Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Khôi phục thẩm quyền của các nhóm có thể gây ra không phù hợp thành viên thông tin trên toàn bộ kiểm soát miền

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:280079
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
TRIỆU CHỨNG
Sau khi bạn thực hiện một khôi phục thẩm quyền của người sử dụng và các nhóm, các thành viên trong nhóm được phục hồi có thể không phù hợp trên tên miền bộ điều khiển.

Nếu nhóm là có sản phẩm nào trên vùng phục hồi bộ điều khiển, nhưng có dân cư trên bộ kiểm soát miền bản sao, sau đó khi một người sử dụng sẽ được thêm vào các nhóm về bộ điều khiển vùng phục hồi, người dùng được gỡ bỏ từ nhóm trên bộ điều khiển vùng bản sao.

Hành vi tương tự có thể xảy ra với các thuộc tính ManagedBy, có thể có sản phẩm nào sau khi một thẩm quyền Khôi phục.

Để có thêm thông tin về những loại của các vấn đề, bấm số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
840001Làm thế nào để khôi phục lại xóa tài khoản người dùng và các thành viên nhóm trong Active Directory


Chú ý Bài viết KB 840001 thay thế bài viết này.
NGUYÊN NHÂN
Vấn đề này có thể xảy ra vì nhóm thành viên được lưu như các Thành viên thuộc tính vào đối tượng nhóm. Khi một hiệu trưởng an ninh (người sử dụng, nhóm, hoặc máy tính) sẽ được thêm vào một nhóm, một backlink sẽ được thêm vào các MemberOf thuộc tính vào đối tượng của hiệu trưởng. Trong một thẩm quyền Khôi phục, nếu đối tượng của nhóm là phục hồi trước khi đối tượng người dùng, sau đó hoạt động Loại bỏ thư mục giá trị từ các Thành viên thuộc tính vào nhóm vì người dùng không tồn tại mà có một phù hợp với backlink.

Sau khi khôi phục thẩm quyền, các phiên bản thông tin về các Thành viên thuộc tính của các nhóm đã khôi phục là phù hợp trên mỗi tên miền bộ điều khiển, ngay cả khi các giá trị thuộc tính đó không phải là. Bất cứ khi nào các thành viên của nhóm lần, số phiên bản incremented, và các nội dung của nhóm đó được nhân rộng ra cho tất cả các bộ điều khiển vùng. Nếu nhóm lần trên một bộ điều khiển tên miền có một thành viên nhóm hợp lệ, sau đó các nội dung hoàn toàn của nhóm được nhân rộng, và dữ liệu sẽ không bị mất. Tuy nhiên, nếu nhóm lần trên bộ điều khiển tên miền được phục hồi, sau đó chỉ thêm người dùng được nhân rộng, và người dùng được gỡ bỏ khỏi nhóm vào các bộ điều khiển vùng bản sao.

Chú ý Vấn đề này có thể xảy ra ngay cả khi những người sử dụng được authoritatively khôi phục và các nhóm không. Nếu một khôi phục trạng thái hệ thống được thực hiện và chỉ có người dùng được đánh dấu là có thẩm quyền, thành viên nhóm của họ sẽ được khôi phục vào bộ điều khiển tên miền khôi phục đã được thực hiện trên (bởi vì các liên kết về phía trước trong nhóm các đối tượng sẽ đã được khôi phục trong trạng thái hệ thống khôi phục). Nếu các thành viên của các nhóm đã không thay đổi kể từ khi sao lưu trạng thái hệ thống đã được thực hiện, không có sao chép cho các nhóm sẽ được thực hiện sau khi khôi phục. Kết quả là thành viên nhóm không phù hợp giữa điều khiển vùng. Thay đổi các thành viên nhóm trên một bộ điều khiển tên miền sẽ nhân rộng các nội dung hiện tại của nhóm đó ngày mà điều khiển vùng để các bộ điều khiển tên miền khác.
GIẢI PHÁP
Cảnh báo: Đọc các thông tin sau một cách cẩn thận trước khi bạn thực hiện các thủ tục được mô tả trong phần này. Thông tin người dùng và nhóm có thể irretrievably bị mất nếu bạn không thực hiện theo quy trình này chính xác. Hãy nhớ để thực hiện và xác minh một tệp sao lưu của thư mục hoạt động trên tên miền có thẩm quyền điều khiển trước khi bạn tiến hành.

Để giải quyết vấn đề này, tất cả an ninh các đối tượng chính (người sử dụng, các nhóm, và máy tính) phải authoritatively Khôi phục và nhân rộng ra cho tất cả các bộ điều khiển vùng, và sau đó tất cả nhóm các đối tượng phải được authoritatively khôi phục và nhân rộng ra tất cả miền bộ điều khiển một lần nữa. Khi bạn sử dụng thủ tục này, tất cả các tiềm năng nhóm thành viên (người sử dụng, các nhóm, và máy tính) có trong cơ sở dữ liệu trước khi khôi phục thứ hai, và backlinks được duy trì.

Khi bạn authoritatively khôi phục trương mục người dùng và các thành viên nhóm của họ, tìm thấy điều khiển vùng với thông tin đầy đủ để được đánh dấu như có thẩm quyền, và sau đó ngắt kết nối mà điều khiển vùng từ mạng. Hệ phục vụ này trở thành các thẩm quyền điều khiển vùng.

Để giải quyết vấn đề này:
 1. Thực hiện một sao lưu đầy đủ của nhà máy tính sao lưu này bản sao có thẩm quyền của Active Directory trong trường hợp một lỗi xảy ra trong thời gian này thủ tục.
 2. Vô hiệu hóa cả hai bên trong trang web và inter-site thế hệ tô pô.Để thêm thông tin về cách vô hiệu hóa Intra-site và tô pô inter-site, bấm vào số bài viết dưới đây để xem các bài viết trong cơ sở kiến thức Microsoft:
  242780 Làm thế nào để vô hiệu hóa các kiến thức nhất quán Checker từ tự động tạo ra nhân rộng tô pô
 3. Bắt đầu hoạt động thư mục các trang web và dịch vụ snap-in, và sau đó xóa tất cả các đối tượng kết nối dưới đối tượng NTDS cài đặt cho các điều khiển vùng có thẩm quyền.

  Khi bạn hoàn thành bước này, các điều khiển vùng ngăn không cho sao chép bất kỳ thay đổi trong thời gian này thủ tục. Các đối tác nhân rộng của bộ điều khiển tên miền thẩm quyền vẫn còn có các đối tượng kết nối điểm đến máy chủ đó cho phép họ để kéo dữ liệu độc quyền từ hệ phục vụ.
 4. Khởi động lại máy tính vào chế độ phục hồi thư mục hoạt động.
 5. Authoritatively khôi phục tài khoản yêu cầu mỗi cá nhân. Ví dụ, để khôi phục lại trương mục người dùng của James Smith trong kế toán đơn vị tổ chức tại NWTRADERS.MSFT, sử dụng cú pháp sau:
  Khôi phục thẩm quyền: khôi phục subtree "cn = James Smith, ou = kế toán, dc = nwtraders, dc = msft "
  Chú ý: Bởi vì các công cụ Ntdsutil có thể được scripted, bạn có thể tạo ra một danh sách các tài khoản người dùng được khôi phục và sau đó vượt qua đó cho script của bạn. Một kịch bản mẫu được mô tả trong phần "Thông tin thêm" bài viết này.

  Bạn cũng có thể khôi phục lại một OU toàn bộ ở đây nếu nó chủ yếu chứa người sử dụng và các nhóm.
 6. Khởi động lại máy tính vào chế độ bình thường.
 7. Cho phép người sử dụng phục hồi để nhân rộng bình thường.

  Để buộc các đối tác để nhân rộng từ bộ điều khiển tên miền có thẩm quyền, sử dụng công cụ ReplMon, hoặc hoạt động thư mục các trang web và dịch vụ snap-in.
 8. Khi những người sử dụng được nhân rộng để tất cả các bộ điều khiển vùng, khởi động lại máy tính vào chế độ phục hồi thư mục hoạt động.
 9. Authoritatively khôi phục mỗi tài khoản nhóm chứa các đối tượng trước đó được phục hồi. Ví dụ, để khôi phục lại các quản trị Web nhóm trong các đơn vị tổ chức ITG trong NWTRADERS.MSFT, sử dụng sau đây cú pháp:
  Khôi phục thẩm quyền: khôi phục subtree "cn = Web Người quản trị, ou = ITG, dc = nwtraders, dc = msft "
  Chú ý: Bởi vì các công cụ Ntdsutil có thể được scripted, bạn có thể tạo ra một danh sách các nhóm để được phục hồi và sau đó vượt qua đó cho script của bạn. Một mẫu kịch bản được mô tả trong phần "Thông tin thêm" bài viết này.
 10. Khởi động lại máy tính vào chế độ bình thường.
 11. Cho phép các nhóm được phục hồi để nhân rộng bình thường.

  Để buộc các đối tác để nhân rộng từ bộ điều khiển tên miền có thẩm quyền, sử dụng công cụ ReplMon, hoặc hoạt động thư mục các trang web và dịch vụ snap-in.
 12. Hoàn tác các thay đổi trên trang web đối tượng mà bạn đã thực hiện trong bước hai trong số thủ tục này.
TÌNH TRẠNG
Microsoft đã xác nhận rằng đây là một vấn đề trong các sản phẩm của Microsoft được liệt kê trong phần "Áp dụng cho".
THÔNG TIN THÊM
Sau khi các tên miền có thẩm quyền điều khiển đã chưa cắm phít được từ mạng, bạn có thể chạy đoạn mã sau đây trước khi các máy tính được khởi động vào chế độ phục hồi thư mục hoạt động để có được danh sách người dùng:
List.vbs--------Set strOU = GetObject("LDAP://localhost/ou=layer two,ou=layer one,ou=test,dc=i,dc=j,dc=com")strOU.Filter = Array("user")For Each Member in strOU  Wscript.Echo Chr(92) & Chr(34) & member.distinguishedname & Chr(92) & Chr(34)Next					
Chú ý: Hãy chắc chắn rằng bạn thay đổi con đường đơn vị tổ chức trong các dòng đầu tiên để trỏ đến đường dẫn có chứa các nhóm và người dùng được Khôi phục. Ngoài ra, bạn có thể sử dụng này cùng một kịch bản để tạo ra một danh sách của một trong hai người dùng hoặc các nhóm.

Danh sách các nhóm, thay đổi bộ lọc trong dòng thứ hai để:
oU.Filter=Array("group")					
Chạy kịch bản này và nhận được đầu ra vào một văn bản tập tin, gõ lệnh sau tại dấu nhắc lệnh (chạy câu lệnh này các cùng một thư mục như kịch bản):
cscript //nologo list.vbs > users.txt
Sau khi bạn đã tạo ra danh sách người dùng và danh sách các nhóm, bạn có thể sử dụng Ntdsutil để authoritatively khôi phục mỗi mục:
Authrest.cmd------------@echo offntdsutil "popups off" "authoritative restore" "restore subtree %1" quit quit					
Chạy kịch bản này cho mỗi mục trong danh sách người dùng hay nhóm, sử dụng các cho lệnh để đọc các mục nhập trong danh sách và vượt qua nó cho những đợt tập tin mô tả trước đó. Gõ lệnh sau tại dòng lệnh (tạo những tập tin trong thư mục tương tự như các tập tin văn bản hai mà bạn tạo ra trước đó):
cho /f "thẻ = *" %i trong (users.txt) làm authrest %i
Lệnh này vòng qua mỗi dòng của tập tin văn bản và authoritatively khôi phục người dùng.

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 280079 - Xem lại Lần cuối: 12/05/2015 22:53:05 - Bản sửa đổi: 2.0

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Server, Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition

 • kbnosurvey kbarchive kbprb kbmt KB280079 KbMtvi
Phản hồi