      이 구문은 Windows Server 2003 이상에서만 사용할 수 있습니다. Windows 2000의 유일한 구문은 다음을 사용하는 것입니다.

      ntdsutil "authoritative restore" "restore subtree object DN path"
      

      참고

      DN(고유 이름 경로)에 확장 문자 또는 공백이 포함된 경우 Ntdsutil 신뢰할 수 있는 복원 작업이 성공하지 못합니다. 스크립팅된 복원이 성공 restore object <DN path> 하려면 명령을 하나의 전체 문자열로 전달해야 합니다.

      이 문제를 해결하려면 백슬래시-큰따옴표 표시 이스케이프 시퀀스가 있는 확장 문자와 공백이 포함된 DN을 래핑합니다. 예를 들면 다음과 같습니다.

      ntdsutil "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\"" q q
      

      참고

      복원 중인 개체의 DN에 쉼표가 포함된 경우 명령을 추가로 수정해야 합니다. 다음 예를 참조하십시오.

      ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\"" q q
      

      참고

      개체가 테이프에서 복원되고 신뢰할 수 있는 것으로 표시되고 복원이 예상대로 작동하지 않고 동일한 테이프를 사용하여 NTDS 데이터베이스를 다시 복원하는 경우 신뢰할 수 있도록 복원할 개체의 USN 버전을 기본값인 100000보다 높게 늘려야 합니다. 그렇지 않으면 두 번째 복원 후에 개체가 복제되지 않습니다. 100000(기본값)보다 높은 증가된 버전 번호를 스크립팅하려면 아래 구문이 필요합니다.

      ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
      

      참고

      스크립트가 복원 중인 각 개체에 대한 확인을 요청하는 경우 프롬프트를 해제할 수 있습니다. 프롬프트를 해제하는 구문은 다음과 같습니다.

      ntdsutil "popups off" "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
      

   2. 인증은 삭제된 사용자 계정 또는 그룹을 호스트하는 OU 또는 CN(Common-Name) 컨테이너만 복원합니다.

      전체 하위 트리의 신뢰할 수 있는 복원은 ntdsutil 신뢰할 수 있는 복원 명령의 대상이 되는 OU에 신뢰할 수 있는 복원을 시도하는 대부분의 개체가 포함된 경우에 유효합니다. 대상 OU에는 신뢰할 수 있도록 복원하려는 모든 개체가 포함되어 있는 것이 가장 좋습니다.

      OU 하위 트리의 신뢰할 수 있는 복원은 컨테이너에 있는 모든 특성과 개체를 복원합니다. 시스템 상태 백업이 복원될 때까지 변경된 모든 변경 내용은 백업 시 해당 값으로 롤백됩니다. 사용자 계정, 컴퓨터 계정 및 보안 그룹을 사용하면 이 롤백은 암호, 홈 디렉터리, 프로필 경로, 위치 및 연락처 정보, 그룹 멤버 자격 및 해당 개체 및 특성에 정의된 보안 설명자에 대한 최신 변경 내용이 손실되는 것을 의미할 수 있습니다.

      Ntdsutil은 다음 구문을 사용합니다.

      ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
      

      예를 들어 도메인의 Contoso.comMayberry OU를 신뢰할 수 있도록 복원하려면 다음 명령을 사용합니다.

      ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
      

      참고

      삭제된 사용자 또는 그룹을 호스트하는 각 피어 OU에 대해 이 단계를 반복합니다.

      중요

      OU의 하위 개체를 복원하는 경우 삭제된 하위 개체의 삭제된 모든 부모 컨테이너는 명시적으로 인증을 복원해야 합니다.

8. 시스템 상태 복원으로 인해 복구 도메인 컨트롤러에서 삭제된 개체를 복구한 경우 포리스트의 다른 모든 도메인 컨트롤러에 네트워크 연결을 제공하는 모든 네트워크 케이블을 제거합니다.

9. 일반 Active Directory 모드에서 복구 도메인 컨트롤러를 다시 시작합니다.

10. 다음 명령을 입력하여 복구 도메인 컨트롤러에 대한 인바운드 복제를 사용하지 않도록 설정합니다.

    repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
    

    시스템 상태가 복원된 복구 도메인 컨트롤러에 대한 네트워크 연결을 다시 사용하도록 설정합니다.

11. 아웃바운드는 복구 도메인 컨트롤러에서 도메인 및 포리스트의 도메인 컨트롤러로 인증 복원된 개체를 복제합니다.

    복구 도메인 컨트롤러에 대한 인바운드 복제는 사용하지 않도록 설정된 상태로 유지되지만 다음 명령을 입력하여 인증 복원된 개체를 도메인의 모든 사이트 간 복제본(replica) 도메인 컨트롤러 및 포리스트의 모든 전역 카탈로그에 푸시합니다.

    repadmin /syncall /d /e /P <recovery dc> <Naming Context>
    

    다음 명령문이 모두 true이면 삭제된 사용자 계정의 복원 및 복제를 사용하여 그룹 멤버 자격 링크가 다시 작성됩니다. 14단계로 이동합니다.

    참고

    다음 문 중 하나 이상이 true가 아닌 경우 12단계로 이동합니다.

    • 포리스트는 Windows Server 2003 이상 포리스트 기능 수준 또는 Windows Server 2003 이상 중간 포리스트 기능 수준에서 실행됩니다.
    • 보안 그룹이 아닌 사용자 계정 또는 컴퓨터 계정만 삭제되었습니다.
    • 포리스트가 Windows Server 2003 이상 포리스트 기능 수준으로 전환된 후 삭제된 사용자는 포리스트의 모든 도메인에 있는 보안 그룹에 추가되었습니다.

12. 삭제된 사용자가 속한 보안 그룹을 확인한 다음 해당 그룹에 추가합니다.

    참고

    그룹에 사용자를 추가하려면 7단계에서 복원한 사용자와 11단계에서 아웃바운드 복제한 사용자가 참조된 도메인 컨트롤러의 도메인 컨트롤러 및 포리스트의 모든 글로벌 카탈로그 도메인 컨트롤러에 복제되어야 합니다.

    그룹 프로비저닝 유틸리티를 배포하여 보안 그룹의 멤버 자격을 다시 채운 경우 해당 유틸리티를 사용하여 삭제된 사용자를 삭제하기 전에 의 구성원이었던 보안 그룹으로 복원합니다. 포리스트 도메인 및 글로벌 카탈로그 서버의 모든 직접 및 전이적 도메인 컨트롤러가 인증 복원된 사용자 및 복원된 컨테이너를 인바운드로 복제한 후에 수행합니다.

    유틸리티 Ldifde.exe 가 없는 경우 및 Groupadd.exe 명령줄 도구는 복구 도메인 컨트롤러에서 실행할 때 이 작업을 자동화할 수 있습니다. 이러한 도구는 Microsoft 제품 지원 서비스에서 사용할 수 있습니다. 이 시나리오에서 Ldifde.exe 사용자 계정 및 해당 보안 그룹의 이름을 포함하는 LDIF(LDAP 데이터 교환 형식) 정보 파일을 만듭니다. 관리자가 지정하는 OU 컨테이너에서 시작됩니다. 그런 다음 Groupadd.exe .ldf 파일에 나열된 각 사용자 계정에 대한 특성을 읽습니다 memberOf . 그런 다음 포리스트의 각 도메인에 대해 별도의 고유한 LDIF 정보를 생성합니다. 이 LDIF 정보에는 삭제된 사용자와 연결된 보안 그룹의 이름이 포함됩니다. LDIF 정보를 사용하여 그룹 멤버 자격을 복원할 수 있도록 사용자에게 정보를 다시 추가합니다. 복구의 이 단계에 대해 다음 단계를 수행합니다.

    1. 도메인 관리자의 보안 그룹의 구성원인 사용자 계정을 사용하여 복구 도메인 컨트롤러의 콘솔에 로그인합니다.

    2. Ldifde 명령을 사용하여 삭제가 발생한 최상위 OU 컨테이너에서 시작하여 이전에 삭제된 사용자 계정 및 해당 memberOf 특성의 이름을 덤프합니다. Ldifde 명령은 다음 구문을 사용합니다.

       ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=user)" -l memberof -p subtree -f user_membership_after_restore.ldf
       

       삭제된 컴퓨터 계정이 보안 그룹에 추가된 경우 다음 구문을 사용합니다.

       ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=computer)" -l memberof -p subtree -f computer_membership_after_restore.ldf
       

    3. Groupadd 명령을 실행하여 도메인 이름과 삭제된 사용자가 구성원이었던 전역 및 범용 보안 그룹의 이름을 포함하는 더 많은 .ldf 파일을 빌드합니다. 명령은 Groupadd 다음 구문을 사용합니다.

       Groupadd / after_restore users_membership_after_restore.ldf
       

       삭제된 컴퓨터 계정이 보안 그룹에 추가된 경우 이 명령을 반복합니다.

    4. 12c단계에서 만든 각 Groupadd_fully.qualified.domain.name.ldf 파일을 각 도메인의 .ldf 파일에 해당하는 단일 글로벌 카탈로그 도메인 컨트롤러로 가져옵니다. 다음 Ldifde 구문을 사용합니다.

       Ldifde -i -k -f Groupadd_<fully.qualified.domain.name>.ldf
       

       복구 도메인 컨트롤러를 제외한 모든 도메인 컨트롤러에서 사용자가 삭제된 도메인에 대해 .ldf 파일을 실행합니다.

    5. 특정 도메인에 대한 Groupadd_<fully.qualified.domain.name.ldf> 파일을 가져오는 데 사용되는 각 도메인 컨트롤러의 콘솔에서 도메인의 다른 도메인 컨트롤러 및 포리스트의 글로벌 카탈로그 도메인 컨트롤러에 그룹 멤버 자격 추가를 아웃바운드로 복제합니다. 이렇게 하려면 다음 명령을 사용합니다.

       repadmin /syncall /d /e /P <recovery dc> <Naming Context>
       

13. 아웃바운드 복제를 사용하지 않도록 설정하려면 다음 텍스트를 입력한 다음 Enter 키를 누릅니다.

    repadmin /options +DISABLE_OUTBOUND_REPL
    

    참고

    아웃바운드 복제를 다시 사용하도록 설정하려면 다음 텍스트를 입력한 다음 Enter 키를 누릅니다.

    repadmin /options -DISABLE_OUTBOUND_REPL
    

14. 삭제된 사용자가 외부 도메인의 로컬 그룹에 추가된 경우 다음 작업 중 하나를 수행합니다.

    • 삭제된 사용자를 해당 그룹에 수동으로 다시 추가합니다.
    • 시스템 상태를 복원하고 삭제된 사용자를 포함하는 각 로컬 보안 그룹을 인증 복원합니다.

15. 복구 도메인 컨트롤러의 도메인 및 다른 도메인의 글로벌 카탈로그에서 그룹 멤버 자격을 확인합니다.

16. 복구 도메인 컨트롤러의 도메인에서 도메인 컨트롤러의 새 시스템 상태 백업을 만듭니다.

17. 모든 포리스트 관리자, 위임된 관리자, 포리스트의 지원 센터 관리자 및 도메인의 사용자에게 사용자 복원이 완료되었음을 알립니다.

    지원 센터 관리자는 복원된 시스템을 만든 후 도메인 암호가 변경된 인증 복원된 사용자 계정 및 컴퓨터 계정의 암호를 다시 설정해야 할 수 있습니다.

    시스템 상태 백업이 완료된 후 암호를 변경한 사용자는 최신 암호가 더 이상 작동하지 않는다는 것을 알게 됩니다. 이러한 사용자가 알고 있는 경우 이전 암호를 사용하여 로그온하도록 합니다. 그렇지 않으면 지원 센터 관리자가 암호를 재설정하고 사용자가 다음 로그온 검사 상자에서 암호를 변경해야 을 선택해야 합니다. 사용자가 있는 것과 동일한 Active Directory 사이트의 도메인 컨트롤러에서 수행하는 것이 좋습니다.

방법 3 - 삭제된 사용자 및 삭제된 사용자의 보안 그룹을 두 번 신뢰할 수 있도록 복원

이 메서드를 사용하는 경우 다음과 같은 상위 수준 단계를 수행합니다.

1. 사용자 도메인의 글로벌 카탈로그가 삭제에서 복제되지 않았는지 확인합니다. 그런 다음 해당 도메인 컨트롤러가 삭제를 인바운드 복제하지 못하도록 방지합니다. 잠재적인 글로벌 카탈로그가 없는 경우 삭제된 사용자의 홈 도메인에서 글로벌 카탈로그 도메인 컨트롤러의 최신 시스템 상태 백업을 찾습니다.
2. 삭제된 사용자 도메인의 모든 삭제된 사용자 계정 및 모든 보안 그룹을 신뢰할 수 있는 복원
3. 복원된 사용자 및 보안 그룹이 삭제된 사용자 도메인의 모든 도메인 컨트롤러 및 포리스트의 글로벌 카탈로그 도메인 컨트롤러에 종단 간 복제될 때까지 기다립니다.
4. 2단계와 3단계를 반복하여 삭제된 사용자 및 보안 그룹을 신뢰할 수 있도록 복원합니다. (시스템 상태를 한 번만 복원합니다.)
5. 삭제된 사용자가 다른 도메인의 보안 그룹의 구성원인 경우 삭제된 사용자가 해당 도메인의 구성원이었던 모든 보안 그룹을 신뢰할 수 있도록 복원합니다. 또는 시스템 상태 백업이 최신인 경우 해당 도메인의 모든 보안 그룹을 신뢰할 수 있는 방식으로 복원합니다. 그룹 멤버 자격 링크를 수정하기 위해 보안 그룹 전에 삭제된 그룹 구성원을 복원해야 한다는 요구 사항을 충족하려면 이 메서드에서 두 개체 형식을 두 번 복원합니다. 첫 번째 복원은 모든 사용자 계정 및 그룹 계정을 배치합니다. 두 번째 복원은 삭제된 그룹을 복원하고 중첩된 그룹에 대한 멤버 자격 정보를 포함하여 그룹 멤버 자격 정보를 복구합니다.

메서드 3을 사용하려면 다음 절차를 수행합니다.

1. 전역 카탈로그 도메인 컨트롤러가 삭제된 사용자 홈 도메인에 있고 삭제의 일부에서 복제되지 않았는지 확인합니다.

   참고

   복제 일정이 가장 적은 도메인의 글로벌 카탈로그에 집중합니다. 이러한 도메인 컨트롤러가 있는 경우 Repadmin.exe 명령줄 도구를 사용하여 인바운드 복제를 즉시 사용하지 않도록 설정합니다. 이렇게 하려면 다음 단계를 따르세요.

   1. 시작을 선택한 다음 실행을 선택합니다.
   2. 열기 상자에 cmd를 입력한 다음 확인을 선택합니다.
   3. 명령 프롬프트에 를 입력 repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL 한 다음 Enter 키를 누릅니다.

   참고

   Repadmin 명령을 즉시 실행할 수 없는 경우 Repadmin을 사용하여 인바운드 복제를 사용하지 않도록 설정한 다음 네트워크 연결을 즉시 반환할 수 있을 때까지 도메인 컨트롤러에서 모든 네트워크 연결을 제거합니다.

   이 도메인 컨트롤러를 복구 도메인 컨트롤러라고 합니다.

2. 모든 복구 단계가 완료될 때까지 다음 항목을 추가, 삭제 및 변경하지 마세요. 변경 내용에는 삭제된 사용자 그룹의 그룹 멤버 자격 변경 외에도 도메인 사용자, 지원 센터 관리자 및 삭제가 발생한 도메인의 관리자에 의한 암호 재설정이 포함됩니다.

   1. 사용자 계정의 사용자 계정 및 특성

   2. 컴퓨터 계정의 컴퓨터 계정 및 특성

   3. 서비스 계정

   4. 보안 그룹

      참고

      특히 삭제가 발생한 포리스트의 사용자, 컴퓨터, 그룹 및 서비스 계정에 대한 그룹 멤버 자격 변경은 방지합니다.

   5. 모든 포리스트 관리자, 위임된 관리자 및 임시 스탠드다운 포리스트의 지원 센터 관리자에게 알립니다. 이 스탠드다운은 삭제된 모든 사용자의 보안 그룹을 신뢰할 수 있도록 복원하기 때문에 메서드 2에서 필요합니다. 따라서 시스템 상태 백업 날짜 이후의 그룹에 대한 변경 내용은 손실됩니다.

3. 삭제가 발생한 도메인에서 새 시스템 상태 백업을 만듭니다. 변경 내용을 롤백해야 하는 경우 이 백업을 사용할 수 있습니다.

   참고

   시스템 상태 백업이 삭제가 발생한 시점까지 최신 상태인 경우 이 단계를 건너뛰고 4단계로 이동합니다.

   1단계에서 복구 도메인 컨트롤러를 식별한 경우 지금 시스템 상태를 백업합니다.

   삭제가 발생한 도메인에 있는 모든 글로벌 카탈로그가 삭제를 복제한 경우 삭제가 발생한 도메인에서 전역 카탈로그의 시스템 상태를 백업합니다.

   백업을 만들 때 복구 도메인 컨트롤러를 현재 상태로 되돌릴 수 있습니다. 그리고 첫 번째 시도가 성공하지 못한 경우 복구 계획을 다시 수행합니다.

4. 사용자 삭제가 발생한 도메인에서 잠재적인 글로벌 카탈로그 도메인 컨트롤러를 찾을 수 없는 경우 해당 도메인에서 글로벌 카탈로그 도메인 컨트롤러의 최신 시스템 상태 백업을 찾습니다. 이 시스템 상태 백업에는 삭제된 개체가 포함되어야 합니다. 이 도메인 컨트롤러를 복구 도메인 컨트롤러로 사용합니다.

   사용자 도메인에 있는 글로벌 카탈로그 도메인 컨트롤러의 데이터베이스만 포리스트의 외부 도메인에 대한 그룹 멤버 자격 정보를 포함합니다. 사용자가 삭제된 도메인에 전역 카탈로그 도메인 컨트롤러의 시스템 상태 백업이 없는 경우 복원된 사용자 계정의 특성을 사용하여 memberOf 전역 또는 범용 그룹 멤버 자격을 확인하거나 외부 도메인의 멤버 자격을 복구할 수 없습니다. 다음 단계로 이동합니다. 외부 도메인에 그룹 멤버 자격에 대한 외부 레코드가 있는 경우 사용자 계정이 복원된 후 복원된 사용자를 해당 도메인의 보안 그룹에 추가합니다.

5. 오프라인 관리자 계정의 암호를 알고 있는 경우 복구 모드에서 복구 도메인 컨트롤러를 시작합니다. 오프라인 관리자 계정의 암호를 모르는 경우 복구 도메인 컨트롤러가 여전히 일반 Active Directory 모드에 있는 동안 암호를 다시 설정합니다.

   setpwd 명령줄 도구를 사용하여 온라인 Active Directory 모드에 있는 동안 Windows 2000 SP2 이상을 실행하는 도메인 컨트롤러에서 암호를 재설정할 수 있습니다.

   참고

   Microsoft는 더 이상 Windows 2000을 지원하지 않습니다.

   Windows Server 2003 이상 도메인 컨트롤러의 관리자는 Ntdsutil 명령줄 도구의 명령을 사용하여 set dsrm password 오프라인 관리자 계정의 암호를 재설정할 수 있습니다.

   디렉터리 서비스 복원 모드 관리자 계정을 다시 설정하는 방법에 대한 자세한 내용은 Windows Server에서 디렉터리 서비스 복원 모드 관리자 계정 암호를 다시 설정하는 방법을 참조하세요.

6. 시작 프로세스 중에 F8 키를 눌러 복구 도메인 컨트롤러를 복구 모드로 시작합니다. 오프라인 관리자 계정으로 복구 도메인 컨트롤러의 콘솔에 로그온합니다. 5단계에서 암호를 다시 설정하는 경우 새 암호를 사용합니다.

   복구 도메인 컨트롤러가 잠재적인 글로벌 카탈로그 도메인 컨트롤러인 경우 시스템 상태를 복원하지 마세요. 7단계로 직접 이동합니다.

   시스템 상태 백업을 사용하여 복구 도메인 컨트롤러를 만드는 경우 지금 삭제된 개체가 포함된 복구 도메인 컨트롤러에서 수행된 최신 시스템 상태 백업을 복원합니다.

7. 인증은 삭제된 사용자 계정, 삭제된 컴퓨터 계정 또는 삭제된 보안 그룹을 복원합니다.

   참고

   인증 복원 및 신뢰할 수 있는 복원이라는 용어는 Ntdsutil 명령줄 도구에서 신뢰할 수 있는 복원 명령을 사용하여 특정 개체 또는 특정 컨테이너 및 모든 하위 개체의 버전 번호를 증가시키는 프로세스를 나타냅니다. 종단 간 복제가 발생하는 즉시 복구 도메인 컨트롤러의 Active Directory 로컬 복사본에 있는 대상 개체는 해당 파티션을 공유하는 모든 도메인 컨트롤러에서 신뢰할 수 있게 됩니다. 신뢰할 수 있는 복원은 시스템 상태 복원과 다릅니다. 시스템 상태 복원은 복원된 도메인 컨트롤러의 Active Directory 로컬 복사본을 시스템 상태 백업이 수행될 당시의 개체 버전으로 채웁니다.

   신뢰할 수 있는 복원은 삭제된 사용자의 도메인 이름(dn) 경로 또는 삭제된 사용자를 호스트하는 컨테이너를 참조하여 Ntdsutil 명령줄 도구를 사용하여 수행됩니다.

   복원을 인증할 때 도메인 트리에서 낮은 도메인 이름 경로를 사용해야 합니다. 삭제와 관련이 없는 개체를 되돌리지 않도록 하기 위한 것입니다. 이러한 개체에는 시스템 상태 백업이 만들어진 후 수정된 개체가 포함될 수 있습니다.

   다음 순서로 삭제된 사용자를 인증 복원합니다.

   1. 인증은 삭제된 각 사용자 계정, 컴퓨터 계정 또는 삭제된 보안 그룹의 도메인 이름(dn) 경로를 복원합니다.

      특정 개체의 신뢰할 수 있는 복원은 시간이 오래 걸리지만 전체 하위 트리의 신뢰할 수 있는 복원보다 덜 파괴적입니다. 인증은 삭제된 개체를 보유하는 가장 낮은 공통 부모 컨테이너를 복원합니다.

      Ntdsutil은 다음 구문을 사용합니다.

      ntdsutil "authoritative restore" "restore object <object DN path>" q q
      

      예를 들어 도메인의 Contoso.comMayberry OU에서 삭제된 사용자 John Doe를 신뢰할 수 있도록 복원하려면 다음 명령을 사용합니다.

      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
      

      도메인의 Mayberry OU Contoso.com 에서 삭제된 보안 그룹 ContosoPrintAccess를 신뢰할 수 있도록 복원하려면 다음 명령을 사용합니다.

      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q
      

      중요

      따옴표 사용이 필요합니다.

      이 Ntdsutil 형식을 사용하면 일괄 처리 파일 또는 스크립트에서 많은 개체의 신뢰할 수 있는 복원을 자동화할 수도 있습니다.

      참고

      이 구문은 Windows Server 2003 이상에서만 사용할 수 있습니다. Windows 2000의 유일한 구문은 를 사용하는 ntdsutil "authoritative restore" "restore subtree object DN path"것입니다.

   2. 인증은 삭제된 사용자 계정 또는 그룹을 호스트하는 OU 또는 CN(Common-Name) 컨테이너만 복원합니다.

      전체 하위 트리의 신뢰할 수 있는 복원은 Ntdsutil 신뢰할 수 있는 복원 명령의 대상이 되는 OU에 신뢰할 수 있는 복원을 시도하는 대부분의 개체가 포함된 경우에 유효합니다. 대상 OU에는 신뢰할 수 있도록 복원하려는 모든 개체가 포함되어 있는 것이 가장 좋습니다.

      OU 하위 트리의 신뢰할 수 있는 복원은 컨테이너에 있는 모든 특성과 개체를 복원합니다. 시스템 상태 백업이 복원될 때까지 변경된 모든 변경 내용은 백업 시 해당 값으로 롤백됩니다. 사용자 계정, 컴퓨터 계정 및 보안 그룹을 사용하면 이 롤백은 암호, 홈 디렉터리, 프로필 경로, 위치 및 연락처 정보, 그룹 멤버 자격 및 해당 개체 및 특성에 정의된 보안 설명자에 대한 최신 변경 내용이 손실되는 것을 의미할 수 있습니다.

      Ntdsutil은 다음 구문을 사용합니다.

      ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
      

      예를 들어 도메인의 Contoso.comMayberry OU를 신뢰할 수 있도록 복원하려면 다음 명령을 사용합니다.

      ntdsutil "authoritative restore" "restore subtree ou=Mayberry,dc=contoso,dc=com" q q
      

      참고

      삭제된 사용자 또는 그룹을 호스트하는 각 피어 OU에 대해 이 단계를 반복합니다.

      중요

      OU의 하위 개체를 복원하는 경우 삭제된 하위 개체의 모든 부모 컨테이너를 명시적으로 인증해야 합니다.

8. 일반 Active Directory 모드에서 복구 도메인 컨트롤러를 다시 시작합니다.

9. 복구 도메인 컨트롤러에서 도메인 및 포리스트의 도메인 컨트롤러로 신뢰할 수 있는 복원된 개체를 아웃바운드로 복제합니다.

   복구 도메인 컨트롤러에 대한 인바운드 복제는 사용하지 않도록 설정된 상태로 유지되지만 다음 명령을 입력하여 신뢰할 수 있는 복원된 개체를 도메인의 모든 사이트 간 복제본(replica) 도메인 컨트롤러 및 포리스트의 전역 카탈로그에 푸시합니다.

   repadmin /syncall /d /e /P <recovery dc> <Naming Context>
   

   포리스트 도메인 및 글로벌 카탈로그 서버의 모든 직접 및 전이적 도메인 컨트롤러가 신뢰할 수 있는 복원된 사용자 및 복원된 컨테이너에 복제된 후 11단계로 이동합니다.

   다음 명령문이 모두 true이면 삭제된 사용자 계정의 복원과 함께 그룹 멤버 자격 링크가 다시 작성됩니다. 13단계로 이동합니다.

   • 포리스트가 Windows Server 2003 이상 포리스트 기능 수준 또는 Windows Server 2003 이상 중간 포리스트 기능 수준에서 실행되고 있습니다.
   • 보안 그룹만 삭제되지 않았습니다.
   • 삭제된 모든 사용자는 포리스트의 모든 도메인에 있는 모든 보안 그룹에 추가되었습니다.

   명령을 사용하여 Repadmin 복원된 도메인 컨트롤러에서 사용자의 아웃바운드 복제를 가속화하는 것이 좋습니다.

   그룹도 삭제되었거나 Windows Server 2003 이상 중간 또는 포리스트 기능 수준으로 전환한 후 삭제된 모든 사용자가 모든 보안 그룹에 추가되었다고 보장할 수 없는 경우 12단계로 이동합니다.

10. 시스템 상태를 복원하지 않고 7, 8, 9단계를 반복한 다음 11단계로 이동합니다.

11. 삭제된 사용자가 외부 도메인의 로컬 그룹에 추가된 경우 다음 작업 중 하나를 수행합니다.

    • 삭제된 사용자를 해당 그룹에 수동으로 다시 추가합니다.
    • 시스템 상태를 복원하고 삭제된 사용자를 포함하는 각 로컬 보안 그룹을 인증 복원합니다.

12. 복구 도메인 컨트롤러의 도메인 및 다른 도메인의 글로벌 카탈로그에서 그룹 멤버 자격을 확인합니다.

13. 다음 명령을 사용하여 복구 도메인 컨트롤러에 대한 인바운드 복제를 사용하도록 설정합니다.

    repadmin /options recovery dc name -DISABLE_INBOUND_REPL
    

14. 복구 도메인 컨트롤러의 도메인 및 포리스트의 다른 도메인에 있는 글로벌 카탈로그에 있는 도메인 컨트롤러의 새 시스템 상태 백업을 만듭니다.

15. 모든 포리스트 관리자, 위임된 관리자, 포리스트의 지원 센터 관리자 및 도메인의 사용자에게 사용자 복원이 완료되었음을 알립니다.

    지원 센터 관리자는 복원된 시스템을 만든 후 도메인 암호가 변경된 인증 복원된 사용자 계정 및 컴퓨터 계정의 암호를 다시 설정해야 할 수 있습니다.

    시스템 상태 백업이 완료된 후 암호를 변경한 사용자는 최신 암호가 더 이상 작동하지 않는다는 것을 알게 됩니다. 이러한 사용자가 알고 있는 경우 이전 암호를 사용하여 로그온하도록 합니다. 그렇지 않으면 지원 센터 관리자가 다음 로그온 검사 확인란에서 암호를 변경해야 하므로 암호를 재설정해야 합니다. 사용자가 있는 것과 동일한 Active Directory 사이트의 도메인 컨트롤러에서 수행하는 것이 좋습니다.

유효한 시스템 상태 백업이 없는 경우 도메인 컨트롤러에서 삭제된 사용자를 복구하는 방법

사용자 계정 또는 보안 그룹이 삭제된 도메인에서 현재 시스템 상태 백업이 부족하고 Windows Server 2003 이상 도메인 컨트롤러가 포함된 도메인에서 삭제가 발생한 경우 다음 단계에 따라 삭제된 개체 컨테이너에서 삭제된 개체에 수동으로 애니메이션 효과를 줍니다.

1. 삭제된 사용자, 컴퓨터, 그룹 또는 모든 사용자에 다시 애니메이션 효과를 주려면 다음 섹션의 단계를 수행합니다.
   삭제된 개체 컨테이너에서 개체를 수동으로 삭제 취소하는 방법
2. Active Directory 사용자 및 컴퓨터 사용하여 계정을 사용 안 함에서 사용으로 변경합니다. (계정은 원래 OU에 나타납니다.)
3. Windows Server 2003 이상 버전의 Active Directory 사용자 및 컴퓨터 대량 재설정 기능을 사용하여 다음 로그온 정책 설정, 홈 디렉터리, 프로필 경로 및 필요에 따라 삭제된 계정에 대한 그룹 멤버 자격에서 암호에 대한 대량 재설정을 수행해야 합니다. 이러한 기능과 동일한 프로그래밍 방식으로 사용할 수도 있습니다.
4. Microsoft Exchange 2000 이상을 사용한 경우 삭제된 사용자의 Exchange 사서함을 복구합니다.
5. Exchange 2000 이상을 사용한 경우 삭제된 사용자를 Exchange 사서함과 다시 연결합니다.
6. 복구된 사용자가 로그온하여 로컬 디렉터리, 공유 디렉터리 및 파일에 액세스할 수 있는지 확인합니다.

다음 방법을 사용하여 이러한 복구 단계의 일부 또는 전부를 자동화할 수 있습니다.

• 1단계에 나열된 수동 복구 단계를 자동화하는 스크립트를 작성합니다. 이러한 스크립트를 작성할 때는 날짜, 시간 및 마지막으로 알려진 부모 컨테이너별로 삭제된 개체의 범위를 지정한 다음 삭제된 개체의 애니메이션을 자동화하는 것이 좋습니다. 다시 애니메이션을 자동화하려면 특성을 TRUE에서 FALSE로 변경하고 상대 고유 이름을 특성 또는 관리자가 지정한 새 OU 또는 CN(일반 이름) 컨테이너에 정의된 lastKnownParent 값으로 변경 isDeleted 합니다. (상대 고유 이름은 RDN이라고도 합니다.)
• Windows Server 2003 이상 도메인 컨트롤러에서 삭제된 개체의 애니메이션을 지원하는 타사 프로그램을 가져옵니다. 이러한 유틸리티 중 하나는 AdRestore입니다. AdRestore는 Windows Server 2003 이상 삭제되지 않은 기본 형식을 사용하여 개체를 개별적으로 삭제 취소합니다. Aelita Software Corporation 및 Commvault Systems는 Windows Server 2003 이상 기반 도메인 컨트롤러에서 삭제 취소 기능을 지원하는 제품도 제공합니다.

AdRestore를 가져오려면 AdRestore v1.1을 참조하세요.

이 문서에 포함된 다른 공급업체의 연락처 정보는 기술 지원을 받는 데 도움을 주기 위한 것입니다. 이 연락처 정보는 공지 없이 변경될 수 있습니다. Microsoft는 이 타사 연락처 정보의 정확성을 보장하지 않습니다.

삭제된 개체의 컨테이너에서 개체를 수동으로 삭제 취소하는 방법

삭제된 개체의 컨테이너에서 개체를 수동으로 삭제 취소하려면 다음 단계를 수행합니다.

1. 시작을 선택하고 실행을 선택한 다음 ldp.exe입력합니다.

   ldp.exe 사용할 수 있습니다.

   • 도메인 컨트롤러 역할이 설치된 컴퓨터에서
   • RSAT(원격 서버 관리 도구)가 설치된 컴퓨터에서

2. Ldp의 연결 메뉴를 사용하여 Windows Server 2003 이상 도메인 컨트롤러에 연결 작업 및 바인딩 작업을 수행합니다.

   바인딩 작업 중에 도메인 관리자 자격 증명을 지정합니다.

3. 옵션 메뉴에서 컨트롤을 선택합니다.

4. 미리 정의된 로드 목록에서 삭제된 개체 반환을 선택합니다.

   참고

   1.2.840.113556.1.4.417 컨트롤이 활성 컨트롤 창으로 이동합니다.

5. 제어 유형에서 서버를 선택하고 확인을 선택합니다.

6. 보기 메뉴에서 트리를 선택하고 삭제가 발생한 도메인에서 삭제된 개체 컨테이너의 고유 이름 경로를 입력한 다음 확인을 선택합니다.

   참고

   고유 이름 경로를 DN 경로라고도 합니다. 예를 들어 도메인에서 contoso.com 삭제가 발생한 경우 DN 경로는 다음 경로입니다.
   cn=deleted Objects,dc=contoso,dc=com

7. 창의 왼쪽 창에서 삭제된 개체 컨테이너를 두 번 클릭합니다.

   참고

   Idap 쿼리의 검색 결과로 기본적으로 1000 개체만 반환됩니다. Fot 예제에서는 Deleted Objects 컨테이너에 1000개 이상의 개체가 있는 경우 모든 개체가 이 컨테이너에 표시되지는 않습니다. 대상 개체가 표시되지 않으면 ntdsutil을 사용한 다음 maxpagesize 를 사용하여 검색 결과를 가져와 최대 수를 설정합니다.

8. 삭제를 취소하거나 다시 애니메이션할 개체를 두 번 클릭합니다.

9. 다시 애니메이션 효과를 주려는 개체를 마우스 오른쪽 단추로 클릭한 다음 수정을 선택합니다.

   단일 LDAP(Lightweight Directory Access Protocol) 수정 작업에서 특성 및 DN 경로의 값을 isDeleted 변경합니다. 수정 대화 상자를 구성하려면 다음 단계를 수행합니다.

   1. 항목 특성 편집 상자에 isDeleted를 입력합니다. 값 상자를 비워 둡니다.

   2. 삭제 옵션 단추를 선택한 다음 Enter 키를 선택하여 항목 목록 대화 상자에서 두 항목 중 첫 번째 항목을 만듭니다.

      중요

      실행을 선택하지 마세요.

   3. 특성 상자에 distinguishedName을 입력합니다.

   4. 값 상자에 다시 애니메이션된 개체의 새 DN 경로를 입력합니다.

      예를 들어 JohnDoe 사용자 계정을 Mayberry OU에 다시 애니메이션하려면 cn= JohnDoe,ou= Mayberry,dc= contoso,dc= com DN 경로를 사용합니다.

      참고

      삭제된 개체를 원래 컨테이너에 다시 애니메이션 효과를 주려면 삭제된 개체의 lastKnownParent 특성 값을 해당 CN 값에 추가한 다음 값 상자에 전체 DN 경로를 붙여넣습니다.

   5. 작업 상자에서 바꾸기를 선택합니다.

   6. ENTER를 선택합니다.

   7. 동기 검사 상자를 선택합니다.

   8. 확장 검사 상자를 선택합니다.

   9. 실행을 선택합니다.

10. 개체에 다시 애니메이션 효과를 주면 옵션 메뉴에서 컨트롤을 선택하고 체크 아웃 단추를 선택하여 활성 컨트롤 상자 목록에서 제거합니다(1.2.840.113556.1.4.417).

11. 삭제된 사용자의 사용자 계정 암호, 프로필, 홈 디렉터리 및 그룹 멤버 자격을 다시 설정합니다.

    개체가 삭제되면 , , ObjectGUIDLastKnownParent및 SAMAccountName 를 제외한 SID모든 특성 값이 제거되었습니다.

12. Active Directory 사용자 및 컴퓨터 다시 애니메이션된 계정을 사용하도록 설정합니다.

    참고

    다시 애니메이션된 개체는 삭제 전과 동일한 기본 SID를 가지지만 리소스에 대한 액세스 수준이 동일하려면 동일한 보안 그룹에 개체를 다시 추가해야 합니다. Windows Server 2003 이상의 첫 번째 릴리스는 다시 애니메이션된 사용자 계정, 컴퓨터 계정 및 보안 그룹의 특성을 유지 sIDHistory 하지 않습니다. 서비스 팩 1이 있는 Windows Server 2003 이상에서는 삭제된 개체의 특성이 sIDHistory 유지됩니다.

13. Microsoft Exchange 특성을 제거하고 사용자를 Exchange 사서함에 다시 연결합니다.

    참고

    삭제된 개체의 다시 애니메이션은 Windows Server 2003 이상 도메인 컨트롤러에서 삭제가 발생할 때 지원됩니다. 삭제된 개체의 애니메이션은 이후 Windows Server 2003 이상으로 업그레이드되는 Windows 2000 도메인 컨트롤러에서 삭제가 발생하는 경우 지원되지 않습니다.

    참고

    도메인 lastParentOf 의 Windows 2000 도메인 컨트롤러에서 삭제가 발생하는 경우 특성은 Windows Server 2003 이상 도메인 컨트롤러에 채워지지 않습니다.

삭제가 발생한 시기와 위치를 확인하는 방법

대량 삭제로 인해 사용자가 삭제되는 경우 삭제가 시작된 위치를 알아볼 수 있습니다. 제거하려면 다음 단계를 수행합니다.

1. 삭제된 보안 주체를 찾으려면 삭제된 개체의 컨테이너에서 개체를 수동으로 삭제 취소하는 방법 섹션의 1~ 7단계를 수행합니다. 트리가 삭제된 경우 다음 단계에 따라 삭제된 개체의 부모 컨테이너를 찾습니다.

2. 특성 값을 objectGUID Windows 클립보드에 복사합니다. 4단계에서 명령을 입력하면 이 값을 붙여넣을 Repadmin 수 있습니다.

3. 명령줄에서 다음 명령을 실행합니다.

   repadmin /showmeta GUID=<objectGUID> <FQDN>
   

   예를 들어 삭제된 개체 또는 컨테이너의 가 791273b2-eba7-4285-a117-aa804ea76e95이고 FQDN(정규화된 도메인 이름)dc.contoso.com이 이면 objectGUID 다음 명령을 실행합니다.

   repadmin /showmeta GUID=791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com
   

   이 명령의 구문에는 삭제된 개체 또는 컨테이너의 GUID와 원본으로 사용할 서버의 FQDN이 포함되어야 합니다.

4. Repadmin 명령 출력에서 특성의 원래 날짜, 시간 및 도메인 컨트롤러를 isDeleted 찾습니다. 예를 들어 특성에 isDeleted 대한 정보는 다음 샘플 출력의 다섯 번째 줄에 표시됩니다.

   Loc.USN	원래 DC	Org.USN	Org.Time/Date	버전	특성
   134759	Default-First-Site-Name\NA-DC1	134759	날짜/시간	1	objectClass
   134760	Default-First-Site-Name\NA-DC1	134760	날짜/시간	2	Ou
   134759	Default-First-Site-Name\NA-DC1	134759	날짜/시간	1	instanceType
   134759	Default-First-Site-Name\NA-DC1	134759	날짜/시간	1	whenCreated
   134760	Default-First-Site-Name\NA-DC1	134760	날짜/시간	1	Isdeleted
   134759	Default-First-Site-Name\NA-DC1	134759	날짜/시간	1	nTSecurityDescriptor
   134760	Default-First-Site-Name\NA-DC1	134760	날짜/시간	2	이름
   134760	Default-First-Site-Name\NA-DC1	134760	날짜/시간	1	lastKnownParent
   134760	Default-First-Site-Name\NA-DC1	134760	날짜/시간	2	objectCategory

5. 원래 도메인 컨트롤러의 이름이 32자 알파 숫자 GUID로 표시되는 경우 Ping 명령을 사용하여 GUID를 IP 주소와 삭제를 시작한 도메인 컨트롤러의 이름으로 resolve. Ping 명령은 다음 구문을 사용합니다.

   ping -a <originating DC GUID>._msdomain controllers.<fully qualified path for forest root domain>
   

   참고

   -a 옵션은 대/소문자를 구분합니다. 원래 도메인 컨트롤러가 있는 도메인에 관계없이 포리스트 루트 도메인의 정규화된 도메인 이름을 사용합니다.

   예를 들어 원래 도메인 컨트롤러가 포리스트의 모든 도메인에 Contoso.com 있고 GUID가 644eb7e7-1566-4f29-a778-4b487637564b인 경우 다음 명령을 실행합니다.

   ping -a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com
   

   이 명령에서 반환된 출력은 다음과 유사합니다.

   Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:
   
   Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
   Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
   Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
   Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
   

향후 대량 삭제의 영향을 최소화하는 방법

사용자, 컴퓨터 및 보안 그룹의 대량 삭제 영향을 최소화하기 위한 키는 다음과 같습니다.

• 최신 시스템 상태 백업이 있는지 확인합니다.
• 권한 있는 사용자 계정에 대한 액세스를 엄격하게 제어합니다.
• 해당 계정이 수행할 수 있는 작업을 엄격하게 제어합니다.
• 대량 삭제에서 복구를 연습합니다.

시스템 상태 변경은 매일 발생합니다. 이러한 변경 내용에는 다음이 포함될 수 있습니다.

• 사용자 계정 및 컴퓨터 계정에서 암호 재설정
• 그룹 멤버 자격 변경
• 사용자 계정, 컴퓨터 계정 및 보안 그룹의 기타 특성 변경 내용

하드웨어 또는 소프트웨어가 실패하거나 사이트에서 또 다른 재해가 발생하는 경우 포리스트의 각 Active Directory 도메인 및 사이트에서 각 중요한 변경 내용 집합 후에 수행한 백업을 복원해야 합니다. 현재 백업을 유지 관리하지 않으면 데이터가 손실되거나 복원된 개체를 롤백해야 할 수 있습니다.

대량 삭제를 방지하기 위해 다음 단계를 수행하는 것이 좋습니다.

1. 기본 제공 관리자 계정의 암호를 공유하거나 일반적인 관리 사용자 계정을 공유하도록 허용하지 마세요. 기본 제공 관리자 계정의 암호를 알고 있는 경우 암호를 변경하고 사용하지 않는 내부 프로세스를 정의합니다. 공유 사용자 계정에 대한 감사 이벤트를 사용하면 Active Directory에서 변경하는 사용자의 ID를 확인할 수 없습니다. 따라서 공유 사용자 계정의 사용은 권장되지 않아야 합니다.

2. 사용자 계정, 컴퓨터 계정 및 보안 그룹이 의도적으로 삭제되는 경우는 드뭅니다. 트리 삭제의 경우 특히 그렇습니다. 서비스 및 위임된 관리자가 사용자 계정, 컴퓨터 계정, 보안 그룹, OU 컨테이너 및 해당 특성을 만들고 관리하는 기능에서 이러한 개체를 삭제하는 기능을 분리합니다. 가장 권한 있는 사용자 계정 또는 보안 그룹만 트리 삭제를 수행할 수 있는 권한을 부여합니다. 이러한 권한 있는 사용자 계정에는 엔터프라이즈 관리자가 포함될 수 있습니다.

3. 위임된 관리자에게 해당 관리자가 관리할 수 있는 개체 클래스에만 액세스 권한을 부여합니다. 예를 들어 지원 센터 관리자의 기본 작업은 사용자 계정의 속성을 수정하는 것입니다. 컴퓨터 계정, 보안 그룹 또는 OU 컨테이너를 만들고 삭제할 수 있는 권한이 없습니다. 이 제한은 다른 특정 개체 클래스의 관리자에 대한 삭제 권한에도 적용됩니다.

4. 감사 설정을 실험하여 랩 도메인에서 삭제 작업을 추적합니다. 결과에 익숙해지면 프로덕션 도메인에 최상의 솔루션을 적용합니다.

5. 수만 개의 개체를 호스팅하는 컨테이너에 대한 도매 액세스 제어 및 감사 변경으로 Active Directory 데이터베이스가 크게 증가할 수 있으며, 특히 Windows 2000 도메인에서 더욱 그렇습니다. 프로덕션 도메인을 미러링하는 테스트 도메인을 사용하여 사용 가능한 디스크 공간에 대한 잠재적인 변경 내용을 평가합니다. Ntds.dit 파일을 호스트하는 하드 디스크 드라이브 볼륨과 프로덕션 도메인의 도메인 컨트롤러 로그 파일에서 사용 가능한 디스크 공간을 확인합니다. 도메인 네트워크 컨트롤러 헤드에서 액세스 제어 및 감사 변경 내용을 설정하지 마세요. 이러한 변경은 파티션의 모든 컨테이너에 있는 모든 클래스의 모든 개체에 불필요하게 적용됩니다. 예를 들어 도메인 파티션의 CN=SYSTEM 폴더에서 DNS(Domain Name System) 및 DLT(분산 링크 추적) 레코드 등록을 변경하지 마세요.

6. 모범 사례 OU 구조를 사용하여 사용자 계정, 컴퓨터 계정, 보안 그룹 및 서비스 계정을 자체 조직 구성 단위로 구분합니다. 이 구조를 사용하는 경우 위임된 관리를 위해 단일 클래스의 개체에 DACL(임의 액세스 제어 목록)을 적용할 수 있습니다. 또한 개체를 복원해야 하는 경우 개체 클래스에 따라 복원할 수 있습니다. 모범 사례 OU 구조는 다음 문서의 조직 구성 단위 디자인 만들기 섹션에서 설명합니다.
   Windows 네트워크 관리를 위한 모범 사례 Active Directory 디자인

7. 프로덕션 도메인을 미러링하는 랩 환경에서 대량 삭제를 테스트합니다. 사용자에게 적합한 복구 방법을 선택한 다음 organization 사용자 지정합니다. 다음을 식별할 수 있습니다.

   • 정기적으로 백업되는 각 도메인의 도메인 컨트롤러 이름
   • 백업 이미지가 저장되는 위치
     이상적으로 이러한 이미지는 포리스트의 각 도메인에 있는 글로벌 카탈로그에 로컬인 추가 하드 디스크에 저장됩니다.
   • 연락할 organization 지원 센터 구성원
   • 해당 연락처를 만드는 가장 좋은 방법

8. 사용자 계정, 컴퓨터 계정 및 Microsoft에서 볼 수 있는 보안 그룹의 대량 삭제는 대부분 실수로 인한 것입니다. IT 직원과 이 시나리오를 논의하고 내부 작업 계획을 개발합니다. 조기 검색에 집중합니다. 그리고 가능한 한 빨리 도메인 사용자 및 비즈니스에 기능을 반환합니다. 조직 단위의 ACL(액세스 제어 목록)을 편집하여 실수로 대량 삭제가 발생하지 않도록 하는 단계를 수행할 수도 있습니다.

   Windows 인터페이스 도구를 사용하여 실수로 대량 삭제를 방지하는 방법에 대한 자세한 내용은 Active Directory에서 실수로 인한 대량 삭제 방지를 참조하세요.

대량 삭제에서 복구하는 데 도움이 될 수 있는 도구 및 스크립트

Groupadd.exe 명령줄 유틸리티는 OU의 사용자 컬렉션에서 특성을 읽고 memberOf 복원된 각 사용자 계정을 포리스트의 각 도메인에 있는 보안 그룹에 추가하는 .ldf 파일을 빌드합니다.

Groupadd.exe 삭제된 사용자가 구성원인 도메인 및 보안 그룹을 자동으로 검색하고 해당 그룹에 다시 추가합니다. 이 프로세스는 메서드 1의 11단계에서 자세히 설명합니다.

Groupadd.exe Windows Server 2003 이상 도메인 컨트롤러에서 실행됩니다.

Groupadd.exe 다음 구문을 사용합니다.

groupadd / after_restore ldf_file [/ before_restore ldf_file ]

여기서 는 ldf_file 이전 인수와 함께 사용할 .ldf 파일의 이름을 나타내고, after_restore 사용자 파일 데이터 원본을 나타내며 before_restore , 프로덕션 환경의 사용자 데이터를 나타냅니다. (사용자 파일 데이터 원본은 좋은 사용자 데이터입니다.)

Groupadd.exe 얻으려면 Microsoft 제품 지원 서비스에 문의하세요.

이 문서에 나와 있는 다른 공급업체 제품은 Microsoft와 무관한 회사에서 제조한 것입니다. Microsoft는 이들 제품의 성능이나 안정성에 관하여 명시적이든 묵시적이든 어떠한 보증도 하지 않습니다.

참조

Windows Server 2008 R2에 포함된 AD 휴지통 기능을 사용하는 방법에 대한 자세한 내용은 Active Directory 휴지통 단계별 가이드를 참조하세요.