Active Directory'de silinen kullanıcı hesaplarını ve grup üyeliklerini geri yükleme

  • Makale

Bu makalede Active Directory'de silinen kullanıcı hesaplarının ve grup üyeliklerinin nasıl geri yükleneceği hakkında bilgi sağlanır.

Şunlar için geçerlidir: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Özgün KB numarası: 840001

Giriş

Silinen kullanıcı hesaplarını, bilgisayar hesaplarını ve güvenlik gruplarını geri yüklemek için çeşitli yöntemler kullanabilirsiniz. Bu nesneler toplu olarak güvenlik sorumluları olarak bilinir.

En yaygın yöntem, Windows Server 2008 R2 ve üzerini temel alan etki alanı denetleyicilerinde desteklenen AD Geri Dönüşüm Kutusu özelliğini etkinleştirmektir. Bu özelliği etkinleştirme ve nesneleri geri yükleme gibi daha fazla bilgi için bkz. Active Directory Geri Dönüşüm Kutusu Adım Adım Kılavuzu.

Bu yöntemi kullanamıyorsanız aşağıdaki üç yöntem kullanılabilir. Üç yöntemde de, silinen nesneleri yetkili olarak geri yüklersiniz ve ardından silinen güvenlik sorumluları için grup üyeliği bilgilerini geri yüklersiniz. Silinen bir nesneyi geri yüklerken, etkilenen güvenlik sorumlusundaki member ve memberOf özniteliklerinin eski değerlerini geri yüklemeniz gerekir.

Not

Active Directory'de silinen nesnelerin kurtarılması, Windows Server 2008 R2 ve üzerini temel alan etki alanı denetleyicilerinde desteklenen AD Geri Dönüşüm Kutusu özelliğini etkinleştirerek basitleştirilebilir. Bu özelliği etkinleştirme ve nesneleri geri yükleme gibi daha fazla bilgi için bkz. Active Directory Geri Dönüşüm Kutusu Adım Adım Kılavuzu.

Daha fazla bilgi

1 ve 2 yöntemleri, etki alanı kullanıcıları ve yöneticileri için daha iyi bir deneyim sağlar. Bu yöntemler, son sistem durumu yedeklemesinin zamanı ile silme işleminin gerçekleştiği saat arasında yapılan güvenlik gruplarına yapılan eklemeleri korur. Yöntem 3'te güvenlik sorumlularında ayrı ayrı ayarlamalar yapmazsınız. Bunun yerine, güvenlik grubu üyeliklerini son yedekleme sırasındaki durumlarına geri alırsınız.

Büyük ölçekli silmelerin çoğu yanlışlıkla güncelleştirilir. Microsoft, başkalarının nesneleri toplu olarak silmesini önlemek için birkaç adım atmanızı önerir.

Not

Nesnelerin yanlışlıkla silinmesini veya hareketini (özellikle kuruluş birimleri) önlemek için, her nesnenin güvenlik tanımlayıcısına iki Erişim denetimi girişini reddet (ACL) eklenebilir ( DELETE & DELETE TREE'yi REDDET) ve her nesnenin ÜST öğesinin güvenlik tanımlayıcısına bir Reddetme erişim denetimi girdisi (ACL) eklenebilir ( ALT ÖĞEYİ SİlMEYİ REDDET). Bunu yapmak için Active Directory Kullanıcıları ve Bilgisayarları, ADSIEdit, LDP veya DSACLS komut satırı aracını kullanın. Ayrıca, kuruluş birimleri için AD şemasındaki varsayılan izinleri değiştirerek bu ACL'lerin varsayılan olarak eklenmesini sağlayabilirsiniz.

Örneğin, çağrılan CONTOSO.COM kuruluş birimini MyCompany adlı üst kuruluş biriminin yanlışlıkla taşınmasına veya silinmesine karşı korumak için aşağıdaki yapılandırmayı yapın:

MyCompany kuruluş birimi için, Yalnızca Bu nesne kapsamına sahip ALT ÖĞEYİ Sİlmek için Herkes için DENY ACE ekleyin:

DSACLS "OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:DC"/

Kullanıcılar kuruluş birimi için, Yalnızca Bu nesne kapsamına sahip DELETE ve DELETE TREE için Herkes için DENY ACE ekleyin:

DSACLS "OU=Users,OU=MyCompany,DC=CONTOSO,DC=COM" /D "EVERYONE:SDDT"

Windows Server 2008'deki Active Directory Kullanıcıları ve Bilgisayarları ek bileşeni, Nesne sekmesinde nesneyi yanlışlıkla silinmeye karşı koru onay kutusunu içerir.

Not

Bu sekmeyi görüntülemek için Gelişmiş Özellikler onay kutusunun etkinleştirilmesi gerekir.

Windows Server 2008'de Active Directory Kullanıcıları ve Bilgisayarları kullanarak bir kuruluş birimi oluşturduğunuzda, Kapsayıcıyı yanlışlıkla silinmeye karşı koru onay kutusu görüntülenir. Varsayılan olarak, onay kutusu seçilidir ve seçimi kaldırılabilir.

Active Directory'deki her nesneyi bu ACL'leri kullanarak yapılandırabilirsiniz ancak kuruluş birimleri için en uygun yöntemdir. Tüm yaprak nesnelerin silinmesi veya hareketleri önemli bir etkiye sahip olabilir. Bu yapılandırma bu tür silmeleri veya hareketleri engeller. Böyle bir yapılandırma kullanarak bir nesneyi gerçekten silmek veya taşımak için önce Reddetme ACL'lerinin kaldırılması gerekir.

Bu makalede kullanıcı hesaplarının, bilgisayar hesaplarının ve grup üyeliklerinin Active Directory'den silindikten sonra nasıl geri yükleneceği açıklanır. Bu senaryonun çeşitlemelerinde kullanıcı hesapları, bilgisayar hesapları veya güvenlik grupları tek tek veya bir şekilde silinmiş olabilir. Tüm bu durumlarda, aynı başlangıç adımları uygulanır. Yanlışlıkla silinen nesneleri yetkili olarak geri yükler veya geri yüklemeyi doğrularsınız. Bazı silinen nesnelerin geri yüklenmesi için daha fazla çalışma gerekir. Bu nesneler, diğer nesnelerin özniteliklerinin geri bağlantıları olan öznitelikler içeren kullanıcı hesapları gibi nesneleri içerir. Bu özniteliklerden ikisi ve memberOf'tirmanagedBy.

Bir güvenlik grubuna kullanıcı hesabı, güvenlik grubu veya bilgisayar hesabı gibi güvenlik sorumluları eklediğinizde, Active Directory'de aşağıdaki değişiklikleri yaparsınız:

  1. Güvenlik sorumlusunun adı, her güvenlik grubunun üye özniteliğine eklenir.
  2. Kullanıcının, bilgisayarın veya güvenlik grubunun üyesi olduğu her güvenlik grubu için, güvenlik sorumlusunun memberOf özniteliğine bir geri bağlantı eklenir.

Benzer şekilde, bir kullanıcı, bilgisayar veya grup Active Directory'den silindiğinde aşağıdaki eylemler gerçekleşir:

  1. Silinen güvenlik sorumlusu silinmiş nesneler kapsayıcısına taşınır.
  2. özniteliği de dahil olmak üzere memberOf birkaç öznitelik değeri silinen güvenlik sorumlusundan çıkarılır.
  3. Silinen güvenlik sorumluları üyesi oldukları tüm güvenlik gruplarından kaldırılır. Başka bir deyişle, silinen güvenlik sorumluları her güvenlik grubunun üye özniteliğinden kaldırılır.

Silinen güvenlik sorumlularını kurtarıp grup üyeliklerini geri yüklerken, grup üyeliğini geri yüklemeden önce her güvenlik sorumlusu Active Directory'de bulunmalıdır. Üye bir kullanıcı, bilgisayar veya başka bir güvenlik grubu olabilir. Bu kuralı daha geniş bir şekilde yeniden ifade etmek için, ileriye doğru bağlantıyı içeren nesnenin geri yüklenebilmesi veya değiştirilebilmesi için, değerleri geri bağlantı olan öznitelikleri içeren bir nesnenin Active Directory'de bulunması gerekir.

Bu makalede, silinen kullanıcı hesaplarının ve güvenlik gruplarındaki üyeliklerinin nasıl kurtarılması ele alınır. Kavramları diğer nesne silme işlemlerine de aynı şekilde uygulanır. Bu makalenin kavramları, öznitelik değerleri Active Directory'deki diğer nesnelere yönelik ileri ve geri bağlantıları kullanan silinmiş nesneler için de geçerlidir.

Güvenlik sorumlularını kurtarmak için üç yöntemden birini kullanabilirsiniz. Yöntem 1'i kullandığınızda, ormandaki herhangi bir güvenlik grubuna eklenmiş olan tüm güvenlik sorumlularını yerinde bırakırsınız. Ayrıca yalnızca ilgili etki alanlarından silinen güvenlik sorumlularını kendi güvenlik gruplarına eklersiniz. Örneğin, bir sistem durumu yedeklemesi yapar, bir güvenlik grubuna kullanıcı ekler ve ardından sistem durumu yedeklemesini geri yüklersiniz. 1 veya 2 yöntemlerini kullandığınızda, sistem durumu yedeklemesinin oluşturulduğu tarihlerle yedeklemenin geri yüklendiği tarih arasında silinmiş kullanıcıları içeren güvenlik gruplarına eklenmiş tüm kullanıcıları korursunuz. Yöntem 3'ü kullandığınızda, sistem durumu yedeklemesi sırasında silinen kullanıcıları içeren tüm güvenlik grupları için güvenlik grubu üyeliklerini kendi durumlarına geri alırsınız.

Yöntem 1 - Silinen kullanıcı hesaplarını geri yükleyin ve ardından Ntdsutil.exe komut satırı aracını kullanarak geri yüklenen kullanıcıları gruplarına geri ekleyin

Ntdsutil.exe komut satırı aracı, silinen nesnelerin geri bağlantılarını geri yüklemenize olanak tanır. Her yetkili geri yükleme işlemi için iki dosya oluşturulur. Bir dosya, yetkili olarak geri yüklenen nesnelerin listesini içerir. Diğer dosya, Ldifde.exe yardımcı programıyla birlikte kullanılan bir .ldf dosyasıdır. Bu dosya, yetkili olarak geri yüklenen nesnelerin backlink'lerini geri yüklemek için kullanılır. Kullanıcı nesnesinin yetkili geri yüklenmesi, grup üyeliğiyle LDAP Veri Değişim Biçimi (LDIF) dosyaları da oluşturur. Bu yöntem çift geri yüklemeyi önler.

Bu yöntemi kullandığınızda aşağıdaki üst düzey adımları gerçekleştirirsiniz:

  1. Kullanıcının etki alanındaki genel kataloğun silme işleminde çoğaltılıp çoğaltılmamış olduğunu denetleyin. Sonra da bu genel kataloğun çoğaltılmasını önleyin. Gizli bir genel katalog yoksa, silinen kullanıcının giriş etki alanındaki genel katalog etki alanı denetleyicisinin en güncel sistem durumu yedeklemesini bulun.
  2. Kimlik doğrulamasıyla silinen tüm kullanıcı hesaplarını geri yükleyin ve ardından bu kullanıcı hesaplarının uçtan uca çoğaltılıp çoğaltılamaz.
  3. Geri yüklenen tüm kullanıcıları, silinmeden önce kullanıcı hesaplarının üyesi olduğu tüm etki alanlarındaki tüm gruplara geri ekleyin.

Yöntem 1'i kullanmak için şu yordamı izleyin:

  1. Silinen kullanıcının giriş etki alanında silme işleminin hiçbir bölümünü çoğaltmamış bir genel katalog etki alanı denetleyicisi olup olmadığını denetleyin.

    Not

    En az sık çoğaltma zamanlamalarına sahip genel kataloglara odaklanın.

    Bu genel kataloglardan biri veya daha fazlası varsa, aşağıdaki adımları izleyerek gelen çoğaltmayı hemen devre dışı bırakmak için Repadmin.exe komut satırı aracını kullanın:

    1. Başlat'ı ve ardından Çalıştır'ı seçin.

    2. kutusuna cmd yazıp Tamam'ı seçin.

    3. Komut istemine aşağıdaki komutu yazın ve ENTER tuşuna basın:

      repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL

      Not

      Komutu hemen gönderemiyorsanız, gelen çoğaltmayı Repadmin devre dışı bırakmak için kullanabilene Repadmin kadar gizli genel katalogdan tüm ağ bağlantısını kaldırın ve ardından hemen ağ bağlantısını döndürin.

    Bu etki alanı denetleyicisi, kurtarma etki alanı denetleyicisi olarak adlandırılır. Böyle bir genel katalog yoksa 2. adıma gidin.

  2. Aşağıdaki tüm deyimler doğruysa, ormandaki güvenlik gruplarında değişiklik yapmayı durdurmak en iyisidir:

    • Silinen kullanıcıları veya bilgisayar hesaplarını ayırt edici ad (dn) yoluna göre yetkili olarak geri yüklemek için 1 yöntemini kullanıyorsunuz.
    • Silme işlemi, gizli kurtarma etki alanı denetleyicisi dışında ormandaki tüm etki alanı denetleyicilerine çoğaltıldı.
    • Güvenlik gruplarını veya onların üst kapsayıcılarını geri yüklenmiyorsunuz.

    Güvenlik gruplarını veya güvenlik gruplarını veya kullanıcı hesaplarını barındıran kuruluş birimi (OU) kapsayıcılarını geri yüklemek için kimlik doğrulaması gerçekleştiriyorsanız, tüm bu değişiklikleri geçici olarak durdurun.

    Bu değişiklikleri durdurma hakkında silme işleminin gerçekleştiği etki alanındaki etki alanı kullanıcılarına ek olarak uygun etki alanlarındaki yöneticileri ve yardım masası yöneticilerini bilgilendirin.

  3. Silme işleminin gerçekleştiği etki alanında yeni bir sistem durumu yedeklemesi oluşturun. Değişikliklerinizi geri almak zorundaysanız bu yedeklemeyi kullanabilirsiniz.

    Not

    Sistem durumu yedeklemeleri silme noktasına kadar geçerliyse, bu adımı atlayın ve 4. adıma geçin.

    1. adımda bir kurtarma etki alanı denetleyicisi belirlediyseniz sistem durumunu şimdi yedekleyin.

    Silme işleminin gerçekleştiği etki alanında bulunan tüm genel kataloglar silme işleminde çoğaltıldıysa, silme işleminin gerçekleştiği etki alanındaki genel kataloğun sistem durumunu yedekleyin.

    Bir yedekleme oluşturduğunuzda kurtarma etki alanı denetleyicisini geçerli durumuna geri döndürebilirsiniz. İlk denemeniz başarılı olmazsa kurtarma planınızı yeniden gerçekleştirin.

  4. Kullanıcı silme işleminin gerçekleştiği etki alanında gizli bir genel katalog etki alanı denetleyicisi bulamazsanız, bu etki alanındaki genel katalog etki alanı denetleyicisinin en son sistem durumu yedeklemesini bulun. Bu sistem durumu yedeklemesi silinen nesneleri içermelidir. Kurtarma etki alanı denetleyicisi olarak bu etki alanı denetleyicisini kullanın.

    Yalnızca kullanıcının etki alanındaki genel katalog etki alanı denetleyicilerinin geri yüklemeleri, dış etki alanlarında bulunan güvenlik grupları için genel ve evrensel grup üyeliği bilgilerini içerir. Kullanıcıların silindiği etki alanında bir genel katalog etki alanı denetleyicisinin sistem durumu yedeklemesi yoksa, genel veya evrensel grup üyeliğini belirlemek veya dış etki alanlarında üyeliği kurtarmak için geri yüklenen kullanıcı hesaplarında özniteliğini kullanamazsınız memberOf . Ayrıca, genel olmayan bir katalog etki alanı denetleyicisinin en son sistem durumu yedeklemesini bulmak iyi bir fikirdir.

  5. Çevrimdışı yönetici hesabının parolasını biliyorsanız kurtarma etki alanı denetleyicisini Disrepair modunda başlatın. Çevrimdışı yönetici hesabının parolasını bilmiyorsanız kurtarma etki alanı denetleyicisi hala normal Active Directory modundayken ntdsutil.exe kullanarak parolayı sıfırlayın.

    Çevrimiçi Active Directory modundayken etki alanı denetleyicilerinde parolayı sıfırlamak için setpwd komut satırı aracını kullanabilirsiniz.

    Not

    Microsoft artık Windows 2000'i desteklememektedir.

    Windows Server 2003 ve sonraki etki alanı denetleyicilerinin yöneticileri, ntdsutil komut satırı aracındaki komutu kullanarak set dsrm password çevrimdışı yönetici hesabının parolasını sıfırlayabilir.

    Dizin Hizmetleri Geri Yükleme Modu yönetici hesabını sıfırlama hakkında daha fazla bilgi için bkz. Windows Server'da Dizin Hizmetleri Geri Yükleme Modu Yönetici Hesabı Parolasını Sıfırlama.

  6. Kurtarma etki alanı denetleyicisini Disrepair modunda başlatmak için başlangıç işlemi sırasında F8 tuşuna basın. Kurtarma etki alanı denetleyicisinin konsolunda çevrimdışı yönetici hesabıyla oturum açın. 5. adımda parolayı sıfırlarsanız yeni parolayı kullanın.

    Kurtarma etki alanı denetleyicisi gizli bir genel katalog etki alanı denetleyicisiyse sistem durumunu geri yüklemeyin. 7. adıma gidin.

    Kurtarma etki alanı denetleyicisini bir sistem durumu yedeklemesi kullanarak oluşturuyorsanız, kurtarma etki alanı denetleyicisinde yapılan en güncel sistem durumu yedeklemesini şimdi geri yükleyin.

  7. Silinen kullanıcı hesaplarını, silinen bilgisayar hesaplarını veya silinen güvenlik gruplarını geri yükleyin.

    Not

    Kimlik doğrulaması geri yükleme ve yetkili geri yükleme terimleri, ntdsutil komut satırı aracında belirli nesnelerin veya belirli kapsayıcıların ve tüm alt nesnelerinin sürüm numaralarını artırmak için yetkili geri yükleme komutunu kullanma işlemine başvurur. Uçtan uca çoğaltma gerçekleşir gerçekleşmez, kurtarma etki alanı denetleyicisinin Active Directory'nin yerel kopyasındaki hedeflenen nesneler, bu bölümü paylaşan tüm etki alanı denetleyicilerinde yetkili hale gelir. Yetkili geri yükleme, sistem durumu geri yüklemesinden farklıdır. Sistem durumu geri yüklemesi, geri yüklenen etki alanı denetleyicisinin yerel Active Directory kopyasını sistem durumu yedeklemesinin yapıldığı sırada nesnelerin sürümleriyle doldurur.

    Yetkili geri yüklemeler Ntdsutil komut satırı aracıyla gerçekleştirilir ve silinen kullanıcıların veya silinen kullanıcıları barındıran kapsayıcıların etki alanı adı (dn) yoluna bakın.

    Geri yüklemeyi doğruladığınızda, etki alanı ağacında olması gereken kadar düşük olan etki alanı adı (dn) yollarını kullanın. Amaç, silme işlemiyle ilgili olmayan nesneleri geri almaktan kaçınmaktır. Bu nesneler, sistem durumu yedeklemesi yapıldıktan sonra değiştirilmiş nesneleri içerebilir.

    Silinen kullanıcıları aşağıdaki sırayla geri yükleme kimlik doğrulaması yapın:

    1. Silinen her kullanıcı hesabı, bilgisayar hesabı veya güvenlik grubu için etki alanı adı (dn) yolunu geri yükleyin.

      Belirli nesnelerin yetkili geri yüklemeleri daha uzun sürer, ancak bir alt ağacın tamamının yetkili geri yüklemelerinden daha az yıkıcıdır. Kimlik doğrulaması, silinen nesneleri tutan en düşük ortak üst kapsayıcıyı geri yükleyin.

      Ntdsutil aşağıdaki söz dizimini kullanır:

      ntdsutil "authoritative restore" "restore object <object DN path>" q q

      Örneğin, etki alanının Mayberry OU'sunda silinen John Doe kullanıcısını Contoso.com yetkili olarak geri yüklemek için aşağıdaki komutu kullanın:

      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q

      Etki alanının Mayberry OU'sunda Contoso.com silinen ContosoPrintAccess güvenlik grubunu yetkili olarak geri yüklemek için aşağıdaki komutu kullanın:

      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q

      Önemli

      Tırnak işaretleri kullanılması gerekir.

      Geri yüklediğiniz her kullanıcı için en az iki dosya oluşturulur. Bu dosyalar aşağıdaki biçime sahiptir:

      ar_YYYYMMDD-HHMMSS_objects.txt
      Bu dosya, yetkili olarak geri yüklenen nesnelerin listesini içerir. Bu dosyayı, kullanıcının Etki Alanı Yerel gruplarının üyesi olduğu ormandaki başka bir etki alanında ntdsutil yetkili geri yükleme create ldif file from komutuyla kullanın.

      ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
      Genel katalogda kimlik doğrulaması geri yüklemesini gerçekleştirirseniz, ormandaki her etki alanı için bu dosyalardan biri oluşturulur. Bu dosya, Ldifde.exe yardımcı programıyla kullanabileceğiniz bir betik içerir. Betik, geri yüklenen nesnelerin geri bağlantılarını geri yükler. Kullanıcının giriş etki alanında betik, geri yüklenen kullanıcılar için tüm grup üyeliklerini geri yükler. Kullanıcının grup üyeliğine sahip olduğu ormandaki diğer tüm etki alanlarında, betik yalnızca evrensel ve genel grup üyeliklerini geri yükler. Betik, Etki Alanı Yerel grup üyeliklerini geri yüklemez. Bu üyelikler genel katalog tarafından izlenmez.

    2. Kimlik doğrulaması yalnızca silinen kullanıcı hesaplarını veya gruplarını barındıran OU veya Common-Name (CN) kapsayıcılarını geri yükleyin.

      Bir alt ağacın tamamının yetkili geri yüklemeleri, ntdsutil yetkili geri yükleme komutu tarafından hedeflenen OU yetkili olarak geri yüklemeye çalıştığınız nesnelerin çoğunu içerdiğinde geçerlidir. İdeal olarak, hedeflenen OU yetkili olarak geri yüklemeye çalıştığınız tüm nesneleri içerir.

      Bir OU alt ağacı üzerindeki yetkili geri yükleme, kapsayıcıda bulunan tüm öznitelikleri ve nesneleri geri yükler. Sistem durumu yedeklemesinin geri yüklendiği zamana kadar yapılan tüm değişiklikler, yedekleme sırasında değerlerine geri alınır. Kullanıcı hesaplarında, bilgisayar hesaplarında ve güvenlik gruplarında bu geri alma, aşağıdakilerde yapılan en son değişikliklerin kaybedilmesi anlamına gelebilir:

      • Parola
      • giriş dizini
      • profil yolu
      • Konum
      • kişi bilgileri
      • grup üyeliği
      • bu nesneler ve öznitelikler üzerinde tanımlanan tüm güvenlik tanımlayıcıları.

      Ntdsutil aşağıdaki söz dizimini kullanır:

      ntdsutil "authoritative restore" "restore subtree <container DN path>" q q

      Örneğin, etki alanının Mayberry OU'sunu Contoso.com yetkili olarak geri yüklemek için aşağıdaki komutu kullanın:

      ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q

      Not

      Silinen kullanıcıları veya grupları barındıran her eş OU için bu adımı yineleyin.

      Önemli

      OU'nun bir alt nesnesini geri yüklerken, silinen alt nesnelerin tüm silinen üst kapsayıcıları açıkça kimlik doğrulaması geri yüklenmelidir.

      Geri yüklediğiniz her kuruluş birimi için en az iki dosya oluşturulur. Bu dosyalar aşağıdaki biçime sahiptir:

      ar_YYYYMMDD-HHMMSS_objects.txt
      Bu dosya, yetkili olarak geri yüklenen nesnelerin listesini içerir. Bu dosyayı, geri yüklenen kullanıcıların Etki Alanı Yerel gruplarının üyesi olduğu ormandaki başka bir etki alanında ntdsutil yetkili geri yükleme create ldif file from komutuyla kullanın.

      ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
      Bu dosya, Ldifde.exe yardımcı programıyla kullanabileceğiniz bir betik içerir. Betik, geri yüklenen nesnelerin geri bağlantılarını geri yükler. Kullanıcının giriş etki alanında betik, geri yüklenen kullanıcılar için tüm grup üyeliklerini geri yükler.

  8. Sistem durumu geri yüklemesi nedeniyle silinen nesneler kurtarma etki alanı denetleyicisinde kurtarıldıysa, ormandaki diğer tüm etki alanı denetleyicilerine ağ bağlantısı sağlayan tüm ağ kablolarını kaldırın.

  9. Kurtarma etki alanı denetleyicisini normal Active Directory modunda yeniden başlatın.

  10. Kurtarma etki alanı denetleyicisine gelen çoğaltmayı devre dışı bırakmak için aşağıdaki komutu yazın:

    repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL

    Sistem durumu geri yüklenen kurtarma etki alanı denetleyicisine ağ bağlantısını yeniden etkinleştirin.

  11. Kurtarma etki alanı denetleyicisinden, etki alanındaki ve ormandaki etki alanı denetleyicilerine giden-geri yüklenen nesneleri çoğaltın.

    Kurtarma etki alanı denetleyicisine gelen çoğaltma devre dışı kalırken, kimlik doğrulaması geri yüklenen nesneleri etki alanındaki tüm siteler arası çoğaltma etki alanı denetleyicilerine ve ormandaki tüm genel kataloglara göndermek için aşağıdaki komutu yazın:

    repadmin /syncall /d /e /P <recovery dc> <Naming Context>

    Aşağıdaki tüm deyimler doğruysa, grup üyeliği bağlantıları geri yükleme ve silinen kullanıcı hesaplarının çoğaltılarak yeniden oluşturulur. 14. adıma gidin.

    Not

    Aşağıdaki deyimlerden biri veya daha fazlası doğru değilse 12. adıma gidin.

    • Ormanınız Windows Server 2003 ve üzeri veya üzeri orman işlev düzeyinde ya da Windows Server 2003 ve üzeri ya da daha sonraki Geçici orman işlev düzeyinde çalışıyor.
    • Güvenlik grupları değil, yalnızca kullanıcı hesapları veya bilgisayar hesapları silindi.
    • Silinen kullanıcılar, orman Windows Server 2003 ve sonraki sürümlere veya daha sonraki orman işlev düzeyine geçirildikten sonra ormandaki tüm etki alanlarındaki güvenlik gruplarına eklendi.

  12. Kurtarma etki alanı denetleyicisinin konsolunda, kullanıcının grup üyeliklerini geri yüklemek için Ldifde.exe yardımcı programını ve ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf dosyasını kullanın. Bunu yapmak için şu adımları uygulayın:

    • Başlat'ı seçin, Çalıştır'ı seçin, kutusuna cmd yazın ve ardından Tamam'ı seçin.

    • Komut isteminde aşağıdaki komutu yazın ve ENTER tuşuna basın:

      ldifde -i -f ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf

  13. Aşağıdaki komutu kullanarak kurtarma etki alanı denetleyicisine gelen çoğaltmayı etkinleştirin:

    repadmin /options <recovery dc name> -DISABLE_INBOUND_REPL

  14. Dış etki alanlarındaki yerel gruplara silinen kullanıcılar eklendiyse, aşağıdaki eylemlerden birini gerçekleştirin:

    • Silinen kullanıcıları bu gruplara el ile geri ekleyin.
    • Sistem durumunu geri yükleyin ve silinen kullanıcıları içeren yerel güvenlik gruplarının her birini geri yükleyin.

  15. Kurtarma etki alanı denetleyicisinin etki alanında ve diğer etki alanlarındaki genel kataloglarda grup üyeliğini doğrulayın.

  16. Kurtarma etki alanı denetleyicisinin etki alanındaki etki alanı denetleyicileri için yeni bir sistem durumu yedeklemesi yapın.

  17. Tüm orman yöneticilerine, yönetici temsilcilerine, ormandaki yardım masası yöneticilerine ve etki alanındaki kullanıcılara kullanıcının geri yüklemesinin tamamlandığını bildirin.

    Yardım masası yöneticilerinin, geri yüklenen sistem yapıldıktan sonra etki alanı parolası değiştirilen kimlik doğrulaması geri yüklenen kullanıcı hesaplarının ve bilgisayar hesaplarının parolalarını sıfırlaması gerekebilir.

    Sistem durumu yedeklemesi yapıldıktan sonra parolalarını değiştiren kullanıcılar, en son parolalarının artık çalışmadığını fark eder. Bu tür kullanıcıların, tanıyorlarsa önceki parolalarını kullanarak oturum açmayı denemesini sağlayın. Aksi takdirde, yardım masası yöneticilerinin parolayı sıfırlaması ve kullanıcının sonraki oturum açmada parolayı değiştirmesi gerekir onay kutusunu seçmesi gerekir . Bunu tercihen kullanıcının bulunduğu Active Directory sitesindeki bir etki alanı denetleyicisinde yapın.

Yöntem 2 - Silinen kullanıcı hesaplarını geri yükleyin ve geri yüklenen kullanıcıları gruplarına geri ekleyin

Bu yöntemi kullandığınızda aşağıdaki üst düzey adımları gerçekleştirirsiniz:

  1. Kullanıcının etki alanındaki genel kataloğun silme işleminde çoğaltılıp çoğaltılmamış olduğunu denetleyin. Sonra da bu genel kataloğun çoğaltılmasını önleyin. Gizli bir genel katalog yoksa, silinen kullanıcının giriş etki alanındaki genel katalog etki alanı denetleyicisinin en güncel sistem durumu yedeklemesini bulun.
  2. Kimlik doğrulamasıyla silinen tüm kullanıcı hesaplarını geri yükleyin ve ardından bu kullanıcı hesaplarının uçtan uca çoğaltılıp çoğaltılamaz.
  3. Geri yüklenen tüm kullanıcıları, silinmeden önce kullanıcı hesaplarının üyesi olduğu tüm etki alanlarındaki tüm gruplara geri ekleyin.

Yöntem 2'yi kullanmak için şu yordamı izleyin:

  1. Silinen kullanıcının giriş etki alanında silme işleminin hiçbir bölümünü çoğaltmamış bir genel katalog etki alanı denetleyicisi olup olmadığını denetleyin.

    Not

    En az sık çoğaltma zamanlamalarına sahip genel kataloglara odaklanın.

    Bu genel kataloglardan biri veya daha fazlası varsa, gelen çoğaltmayı hemen devre dışı bırakmak için Repadmin.exe komut satırı aracını kullanın. Bunu yapmak için şu adımları uygulayın:

    1. Başlat'ı ve ardından Çalıştır'ı seçin.
    2. kutusuna cmd yazıp Tamam'ı seçin.
    3. Komut istemine aşağıdaki komutu yazın ve ENTER tuşuna basın:
    repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL

    Not

    Repadmin komutunu hemen gönderemiyorsanız, gelen çoğaltmayı devre dışı bırakmak için Repadmin'i kullanana kadar gizli genel katalogdan tüm ağ bağlantısını kaldırın ve ardından hemen ağ bağlantısını döndürin.

    Bu etki alanı denetleyicisi, kurtarma etki alanı denetleyicisi olarak adlandırılır. Böyle bir genel katalog yoksa 2. adıma gidin.

  2. Tüm kurtarma adımları tamamlanana kadar kullanıcı hesapları, bilgisayar hesapları ve güvenlik gruplarında yapılan eklemelerin, silmelerin ve değişikliklerin geçici olarak durdurulup durdurulmayacağına karar verin.

    En esnek kurtarma yolunu korumak için aşağıdaki öğelerde değişiklik yapmayı geçici olarak durdurun. Değişiklikler etki alanı kullanıcıları, yardım masası yöneticileri ve silme işleminin gerçekleştiği etki alanındaki yöneticilerin parola sıfırlamalarını ve silinen kullanıcıların gruplarındaki grup üyeliği değişikliklerini içerir. Aşağıdaki öğelerde yapılan eklemeleri, silmeleri ve değişiklikleri durdurmayı göz önünde bulundurun:

    1. Kullanıcı hesaplarında kullanıcı hesapları ve öznitelikler
    2. Bilgisayar hesaplarında bilgisayar hesapları ve öznitelikler
    3. Hizmet hesapları
    4. Güvenlik grupları

    Aşağıdaki tüm deyimler doğruysa, ormandaki güvenlik gruplarında değişiklik yapmayı durdurmak en iyisidir:

    • Silinen kullanıcıları veya bilgisayar hesaplarını etki alanı adı (dn) yoluna göre yetkili olarak geri yüklemek için 2 yöntemini kullanıyorsunuz.
    • Silme işlemi, gizli kurtarma etki alanı denetleyicisi dışında ormandaki tüm etki alanı denetleyicilerine çoğaltıldı.
    • Güvenlik gruplarını veya onların üst kapsayıcılarını geri yüklenmiyorsunuz.

    Güvenlik gruplarını veya güvenlik gruplarını veya kullanıcı hesaplarını barındıran kuruluş birimi (OU) kapsayıcılarını geri yüklemek için kimlik doğrulaması gerçekleştiriyorsanız, tüm bu değişiklikleri geçici olarak durdurun.

    Bu değişiklikleri durdurma hakkında silme işleminin gerçekleştiği etki alanındaki etki alanı kullanıcılarına ek olarak uygun etki alanlarındaki yöneticileri ve yardım masası yöneticilerini bilgilendirin.

  3. Silme işleminin gerçekleştiği etki alanında yeni bir sistem durumu yedeklemesi oluşturun. Değişikliklerinizi geri almak zorundaysanız bu yedeklemeyi kullanabilirsiniz.

    Not

    Sistem durumu yedeklemeleri silme noktasına kadar geçerliyse, bu adımı atlayın ve 4. adıma geçin.

    1. adımda bir kurtarma etki alanı denetleyicisi belirlediyseniz sistem durumunu şimdi yedekleyin.

    Silme işleminin gerçekleştiği etki alanında bulunan tüm genel kataloglar silme işleminde çoğaltıldıysa, silme işleminin gerçekleştiği etki alanındaki genel kataloğun sistem durumunu yedekleyin.

    Bir yedekleme oluşturduğunuzda kurtarma etki alanı denetleyicisini geçerli durumuna geri döndürebilirsiniz. İlk denemeniz başarılı olmazsa kurtarma planınızı yeniden gerçekleştirin.

  4. Kullanıcı silme işleminin gerçekleştiği etki alanında gizli bir genel katalog etki alanı denetleyicisi bulamazsanız, bu etki alanındaki genel katalog etki alanı denetleyicisinin en son sistem durumu yedeklemesini bulun. Bu sistem durumu yedeklemesi silinen nesneleri içermelidir. Kurtarma etki alanı denetleyicisi olarak bu etki alanı denetleyicisini kullanın.

    Yalnızca kullanıcının etki alanındaki genel katalog etki alanı denetleyicilerinin geri yüklemeleri, dış etki alanlarında bulunan güvenlik grupları için genel ve evrensel grup üyeliği bilgilerini içerir. Kullanıcıların silindiği etki alanında bir genel katalog etki alanı denetleyicisinin sistem durumu yedeklemesi yoksa, genel veya evrensel grup üyeliğini memberOf belirlemek veya dış etki alanlarında üyeliği kurtarmak için geri yüklenen kullanıcı hesaplarında özniteliğini kullanamazsınız. Ayrıca, genel olmayan bir katalog etki alanı denetleyicisinin en son sistem durumu yedeklemesini bulmak iyi bir fikirdir.

  5. Çevrimdışı yönetici hesabının parolasını biliyorsanız kurtarma etki alanı denetleyicisini Disrepair modunda başlatın. Çevrimdışı yönetici hesabının parolasını bilmiyorsanız kurtarma etki alanı denetleyicisi hala normal Active Directory modundayken parolayı sıfırlayın.

    Çevrimiçi Active Directory modundayken Windows 2000 Service Pack 2 (SP2) ve üzerini çalıştıran etki alanı denetleyicilerinde parolayı sıfırlamak için setpwd komut satırı aracını kullanabilirsiniz.

    Not

    Microsoft artık Windows 2000'i desteklememektedir.

    Windows Server 2003 ve sonraki etki alanı denetleyicilerinin yöneticileri, ntdsutil komut satırı aracındaki komutu kullanarak set dsrm password çevrimdışı yönetici hesabının parolasını sıfırlayabilir.

    Dizin Hizmetleri Geri Yükleme Modu yönetici hesabını sıfırlama hakkında daha fazla bilgi için bkz. Windows Server'da Dizin Hizmetleri Geri Yükleme Modu Yönetici Hesabı Parolasını Sıfırlama.

  6. Kurtarma etki alanı denetleyicisini Disrepair modunda başlatmak için başlangıç işlemi sırasında F8 tuşuna basın. Kurtarma etki alanı denetleyicisinin konsolunda çevrimdışı yönetici hesabıyla oturum açın. 5. adımda parolayı sıfırlarsanız yeni parolayı kullanın.

    Kurtarma etki alanı denetleyicisi gizli bir genel katalog etki alanı denetleyicisiyse sistem durumunu geri yüklemeyin. 7. adıma gidin.

    Kurtarma etki alanı denetleyicisini bir sistem durumu yedeklemesi kullanarak oluşturuyorsanız, kurtarma etki alanı denetleyicisinde yapılan en güncel sistem durumu yedeklemesini şimdi geri yükleyin.

  7. Silinen kullanıcı hesaplarını, silinen bilgisayar hesaplarını veya silinen güvenlik gruplarını geri yükleyin.

    Not

    Kimlik doğrulaması geri yükleme ve yetkili geri yükleme terimleri, ntdsutil komut satırı aracında belirli nesnelerin veya belirli kapsayıcıların ve tüm alt nesnelerinin sürüm numaralarını artırmak için yetkili geri yükleme komutunu kullanma işlemine başvurur. Uçtan uca çoğaltma gerçekleşir gerçekleşmez, kurtarma etki alanı denetleyicisinin Active Directory'nin yerel kopyasındaki hedeflenen nesneler, bu bölümü paylaşan tüm etki alanı denetleyicilerinde yetkili hale gelir. Yetkili geri yükleme, sistem durumu geri yüklemesinden farklıdır. Sistem durumu geri yüklemesi, geri yüklenen etki alanı denetleyicisinin yerel Active Directory kopyasını sistem durumu yedeklemesinin yapıldığı sırada nesnelerin sürümleriyle doldurur.

    Yetkili geri yüklemeler Ntdsutil komut satırı aracıyla gerçekleştirilir ve silinen kullanıcıların veya silinen kullanıcıları barındıran kapsayıcıların etki alanı adı (dn) yoluna bakın.

    Geri yüklemeyi doğruladığınızda, etki alanı ağacında olması gereken kadar düşük olan etki alanı adı (dn) yollarını kullanın. Amaç, silme işlemiyle ilgili olmayan nesneleri geri almaktan kaçınmaktır. Bu nesneler, sistem durumu yedeklemesi yapıldıktan sonra değiştirilmiş nesneleri içerebilir.

    Silinen kullanıcıları aşağıdaki sırayla geri yükleme kimlik doğrulaması yapın:

    1. Silinen her kullanıcı hesabı, bilgisayar hesabı veya güvenlik grubu için etki alanı adı (dn) yolunu geri yükleyin.

      Belirli nesnelerin yetkili geri yüklemeleri daha uzun sürer, ancak bir alt ağacın tamamının yetkili geri yüklemelerinden daha az yıkıcıdır. Kimlik doğrulaması, silinen nesneleri tutan en düşük ortak üst kapsayıcıyı geri yükleyin.

      Ntdsutil aşağıdaki söz dizimini kullanır:

      ntdsutil "authoritative restore" "restore object <object DN path>" q q

      Örneğin, etki alanının Mayberry OU'sunda silinen John Doe kullanıcısını Contoso.com yetkili olarak geri yüklemek için aşağıdaki komutu kullanın:

      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q

      Etki alanının Mayberry OU'sunda Contoso.com silinen ContosoPrintAccess güvenlik grubunu yetkili olarak geri yüklemek için aşağıdaki komutu kullanın:

      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q

      Önemli

      Tırnak işaretleri kullanılması gerekir.

      Not

      Bu söz dizimi yalnızca Windows Server 2003 ve sonraki sürümlerde kullanılabilir. Windows 2000'de tek söz dizimi aşağıdakileri kullanmaktır:

      ntdsutil "authoritative restore" "restore subtree object DN path"

      Not

      Ayırt edici ad yolu (DN) genişletilmiş karakterler veya boşluklar içeriyorsa Ntdsutil yetkili geri yükleme işlemi başarılı olmaz. Betikli geri yüklemenin başarılı olması için komutun restore object <DN path> tek bir tam dize olarak geçirilmesi gerekir.

      Bu sorunu geçici olarak çözmek için, genişletilmiş karakterler ve boşluklar içeren DN'yi ters eğik çizgi-çift tırnak işareti kaçış dizileriyle sarmalayın. Aşağıda bir örnek verilmiştir:

      ntdsutil "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\"" q q

      Not

      Geri yüklenen nesnelerin DN'sinde virgül varsa komutun daha fazla değiştirilmesi gerekir. Aşağıdaki örne bakın:

      ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\"" q q

      Not

      Nesneler banttan geri yüklendiyse, yetkili olarak işaretlendiyse ve geri yükleme beklendiği gibi çalışmadıysa ve aynı bant NTDS veritabanını bir kez daha geri yüklemek için kullanılırsa, yetkili olarak geri yüklenecek nesnelerin USN sürümü varsayılan 100000'den daha yüksek olmalıdır, aksi takdirde ikinci geri yüklemeden sonra nesneler çoğaltılmaz. 100000'den daha yüksek bir sürüm numarası (varsayılan) betik için aşağıdaki söz dizimi gereklidir:

      ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q

      Not

      Betik geri yüklenen her nesne için onay isterse istemleri kapatabilirsiniz. İstemi kapatmak için söz dizimi şu şekildedir:

      ntdsutil "popups off" "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q

    2. Kimlik doğrulaması yalnızca silinen kullanıcı hesaplarını veya gruplarını barındıran OU veya Common-Name (CN) kapsayıcılarını geri yükleyin.

      Bir alt ağacın tamamının yetkili geri yüklemeleri, ntdsutil yetkili geri yükleme komutu tarafından hedeflenen OU yetkili olarak geri yüklemeye çalıştığınız nesnelerin çoğunu içerdiğinde geçerlidir. İdeal olarak, hedeflenen OU yetkili olarak geri yüklemeye çalıştığınız tüm nesneleri içerir.

      Bir OU alt ağacı üzerindeki yetkili geri yükleme, kapsayıcıda bulunan tüm öznitelikleri ve nesneleri geri yükler. Sistem durumu yedeklemesinin geri yüklendiği zamana kadar yapılan tüm değişiklikler, yedekleme sırasında değerlerine geri alınır. Kullanıcı hesapları, bilgisayar hesapları ve güvenlik gruplarında bu geri alma, parolalarda, giriş dizininde, profil yolunda, konum ve iletişim bilgilerinde, grup üyeliğinde ve bu nesneler ve özniteliklerde tanımlanan tüm güvenlik tanımlayıcılarında yapılan en son değişikliklerin kaybedilmesi anlamına gelebilir.

      Ntdsutil aşağıdaki söz dizimini kullanır:

      ntdsutil "authoritative restore" "restore subtree <container DN path>" q q

      Örneğin, etki alanının Mayberry OU'sunu Contoso.com yetkili olarak geri yüklemek için aşağıdaki komutu kullanın:

      ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q

      Not

      Silinen kullanıcıları veya grupları barındıran her eş OU için bu adımı yineleyin.

      Önemli

      OU'nun bir alt nesnesini geri yüklerken, silinen alt nesnelerin tüm silinen üst kapsayıcıları açıkça kimlik doğrulaması geri yüklenmelidir.

  8. Sistem durumu geri yüklemesi nedeniyle silinen nesneler kurtarma etki alanı denetleyicisinde kurtarıldıysa, ormandaki diğer tüm etki alanı denetleyicilerine ağ bağlantısı sağlayan tüm ağ kablolarını kaldırın.

  9. Kurtarma etki alanı denetleyicisini normal Active Directory modunda yeniden başlatın.

  10. Kurtarma etki alanı denetleyicisine gelen çoğaltmayı devre dışı bırakmak için aşağıdaki komutu yazın:

    repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL

    Sistem durumu geri yüklenen kurtarma etki alanı denetleyicisine ağ bağlantısını yeniden etkinleştirin.

  11. Kurtarma etki alanı denetleyicisinden, etki alanındaki ve ormandaki etki alanı denetleyicilerine giden-geri yüklenen nesneleri çoğaltın.

    Kurtarma etki alanı denetleyicisine gelen çoğaltma devre dışı kalırken, kimlik doğrulaması geri yüklenen nesneleri etki alanındaki tüm siteler arası çoğaltma etki alanı denetleyicilerine ve ormandaki tüm genel kataloglara göndermek için aşağıdaki komutu yazın:

    repadmin /syncall /d /e /P <recovery dc> <Naming Context>

    Aşağıdaki tüm deyimler doğruysa, grup üyeliği bağlantıları geri yükleme ve silinen kullanıcı hesaplarının çoğaltılarak yeniden oluşturulur. 14. adıma gidin.

    Not

    Aşağıdaki deyimlerden biri veya daha fazlası doğru değilse 12. adıma gidin.

    • Ormanınız Windows Server 2003 ve üzeri orman işlev düzeyinde veya Windows Server 2003 ve üzeri Ara orman işlev düzeyinde çalışıyor.
    • Güvenlik grupları değil, yalnızca kullanıcı hesapları veya bilgisayar hesapları silindi.
    • Silinen kullanıcılar, orman Windows Server 2003 ve üzeri orman işlev düzeyine geçirildikten sonra ormandaki tüm etki alanlarındaki güvenlik gruplarına eklendi.

  12. Silinen kullanıcıların hangi güvenlik gruplarının üyesi olduğunu belirleyin ve bunları bu gruplara ekleyin.

    Not

    Kullanıcıları gruplara ekleyebilmeniz için, 7. adımda geri yüklediğiniz ve 11. adımda giden çoğaltma yaptığınız kullanıcıların, başvuruda bulunan etki alanı denetleyicisinin etki alanındaki etki alanı denetleyicilerine ve ormandaki tüm genel katalog etki alanı denetleyicilerine çoğaltılmış olması gerekir.

    Güvenlik grupları için üyeliği yeniden doldurmaya yönelik bir grup sağlama yardımcı programı dağıttıysanız, silinen kullanıcıları silinmeden önce üye oldukları güvenlik gruplarına geri yüklemek için bu yardımcı programı kullanın. Ormanın etki alanı ve genel katalog sunucularındaki tüm doğrudan ve geçişli etki alanı denetleyicileri, kimliği doğrulanmış geri yüklenen kullanıcıları ve geri yüklenen tüm kapsayıcıları gelen-çoğaltıldıktan sonra bunu yapın.

    Yardımcı programınız yoksa ve Groupadd.exe komut satırı araçları kurtarma Ldifde.exe etki alanı denetleyicisinde çalıştırıldığında bu görevi sizin için otomatikleştirebilir. Bu araçlar Microsoft Ürün Destek Hizmetleri'nden edinilebilir. Bu senaryoda, Ldifde.exe kullanıcı hesaplarının ve güvenlik gruplarının adlarını içeren bir LDAP Veri Değişim Biçimi (LDIF) bilgi dosyası oluşturur. Yöneticinin belirttiği bir OU kapsayıcısı ile başlar. Groupadd.exe sonra .ldf dosyasında listelenen her kullanıcı hesabının özniteliğini okur memberOf . Ardından ormandaki her etki alanı için ayrı ve benzersiz LDIF bilgileri oluşturur. Bu LDIF bilgileri, silinen kullanıcılarla ilişkili güvenlik gruplarının adlarını içerir. LdIF bilgilerini kullanarak, grup üyeliklerinin geri yüklenebilmesi için bilgileri kullanıcılara geri ekleyin. Kurtarmanın bu aşaması için şu adımları izleyin:

    1. Etki alanı yöneticisinin güvenlik grubunun üyesi olan bir kullanıcı hesabı kullanarak kurtarma etki alanı denetleyicisinin konsolunda oturum açın.

    2. Ldifde komutunu kullanarak, silme işleminin gerçekleştiği en üstteki OU kapsayıcıdan başlayarak eski silinen kullanıcı hesaplarının ve özniteliklerinin memberOf adlarını döküm edin. Ldifde komutu aşağıdaki söz dizimini kullanır:

      ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=user)" -l memberof -p subtree -f user_membership_after_restore.ldf

      Silinen bilgisayar hesapları güvenlik gruplarına eklendiyse aşağıdaki söz dizimini kullanın:

      ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=computer)" -l memberof -p subtree -f computer_membership_after_restore.ldf

    3. Etki alanlarının Groupadd adlarını ve silinen kullanıcıların üyesi olduğu genel ve evrensel güvenlik gruplarının adlarını içeren daha fazla .ldf dosyası oluşturmak için komutunu çalıştırın. Groupadd Komut aşağıdaki söz dizimini kullanır:

      Groupadd / after_restore users_membership_after_restore.ldf

      Silinen bilgisayar hesapları güvenlik gruplarına eklendiyse bu komutu yineleyin.

    4. 12c adımında oluşturduğunuz her Groupadd_fully.qualified.domain.name.ldf dosyasını, her etki alanının .ldf dosyasına karşılık gelen tek bir genel katalog etki alanı denetleyicisine aktarabilirsiniz. Aşağıdaki Ldifde söz dizimini kullanın:

      Ldifde -i -k -f Groupadd_<fully.qualified.domain.name>.ldf

      Kurtarma etki alanı denetleyicisi dışında herhangi bir etki alanı denetleyicisinde kullanıcıların silindiği etki alanı için .ldf dosyasını çalıştırın.

    5. Belirli bir etki alanı için Groupadd_<fully.qualified.domain.name.ldf> dosyasını içeri aktarmak için kullanılan her etki alanı denetleyicisinin konsolunda, grup üyeliği eklemelerini etki alanındaki diğer etki alanı denetleyicilerine ve ormandaki genel katalog etki alanı denetleyicilerine giden-çoğaltın. Bunu yapmak için aşağıdaki komutu kullanın:

      repadmin /syncall /d /e /P <recovery dc> <Naming Context>

  13. Giden çoğaltmayı devre dışı bırakmak için aşağıdaki metni yazın ve ENTER tuşuna basın:

    repadmin /options +DISABLE_OUTBOUND_REPL

    Not

    Giden çoğaltmayı yeniden etkinleştirmek için aşağıdaki metni yazın ve ENTER tuşuna basın:

    repadmin /options -DISABLE_OUTBOUND_REPL

  14. Dış etki alanlarındaki yerel gruplara silinen kullanıcılar eklendiyse, aşağıdaki eylemlerden birini gerçekleştirin:

    • Silinen kullanıcıları bu gruplara el ile geri ekleyin.
    • Sistem durumunu geri yükleyin ve silinen kullanıcıları içeren yerel güvenlik gruplarının her birini geri yükleyin.

  15. Kurtarma etki alanı denetleyicisinin etki alanında ve diğer etki alanlarındaki genel kataloglarda grup üyeliğini doğrulayın.

  16. Kurtarma etki alanı denetleyicisinin etki alanındaki etki alanı denetleyicileri için yeni bir sistem durumu yedeklemesi yapın.

  17. Tüm orman yöneticilerine, yönetici temsilcilerine, ormandaki yardım masası yöneticilerine ve etki alanındaki kullanıcılara kullanıcının geri yüklemesinin tamamlandığını bildirin.

    Yardım masası yöneticilerinin, geri yüklenen sistem yapıldıktan sonra etki alanı parolası değiştirilen kimlik doğrulaması geri yüklenen kullanıcı hesaplarının ve bilgisayar hesaplarının parolalarını sıfırlaması gerekebilir.

    Sistem durumu yedeklemesi yapıldıktan sonra parolalarını değiştiren kullanıcılar, en son parolalarının artık çalışmadığını fark eder. Bu tür kullanıcıların, tanıyorlarsa önceki parolalarını kullanarak oturum açmayı denemesini sağlayın. Aksi takdirde, yardım masası yöneticilerinin parolayı sıfırlaması ve kullanıcının sonraki oturum açmada parolayı değiştirmesi gerekir onay kutusunu seçmesi gerekir . Bunu tercihen kullanıcının bulunduğu Active Directory sitesindeki bir etki alanı denetleyicisinde yapın.

Yöntem 3 - Silinen kullanıcıları ve silinen kullanıcıların güvenlik gruplarını iki kez yetkili olarak geri yükleme

Bu yöntemi kullandığınızda aşağıdaki üst düzey adımları gerçekleştirirsiniz:

  1. Kullanıcının etki alanındaki genel kataloğun silme işleminde çoğaltılıp çoğaltılmamış olduğunu denetleyin. Ardından, etki alanı denetleyicisinin silme işlemini gelen-çoğaltmasını önleyin. Gizli bir genel katalog yoksa, silinen kullanıcının giriş etki alanındaki genel katalog etki alanı denetleyicisinin en güncel sistem durumu yedeklemesini bulun.
  2. Silinen tüm kullanıcı hesaplarını ve silinen kullanıcının etki alanındaki tüm güvenlik gruplarını yetkili olarak geri yükleyin.
  3. Geri yüklenen kullanıcıların ve güvenlik gruplarının silinen kullanıcının etki alanındaki tüm etki alanı denetleyicilerine ve ormanın genel katalog etki alanı denetleyicilerine uçtan uca çoğaltmasını bekleyin.
  4. Silinen kullanıcıları ve güvenlik gruplarını yetkili olarak geri yüklemek için 2. ve 3. adımları yineleyin. (Sistem durumunu yalnızca bir kez geri yüklersiniz.)
  5. Silinen kullanıcılar diğer etki alanlarındaki güvenlik gruplarının üyesiyse, silinen kullanıcıların bu etki alanlarında üyesi olduğu tüm güvenlik gruplarını yetkili olarak geri yükleyin. Veya sistem durumu yedeklemeleri geçerliyse, bu etki alanlarındaki tüm güvenlik gruplarını yetkili olarak geri yükleyin. Grup üyeliği bağlantılarını düzeltmek için güvenlik gruplarının geri yüklenmesi için, silinen grup üyelerinin geri yüklenmesi gerektiği gereksinimini karşılamak için, bu yöntemde her iki nesne türünü de iki kez geri yüklersiniz. İlk geri yükleme, tüm kullanıcı hesaplarını ve grup hesaplarını yerine koyar. İkinci geri yükleme, silinen grupları geri yükler ve iç içe grupların üyelik bilgileri de dahil olmak üzere grup üyeliği bilgilerini onarır.

Yöntem 3'i kullanmak için şu yordamı izleyin:

  1. Silinen kullanıcıların giriş etki alanında bir genel katalog etki alanı denetleyicisi olup olmadığını ve silme işleminin herhangi bir bölümünde çoğaltılıp çoğaltılmadığını denetleyin.

    Not

    Etki alanında en az sık çoğaltma zamanlamalarına sahip genel kataloglara odaklanın. Bu etki alanı denetleyicileri varsa, gelen çoğaltmayı hemen devre dışı bırakmak için Repadmin.exe komut satırı aracını kullanın. Bunu yapmak için şu adımları uygulayın:

    1. Başlat'ı ve ardından Çalıştır'ı seçin.
    2. kutusuna cmd yazıp Tamam'ı seçin.
    3. Komut istemine yazın repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL ve ENTER tuşuna basın.

    Not

    Repadmin komutunu hemen veremiyorsanız, gelen çoğaltmayı devre dışı bırakmak için Repadmin'i kullanana kadar etki alanı denetleyicisinden tüm ağ bağlantısını kaldırın ve ardından hemen ağ bağlantısını döndürin.

    Bu etki alanı denetleyicisi, kurtarma etki alanı denetleyicisi olarak adlandırılır.

  2. Tüm kurtarma adımları tamamlanana kadar aşağıdaki öğelerde ekleme, silme ve değişiklik yapmaktan kaçının. Değişiklikler etki alanı kullanıcıları, yardım masası yöneticileri ve silme işleminin gerçekleştiği etki alanındaki yöneticilerin parola sıfırlamalarını ve silinen kullanıcıların gruplarındaki grup üyeliği değişikliklerini içerir.

    1. Kullanıcı hesaplarında kullanıcı hesapları ve öznitelikler

    2. Bilgisayar hesaplarında bilgisayar hesapları ve öznitelikler

    3. Hizmet hesapları

    4. Güvenlik grupları

      Not

      Özellikle silme işleminin gerçekleştiği ormandaki kullanıcılar, bilgisayarlar, gruplar ve hizmet hesapları için grup üyeliğinde değişiklik yapmaktan kaçının.

    5. Geçici beklemedeki ormandaki tüm orman yöneticilerine, temsilci yöneticilere ve yardım masası yöneticilerine bildirimde bulunun. Tüm silinen kullanıcıların güvenlik gruplarını yetkili olarak geri yüklediğiniz için bu bekleme yöntemi 2'de gereklidir. Bu nedenle, sistem durumu yedekleme tarihinden sonra gruplarda yapılan tüm değişiklikler kaybolur.

  3. Silme işleminin gerçekleştiği etki alanında yeni bir sistem durumu yedeklemesi oluşturun. Değişikliklerinizi geri almak zorundaysanız bu yedeklemeyi kullanabilirsiniz.

    Not

    Sistem durumu yedeklemeleriniz silme işleminin gerçekleştiği zamana kadar geçerliyse, bu adımı atlayın ve 4. adıma geçin.

    1. adımda bir kurtarma etki alanı denetleyicisi belirlediyseniz sistem durumunu şimdi yedekleyin.

    Silme işleminin gerçekleştiği etki alanında bulunan tüm genel kataloglar silme işlemini yinelediyse, silme işleminin gerçekleştiği etki alanındaki genel kataloğun sistem durumunu yedekleyin.

    Bir yedekleme oluşturduğunuzda kurtarma etki alanı denetleyicisini geçerli durumuna geri döndürebilirsiniz. İlk denemeniz başarılı olmazsa kurtarma planınızı yeniden gerçekleştirin.

  4. Kullanıcı silme işleminin gerçekleştiği etki alanında gizli bir genel katalog etki alanı denetleyicisi bulamazsanız, bu etki alanındaki genel katalog etki alanı denetleyicisinin en son sistem durumu yedeklemesini bulun. Bu sistem durumu yedeklemesi silinen nesneleri içermelidir. Kurtarma etki alanı denetleyicisi olarak bu etki alanı denetleyicisini kullanın.

    Yalnızca kullanıcının etki alanındaki genel katalog etki alanı denetleyicilerinin veritabanları ormandaki dış etki alanları için grup üyeliği bilgilerini içerir. Kullanıcıların silindiği etki alanında bir genel katalog etki alanı denetleyicisinin sistem durumu yedeklemesi yoksa, genel veya evrensel grup üyeliğini belirlemek veya dış etki alanlarında üyeliği kurtarmak için geri yüklenen kullanıcı hesaplarında özniteliğini kullanamazsınız memberOf . Sonraki adıma geçin. Dış etki alanlarında grup üyeliğinin dış kaydı varsa, kullanıcı hesapları geri yüklendikten sonra geri yüklenen kullanıcıları bu etki alanlarındaki güvenlik gruplarına ekleyin.

  5. Çevrimdışı yönetici hesabının parolasını biliyorsanız kurtarma etki alanı denetleyicisini Disrepair modunda başlatın. Çevrimdışı yönetici hesabının parolasını bilmiyorsanız kurtarma etki alanı denetleyicisi hala normal Active Directory modundayken parolayı sıfırlayın.

    Çevrimiçi Active Directory modundayken Windows 2000 SP2 ve üzerini çalıştıran etki alanı denetleyicilerinde parolayı sıfırlamak için setpwd komut satırı aracını kullanabilirsiniz.

    Not

    Microsoft artık Windows 2000'i desteklememektedir.

    Windows Server 2003 ve sonraki etki alanı denetleyicilerinin yöneticileri, ntdsutil komut satırı aracındaki komutu kullanarak set dsrm password çevrimdışı yönetici hesabının parolasını sıfırlayabilir.

    Dizin Hizmetleri Geri Yükleme Modu yönetici hesabını sıfırlama hakkında daha fazla bilgi için bkz. Windows Server'da Dizin Hizmetleri Geri Yükleme Modu Yönetici Hesabı Parolasını Sıfırlama.

  6. Kurtarma etki alanı denetleyicisini Disrepair modunda başlatmak için başlangıç işlemi sırasında F8 tuşuna basın. Kurtarma etki alanı denetleyicisinin konsolunda çevrimdışı yönetici hesabıyla oturum açın. 5. adımda parolayı sıfırlarsanız yeni parolayı kullanın.

    Kurtarma etki alanı denetleyicisi gizli bir genel katalog etki alanı denetleyicisiyse sistem durumunu geri yüklemeyin. Doğrudan 7. adıma gidin.

    Kurtarma etki alanı denetleyicisini bir sistem durumu yedeklemesi kullanarak oluşturuyorsanız, silinen nesneleri içeren kurtarma etki alanı denetleyicisinde yapılan en güncel sistem durumu yedeklemesini şimdi geri yükleyin.

  7. Silinen kullanıcı hesaplarını, silinen bilgisayar hesaplarını veya silinen güvenlik gruplarını geri yükleyin.

    Not

    Kimlik doğrulaması geri yükleme ve yetkili geri yükleme terimleri, ntdsutil komut satırı aracında belirli nesnelerin veya belirli kapsayıcıların ve tüm alt nesnelerinin sürüm numaralarını artırmak için yetkili geri yükleme komutunu kullanma işlemine başvurur. Uçtan uca çoğaltma gerçekleşir gerçekleşmez, kurtarma etki alanı denetleyicisinin Active Directory'nin yerel kopyasındaki hedeflenen nesneler, bu bölümü paylaşan tüm etki alanı denetleyicilerinde yetkili hale gelir. Yetkili geri yükleme, sistem durumu geri yüklemesinden farklıdır. Sistem durumu geri yüklemesi, geri yüklenen etki alanı denetleyicisinin yerel Active Directory kopyasını sistem durumu yedeklemesinin yapıldığı sırada nesnelerin sürümleriyle doldurur.

    Yetkili geri yüklemeler, ntdsutil komut satırı aracıyla, silinen kullanıcıların veya silinen kullanıcıları barındıran kapsayıcıların etki alanı adı (dn) yoluna başvurarak gerçekleştirilir.

    Geri yüklemeyi doğruladığınızda, etki alanı ağacında olması gereken en düşük etki alanı adı yollarını kullanın. Amaç, silme işlemiyle ilgili olmayan nesneleri geri almaktan kaçınmaktır. Bu nesneler, sistem durumu yedeklemesi yapıldıktan sonra değiştirilmiş nesneleri içerebilir.

    Silinen kullanıcıları aşağıdaki sırayla geri yükleme kimlik doğrulaması yapın:

    1. Silinen her kullanıcı hesabı, bilgisayar hesabı veya silinen güvenlik grubu için etki alanı adı (dn) yolunu geri yükleyin.

      Belirli nesnelerin yetkili geri yüklemeleri daha uzun sürer, ancak bir alt ağacın tamamının yetkili geri yüklemelerinden daha az yıkıcıdır. Kimlik doğrulaması, silinen nesneleri tutan en düşük ortak üst kapsayıcıyı geri yükleyin.

      Ntdsutil aşağıdaki söz dizimini kullanır:

      ntdsutil "authoritative restore" "restore object <object DN path>" q q

      Örneğin, etki alanının Mayberry OU'sunda silinen John Doe kullanıcısını Contoso.com yetkili olarak geri yüklemek için aşağıdaki komutu kullanın:

      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q

      Etki alanının Mayberry OU'sunda Contoso.com silinen ContosoPrintAccess güvenlik grubunu yetkili olarak geri yüklemek için aşağıdaki komutu kullanın:

      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q

      Önemli

      Tırnak işaretleri kullanılması gerekir.

      Bu Ntdsutil biçimini kullanarak, toplu iş dosyasındaki veya betikteki birçok nesnenin yetkili geri yüklemesini de otomatikleştirebilirsiniz.

      Not

      Bu söz dizimi yalnızca Windows Server 2003 ve sonraki sürümlerde kullanılabilir. Windows 2000'de tek söz dizimi kullanmaktır: ntdsutil "authoritative restore" "restore subtree object DN path".

    2. Kimlik doğrulaması yalnızca silinen kullanıcı hesaplarını veya gruplarını barındıran OU veya Common-Name (CN) kapsayıcılarını geri yükleyin.

      Ntdsutil Yetkili geri yükleme komutu tarafından hedeflenen OU, yetkili olarak geri yüklemeye çalıştığınız nesnelerin çoğunu içerdiğinde, bir alt ağacın tamamının yetkili geri yüklemeleri geçerlidir. İdeal olarak, hedeflenen OU yetkili olarak geri yüklemeye çalıştığınız tüm nesneleri içerir.

      OU alt ağacına yapılan yetkili geri yükleme, kapsayıcıda bulunan tüm öznitelikleri ve nesneleri geri yükler. Sistem durumu yedeklemesinin geri yüklendiği zamana kadar yapılan tüm değişiklikler, yedekleme sırasında değerlerine geri alınır. Kullanıcı hesapları, bilgisayar hesapları ve güvenlik gruplarında bu geri alma, parolalarda, giriş dizininde, profil yolunda, konum ve iletişim bilgilerinde, grup üyeliğinde ve bu nesneler ve özniteliklerde tanımlanan tüm güvenlik tanımlayıcılarında yapılan en son değişikliklerin kaybedilmesi anlamına gelebilir.

      Ntdsutil aşağıdaki söz dizimini kullanır:

      ntdsutil "authoritative restore" "restore subtree <container DN path>" q q

      Örneğin, etki alanının Mayberry OU'sunu Contoso.com yetkili olarak geri yüklemek için aşağıdaki komutu kullanın:

      ntdsutil "authoritative restore" "restore subtree ou=Mayberry,dc=contoso,dc=com" q q

      Not

      Silinen kullanıcıları veya grupları barındıran her eş OU için bu adımı yineleyin.

      Önemli

      OU'nun bir alt nesnesini geri yüklerken, silinen alt nesnelerin tüm üst kapsayıcılarının açıkça kimlik doğrulaması geri yüklenmelidir.

  8. Kurtarma etki alanı denetleyicisini normal Active Directory modunda yeniden başlatın.

  9. Giden-kurtarma etki alanı denetleyicisinden yetkili olarak geri yüklenen nesneleri etki alanındaki ve ormandaki etki alanı denetleyicilerine çoğaltın.

    Kurtarma etki alanı denetleyicisine gelen çoğaltma devre dışı kalırken, yetkili olarak geri yüklenen nesneleri etki alanındaki tüm siteler arası çoğaltma etki alanı denetleyicilerine ve ormandaki genel kataloglara göndermek için aşağıdaki komutu yazın:

    repadmin /syncall /d /e /P <recovery dc> <Naming Context>

    Ormanın etki alanı ve genel katalog sunucularındaki tüm doğrudan ve geçişli etki alanı denetleyicileri yetkili olarak geri yüklenen kullanıcılara ve geri yüklenen kapsayıcılara çoğaltıldıktan sonra 11. adıma gidin.

    Aşağıdaki tüm deyimler doğruysa, grup üyeliği bağlantıları silinen kullanıcı hesaplarının geri yüklenmesiyle yeniden oluşturulur. 13. adıma gidin.

    • Ormanınız Windows Server 2003 ve üzeri orman işlev düzeyinde veya Windows Server 2003 ve üzeri ara orman işlev düzeyinde çalışıyor.
    • Yalnızca güvenlik grupları silinmedi.
    • Tüm silinen kullanıcılar ormandaki tüm etki alanlarındaki tüm güvenlik gruplarına eklendi.

    Geri yüklenen etki alanı denetleyicisinden kullanıcıların giden çoğaltmasını hızlandırmak için komutunu kullanmayı Repadmin göz önünde bulundurun.

    Gruplar da silinmişse veya Windows Server 2003 ve sonraki geçici veya orman işlev düzeyine geçtikten sonra tüm silinen kullanıcıların tüm güvenlik gruplarına eklendiğini garantilenemiyorsanız 12. adıma gidin.

  10. Sistem durumunu geri yüklemeden 7, 8 ve 9. adımları yineleyin ve 11. adıma geçin.

  11. Dış etki alanlarındaki yerel gruplara silinen kullanıcılar eklendiyse, aşağıdaki eylemlerden birini gerçekleştirin:

    • Silinen kullanıcıları bu gruplara el ile geri ekleyin.
    • Sistem durumunu geri yükleyin ve silinen kullanıcıları içeren yerel güvenlik gruplarının her birini geri yükleyin.

  12. Kurtarma etki alanı denetleyicisinin etki alanında ve diğer etki alanlarındaki genel kataloglarda grup üyeliğini doğrulayın.

  13. Kurtarma etki alanı denetleyicisine gelen çoğaltmayı etkinleştirmek için aşağıdaki komutu kullanın:

    repadmin /options recovery dc name -DISABLE_INBOUND_REPL

  14. Kurtarma etki alanı denetleyicisinin etki alanındaki etki alanı denetleyicilerinin yeni bir sistem durumu yedeğini ve ormandaki diğer etki alanlarındaki genel katalogları oluşturun.

  15. Tüm orman yöneticilerine, temsilci yöneticilere, ormandaki yardım masası yöneticilerine ve etki alanındaki kullanıcılara kullanıcının geri yüklemesinin tamamlandığını bildirin.

    Yardım masası yöneticilerinin, geri yüklenen sistem yapıldıktan sonra etki alanı parolası değiştirilen kimlik doğrulaması geri yüklenen kullanıcı hesaplarının ve bilgisayar hesaplarının parolalarını sıfırlaması gerekebilir.

    Sistem durumu yedeklemesi yapıldıktan sonra parolalarını değiştiren kullanıcılar, en son parolalarının artık çalışmadığını fark eder. Bu tür kullanıcıların, tanıyorlarsa önceki parolalarını kullanarak oturum açmayı denemesini sağlayın. Aksi takdirde, yardım masası yöneticilerinin parolayı sıfırlaması gerekir ve kullanıcı bir sonraki oturum açmada parolayı değiştirmelidir onay kutusu işaretlidir . Bunu tercihen kullanıcının bulunduğu Active Directory sitesindeki bir etki alanı denetleyicisinde yapın.

Geçerli bir sistem durumu yedeğiniz olmadığında etki alanı denetleyicisinde silinen kullanıcıları kurtarma

Kullanıcı hesaplarının veya güvenlik gruplarının silindiği bir etki alanında geçerli sistem durumu yedeklemeleri yoksa ve silme işlemi Windows Server 2003 ve üzeri etki alanı denetleyicilerini içeren etki alanlarında gerçekleştiyse, silinen nesneleri silinen nesneler kapsayıcısından el ile yeniden canlandırmak için şu adımları izleyin:

  1. Silinen kullanıcıları, bilgisayarları, grupları veya bunların tümünü yeniden canlandırmak için aşağıdaki bölümdeki adımları izleyin:
    Silinen nesneler kapsayıcısında nesneleri el ile silme
  2. Hesabı devre dışı olandan etkin olarak değiştirmek için Active Directory Kullanıcıları ve Bilgisayarları kullanın. (Hesap özgün OU'da görünür.)
  3. Parolada toplu sıfırlama gerçekleştirmek için Active Directory Kullanıcıları ve Bilgisayarları Windows Server 2003 ve sonraki sürümlerinde toplu sıfırlama özelliklerini kullanın. Parolanın sonraki oturum açma ilkesi ayarında, giriş dizininde, profil yolunda ve silinen hesabın grup üyeliğinde gerektiği gibi değişmesi gerekir. Bu özelliklerin program aracılığıyla eşdeğerini de kullanabilirsiniz.
  4. Microsoft Exchange 2000 veya üzeri kullanıldıysa, silinen kullanıcının Exchange posta kutusunu onarın.
  5. Exchange 2000 veya üzeri kullanıldıysa, silinen kullanıcıyı Exchange posta kutusuyla yeniden ilişkilendirin.
  6. Kurtarılan kullanıcının oturum açabildiğini ve yerel dizinlere, paylaşılan dizinlere ve dosyalara erişebildiğini doğrulayın.

Aşağıdaki yöntemleri kullanarak bu kurtarma adımlarının bazılarını veya tümünü otomatikleştirebilirsiniz:

  • 1. adımda listelenen el ile kurtarma adımlarını otomatik hale getiren bir betik yazın. Böyle bir betik yazarken, silinen nesnenin kapsamını tarihe, saate ve bilinen son üst kapsayıcıya göre belirlemeyi ve ardından silinen nesnenin yeniden canlandırılmasını otomatikleştirmeyi göz önünde bulundurun. Yeniden gösterimi otomatikleştirmek için, özniteliği TRUE olan FALSE olarak değiştirin isDeleted ve göreli ayırt edici adı, öznitelikte lastKnownParent veya yönetici tarafından belirtilen yeni bir OU veya ortak ad (CN) kapsayıcısında tanımlanan değerle değiştirin. (Göreli ayırt edici ad RDN olarak da bilinir.)
  • Windows Server 2003 ve üzeri etki alanı denetleyicilerinde silinen nesnelerin yeniden animasyonunu destekleyen Microsoft dışı bir program edinin. Bu tür yardımcı programlardan biri AdRestore'dur. AdRestore, nesneleri ayrı ayrı geri almak için Windows Server 2003 ve üzeri ilkelleri geri alır. Aelita Software Corporation ve Commvault Systems, Windows Server 2003 ve sonraki tabanlı etki alanı denetleyicilerinde istenmeyen işlevleri destekleyen ürünler de sunar.

AdRestore'a ulaşmak için bkz. AdRestore v1.1.

Microsoft, teknik destek bulmanıza yardımcı olmak üzere üçüncü taraf iletişim bilgilerini sağlamaktadır. Bu iletişim bilgileri önceden haber verilmeksizin değiştirilebilir. Microsoft, bu üçüncü taraf iletişim bilgilerinin doğruluğunu garanti etmez.

Silinen bir nesnenin kapsayıcısında nesneleri el ile silme

Silinen bir nesnenin kapsayıcısında nesneleri el ile geri almak için şu adımları izleyin:

  1. Başlat'ı seçin, Çalıştır'ı seçin ve ldp.exeyazın.

    ldp.exe kullanılabilir:

    • Etki Alanı Denetleyicisi rolünün yüklü olduğu bilgisayarlarda.
    • Uzak Sunucu Yönetim Araçları'nın (RSAT) yüklü olduğu bilgisayarlarda.

  2. Windows Server 2003 ve sonraki bir etki alanı denetleyicisine bağlanma işlemlerini ve bağlama işlemlerini gerçekleştirmek için Ldp'deki Bağlantı menüsünü kullanın.

    Bağlama işlemi sırasında etki alanı yöneticisi kimlik bilgilerini belirtin.

  3. Seçenekler menüsünde Denetimler'i seçin.

  4. Önceden Tanımlanmış Yükle listesinde Silinmiş Nesneleri Döndür'e tıklayın.

    Not

    1.2.840.113556.1.4.417 denetimi Etkin Denetimler penceresine taşınır.

  5. Denetim Türü'nin altında Sunucu'ya ve ardından Tamam'a tıklayın.

  6. Görünüm menüsünde Ağaç'ı seçin, silme işleminin gerçekleştiği etki alanında silinen nesneler kapsayıcısının ayırt edici ad yolunu yazın ve ardından Tamam'ı seçin.

    Not

    Ayırt edici ad yolu, DN yolu olarak da bilinir. Örneğin, silme işlemi etki alanında contoso.com gerçekleştirildiyse DN yolu aşağıdaki yol olabilir:
    cn=deleted Objects,dc=contoso,dc=com

  7. Pencerenin sol bölmesinde Silinmiş Nesne Kapsayıcısı'na çift tıklayın.

    Not

    Idap sorgusunun arama sonucu olarak varsayılan olarak yalnızca 1000 nesne döndürülür. Fot örneği, Silinmiş Nesneler kapsayıcısında 1000'den fazla nesne varsa, tüm nesneler bu kapsayıcıda görünmez. Hedef nesneniz görünmüyorsa ntdsutil kullanın ve arama sonuçlarını almak için maxpagesize kullanarak maksimum sayıyı ayarlayın.

  8. Geri almak veya yeniden canlandırmak istediğiniz nesneye çift tıklayın.

  9. Yeniden canlandırmak istediğiniz nesneye sağ tıklayın ve değiştir'i seçin.

    Tek bir Basit Dizin Erişim Protokolü (LDAP) değiştirme işleminde özniteliğin ve DN yolunun değerini isDeleted değiştirin. Değiştir iletişim kutusunu yapılandırmak için şu adımları izleyin:

    1. Girdi Özniteliğini Düzenle kutusuna isDeleted yazın. Değer kutusunu boş bırakın.

    2. Sil seçeneği düğmesini ve ardından Giriş Listesi iletişim kutusundaki iki girdiden ilkini yapmak için Enter'ı seçin.

      Önemli

      Çalıştır'ı seçmeyin.

    3. Öznitelik kutusuna distinguishedName yazın.

    4. Değerler kutusuna, yeniden boyutlandırılan nesnenin yeni DN yolunu yazın.

      Örneğin, JohnDoe kullanıcı hesabını Mayberry OU'ya yeniden eklemek için şu DN yolunu kullanın: cn= JohnDoe,ou= Mayberry,dc= contoso,dc= com

      Not

      Silinen bir nesneyi özgün kapsayıcısına yeniden canlandırmak istiyorsanız, silinen nesnenin lastKnownParent özniteliğinin değerini CN değerine ekleyin ve ardından tam DN yolunu Değerler kutusuna yapıştırın.

    5. İşlem kutusunda DEĞİşTİr'i seçin.

    6. ENTER'ı seçin.

    7. Zaman Uyumlu onay kutusunu seçin.

    8. Genişletilmiş onay kutusunu seçin.

    9. ÇALıŞTıR'ı seçin.

  10. Nesnelere yeniden animasyon ekledikten sonra, Seçenekler menüsünde Denetimler'i seçin, Etkin Denetimler kutu listesinden kaldırmak için Kullanıma Alın düğmesini (1.2.840.113556.1.4.417) seçin.

  11. Silinen kullanıcılar için kullanıcı hesabı parolalarını, profillerini, giriş dizinlerini ve grup üyeliklerini sıfırlayın.

    Nesne silindiğinde , , ObjectGUIDLastKnownParentve SAMAccountName dışındaki SIDtüm öznitelik değerleri kaldırılmıştır.

  12. Active Directory Kullanıcıları ve Bilgisayarları'de yeniden hesap etkinleştirin.

    Not

    Yeniden sağlanan nesne, silme işleminden önce sahip olduğu birincil SID'ye sahiptir, ancak kaynaklara aynı erişim düzeyine sahip olmak için nesnenin aynı güvenlik gruplarına yeniden eklenmesi gerekir. Windows Server 2003 ve sonraki sürümlerin sIDHistory ilk sürümü, yeniden animasyona sahip kullanıcı hesaplarında, bilgisayar hesaplarında ve güvenlik gruplarında özniteliğini korumaz. Service Pack 1 ile Windows Server 2003 ve üzeri, silinen nesnelerdeki sIDHistory özniteliğini korur.

  13. Microsoft Exchange özniteliklerini kaldırın ve kullanıcıyı Exchange posta kutusuna yeniden bağlayın.

    Not

    Silinen nesnelerin yeniden kullanılması, silme işlemi Windows Server 2003 ve sonraki bir etki alanı denetleyicisinde gerçekleştiğinde desteklenir. Silinen nesnelerin yeniden kullanılması, silme işlemi daha sonra Windows Server 2003 ve sonraki sürümlere yükseltilen bir Windows 2000 etki alanı denetleyicisinde gerçekleştiğinde desteklenmez.

    Not

    Silme işlemi etki alanındaki bir Windows 2000 etki alanı denetleyicisinde gerçekleşirse, lastParentOf öznitelik Windows Server 2003 ve üzeri etki alanı denetleyicilerinde doldurulamaz.

Silme işleminin ne zaman ve nerede gerçekleştiğini belirleme

Toplu silme nedeniyle kullanıcılar silindiğinde silme işleminin nereden kaynaklandığını öğrenmek isteyebilirsiniz. Bunu yapmak için şu adımları uygulayın:

  1. Silinen güvenlik sorumlularını bulmak için, silinen bir nesnenin kapsayıcısında nesneleri el ile silme bölümündeki 1 ile 7. adımları izleyin. Bir ağaç silindiyse, silinen nesnenin üst kapsayıcısını bulmak için bu adımları izleyin.

  2. özniteliğinin objectGUID değerini Windows panosuna kopyalayın. 4. adımda komutu girdiğinizde Repadmin bu değeri yapıştırabilirsiniz.

  3. Komut satırında aşağıdaki komutu çalıştırın:

    repadmin /showmeta GUID=<objectGUID> <FQDN>

    Örneğin, objectGUID silinen nesnenin veya kapsayıcının 791273b2-eba7-4285-a117-aa804ea76e95 ve tam etki alanı adı (FQDN) ise dc.contoso.com, aşağıdaki komutu çalıştırın:

    repadmin /showmeta GUID=791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com

    Bu komutun söz dizimi, silinen nesnenin veya kapsayıcının GUID'sini ve kaynak olarak kaynak olarak kullanmak istediğiniz sunucunun FQDN'sini içermelidir.

  4. Komut çıkışında Repadmin özniteliğin başlangıç tarihini, saatini ve etki alanı denetleyicisini isDeleted bulun. Örneğin, özniteliğine ilişkin isDeleted bilgiler aşağıdaki örnek çıkışın beşinci satırında görünür:

    Loc.USN Kaynak DC Org.USN Org.Saat/Tarih Ver Öznitelik
    134759 Default-First-Site-Name\NA-DC1 134759 Datetime 1 Objectclass
    134760 Default-First-Site-Name\NA-DC1 134760 Datetime 2 Ou
    134759 Default-First-Site-Name\NA-DC1 134759 Datetime 1 instanceType
    134759 Default-First-Site-Name\NA-DC1 134759 Datetime 1 whenCreated
    134760 Default-First-Site-Name\NA-DC1 134760 Datetime 1 ısdeleted
    134759 Default-First-Site-Name\NA-DC1 134759 Datetime 1 nTSecurityDescriptor
    134760 Default-First-Site-Name\NA-DC1 134760 Datetime 2 Adı
    134760 Default-First-Site-Name\NA-DC1 134760 Datetime 1 lastKnownParent
    134760 Default-First-Site-Name\NA-DC1 134760 Datetime 2 objectCategory

  5. Kaynak etki alanı denetleyicisinin adı 32 karakterli bir alfasayısal GUID olarak görünüyorsa, PING komutunu kullanarak GUID'yi IP adresine ve silme işleminin kaynağı olan etki alanı denetleyicisinin adını çözümleyin. Ping komutu aşağıdaki söz dizimini kullanır:

    ping -a <originating DC GUID>._msdomain controllers.<fully qualified path for forest root domain>

    Not

    -a seçeneği büyük/küçük harfe duyarlıdır. Kaynak etki alanı denetleyicisinin bulunduğu etki alanına bakılmaksızın orman kök etki alanının tam etki alanı adını kullanın.

    Örneğin, kaynak etki alanı denetleyicisi ormandaki herhangi bir etki alanında Contoso.com bulunuyorsa ve GUID değeri 644eb7e7-1566-4f29-a778-4b487637564b ise, aşağıdaki komutu çalıştırın:

    ping -a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com

    Bu komut tarafından döndürülen çıkış aşağıdakine benzer:

    Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:

Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
Reply from 65.53.65.101: bytes=32 time<1ms TTL=128

Gelecekte toplu silme işlemlerinin etkisini en aza indirme

Kullanıcıların, bilgisayarların ve güvenlik gruplarının toplu silinmesinin etkisini en aza indirmek için anahtarlar şunlardır:

  • Güncel sistem durumu yedeklemelerine sahip olduğunuzdan emin olun.
  • Ayrıcalıklı kullanıcı hesaplarına erişimi sıkı bir şekilde denetleme.
  • Bu hesapların neler yapabileceğini sıkı bir şekilde kontrol edin.
  • Toplu silme işlemlerinden kurtarma alıştırması yapın.

Sistem durumu değişiklikleri her gün gerçekleşir. Bu değişiklikler şunları içerebilir:

  • Kullanıcı hesaplarında ve bilgisayar hesaplarında parola sıfırlamaları
  • Grup üyeliği değişiklikleri
  • Kullanıcı hesaplarında, bilgisayar hesaplarında ve güvenlik gruplarında yapılan diğer öznitelik değişiklikleri.

Donanımınız veya yazılımınız başarısız olursa veya siteniz başka bir olağanüstü durumla karşılaşırsa, ormandaki her Active Directory etki alanı ve sitesinde yapılan her önemli değişiklik kümesinden sonra yapılan yedeklemeleri geri yüklemek istersiniz. Geçerli yedeklemeleri korumazsanız, verileri kaybedebilir veya geri yüklenen nesneleri geri almak zorunda olabilirsiniz.

Microsoft, toplu silmeleri önlemek için aşağıdaki adımları gerçekleştirmenizi önerir:

  1. Yerleşik yönetici hesaplarının parolasını paylaşmayın veya ortak yönetici kullanıcı hesaplarının paylaşılmasına izin verme. Yerleşik yönetici hesabının parolası biliniyorsa, parolayı değiştirin ve kullanımını engelleyen bir iç işlem tanımlayın. Paylaşılan kullanıcı hesapları için denetim olayları, Active Directory'de değişiklik yapan kullanıcının kimliğinin belirlenmesini imkansız hale getirir. Bu nedenle, paylaşılan kullanıcı hesaplarının kullanımı önerilmez.

  2. Kullanıcı hesaplarının, bilgisayar hesaplarının ve güvenlik gruplarının kasıtlı olarak silinmesi nadirdir. Bu özellikle ağaç silme işlemleri için geçerlidir. Hizmet ve yönetici temsilcilerinin kullanıcı hesaplarını, bilgisayar hesaplarını, güvenlik gruplarını, OU kapsayıcılarını ve özniteliklerini oluşturma ve yönetme özelliğinden bu nesneleri silme olanağını kaldırın. Yalnızca en ayrıcalıklı kullanıcı hesaplarına veya güvenlik gruplarına ağaç silme işlemi gerçekleştirme hakkı verin. Bu ayrıcalıklı kullanıcı hesapları kuruluş yöneticilerini içerebilir.

  3. Temsilci yöneticilere yalnızca bu yöneticilerin yönetmesine izin verilen nesne sınıfına erişim izni verin. Örneğin, yardım masası yöneticisinin birincil işi kullanıcı hesaplarında özellikleri değiştirmektir. Bilgisayar hesaplarını, güvenlik gruplarını veya OU kapsayıcılarını oluşturma ve silme izni yok. Bu kısıtlama, diğer belirli nesne sınıflarının yöneticileri için silme izinleri için de geçerlidir.

  4. Laboratuvar etki alanındaki silme işlemlerini izlemek için denetim ayarlarıyla denemeler yapın. Sonuçlardan memnun olduktan sonra en iyi çözümünüzü üretim etki alanına uygulayın.

  5. On binlerce nesneyi barındıran kapsayıcılarda toplu erişim denetimi ve denetim değişiklikleri, Özellikle Windows 2000 etki alanlarında Active Directory veritabanının önemli ölçüde büyümesine neden olabilir. Boş disk alanında olası değişiklikleri değerlendirmek için üretim etki alanını yansıtan bir test etki alanı kullanın. Boş disk alanı için Ntds.dit dosyalarını barındıran sabit disk sürücüsü birimlerini ve üretim etki alanındaki etki alanı denetleyicilerinin günlük dosyalarını denetleyin. Etki alanı ağ denetleyicisi başlığında erişim denetimi ve denetim değişikliklerini ayarlamaktan kaçının. Bu değişikliklerin yapılması, bölümdeki tüm kapsayıcılardaki tüm sınıfların tüm nesnelerine gerek duymadan geçerli olur. Örneğin, etki alanı bölümünün CN=SYSTEM klasöründe Etki Alanı Adı Sistemi 'nde (DNS) ve dağıtılmış bağlantı izleme (DLT) kaydı kaydında değişiklik yapmaktan kaçının.

  6. Kullanıcı hesaplarını, bilgisayar hesaplarını, güvenlik gruplarını ve hizmet hesaplarını kendi kuruluş birimlerinde ayırmak için en iyi yöntem OU yapısını kullanın. Bu yapıyı kullandığınızda, temsilci yönetimi için tek bir sınıfın nesnelerine isteğe bağlı erişim denetim listeleri (DACL' ler) uygulayabilirsiniz. Ayrıca nesnelerin geri yüklenmesi gerekiyorsa nesne sınıfına göre geri yüklenmesini de mümkün hale getirirsiniz. En iyi yöntem OU yapısı, aşağıdaki makalenin Kuruluş Birimi Tasarımı Oluşturma bölümünde ele alınmalıdır:
    Windows Ağlarını Yönetmek için En İyi Uygulama Active Directory Tasarımı

  7. Toplu silmeleri üretim etki alanınızı yansıtan bir laboratuvar ortamında test edin. Sizin için anlamlı olan kurtarma yöntemini seçin ve kuruluşunuzda özelleştirin. Şunu tanımlamak isteyebilirsiniz:

    • Düzenli olarak yedeklenen her etki alanındaki etki alanı denetleyicilerinin adları
    • Yedekleme görüntülerinin depolandığı yer
      İdeal olan, bu görüntülerin ormandaki her etki alanındaki genel kataloğa yerel bir sabit diskte depolanmasıdır.
    • Yardım masası kuruluşunun hangi üyeleriyle iletişim kurulacak?
    • Bu iletişim kurmanın en iyi yolu

  8. Kullanıcı hesaplarının, bilgisayar hesaplarının ve Microsoft'un gördüğü güvenlik gruplarının toplu silmelerinin çoğu yanlışlıkla gerçekleştirilir. Bu senaryo hakkında BT personelinizle görüşün ve bir iç eylem planı geliştirin. Erken algılamaya odaklanın. Ayrıca, işlevselliği etki alanı kullanıcılarınıza ve işletmenize mümkün olan en kısa sürede geri gönderin. Kuruluş birimlerinin erişim denetim listelerini (ACL' ler) düzenleyerek yanlışlıkla toplu silmelerin oluşmasını önlemek için de adımlar atabilirsiniz.

    Yanlışlıkla toplu silmeleri önlemek için Windows arabirim araçlarını kullanma hakkında daha fazla bilgi için bkz. Active Directory'de Yanlışlıkla Toplu Silmelere Karşı Koruma.

Toplu silme işlemlerinden kurtarmanıza yardımcı olabilecek araçlar ve betikler

Groupadd.exe komut satırı yardımcı programı, OU'daki bir kullanıcı koleksiyonundaki özniteliği okur memberOf ve geri yüklenen her kullanıcı hesabını ormandaki her etki alanındaki güvenlik gruplarına ekleyen bir .ldf dosyası oluşturur.

Groupadd.exe, kullanıcıların üyesi olduğu etki alanlarını ve güvenlik gruplarını otomatik olarak bulur ve bunları bu gruplara geri ekler. Bu işlem, yöntem 1'in 11. adımında daha ayrıntılı olarak açıklanmıştır.

Groupadd.exe Windows Server 2003 ve üzeri etki alanı denetleyicilerinde çalışır.

Groupadd.exe aşağıdaki söz dizimini kullanır:

groupadd / after_restore ldf_file [/ before_restore ldf_file ]

Burada, ldf_file önceki bağımsız değişkenle kullanılacak .ldf dosyasının adını, after_restore kullanıcı dosyası veri kaynağını ve before_restore üretim ortamındaki kullanıcı verilerini temsil eder. (Kullanıcı dosyası veri kaynağı iyi kullanıcı verileridir.)

Groupadd.exe edinmek için Microsoft Ürün Destek Hizmetleri'ne başvurun.

Bu makalede adı geçen üçüncü taraf ürünleri Microsoft'tan bağımsız şirketler tarafından üretilmektedir. Microsoft, bu ürünlerin performansı veya güvenilirliği ile ilgili örtük veya başka türlü hiçbir garanti vermez.

Başvurular

Windows Server 2008 R2'de bulunan AD Geri Dönüşüm Kutusu özelliğini kullanma hakkında daha fazla bilgi için bkz. Active Directory Geri Dönüşüm Kutusu Adım Adım Kılavuzu.