Active Directoryオブジェクトの回復：スクリプトコレクション

間違いなく、多くの人がこのような問題に繰り返し遭遇しています-ユーザーアカウントが削除されました。 アカウントの回復に関する多くの記事があり、おそらく最高のものはMicrosoftによって書かれていますが、それらはすべて可視性に欠けています。 アカウントを復元する手順を簡単な手順に減らすことで、この欠点を克服しようとします。
ご存じのように、オブジェクトはさまざまな方法で復元できます。それぞれが特定の状況に最適です。
この場合、廃棄オブジェクトからの回復が望ましいです。 これにはいくつかの理由があります。

• ドメインコントローラーをオフラインにする必要はありません（すべて機能し、何も無効になっていません）
• 削除済みオブジェクトの新しいバージョンを単に再作成するよりも、廃棄（tombstone）を回復する方がはるかに良い

属性の一部はオブジェクトの削除とともに削除されます-それらはもはや復元できません。 たとえば、セキュリティグループのメンバーシップ。
オブジェクトを再作成する場合、オブジェクトには常に新しいobjectGUIDおよびobjectSid属性が設定されます（ユーザーなどのセキュリティポリシーのメンバーである場合）。 その結果、ACLなどの外部オブジェクト参照は、新しいオブジェクト識別子を反映するように更新する必要があります。 これは非常に大きな問題になる可能性があります。
したがって、この投稿では、最初に廃棄オブジェクトを使用する方法を検討し、最後に強制リカバリに関する情報のみを提供します。 投稿の最後で、NetWrix Active Directoryオブジェクト復元ウィザードの機能について説明します。 投稿の情報は、NetWrixが作成したドキュメント「Active Directoryオブジェクトの復元：スクリプトのコレクション」から取得しました。 興味のある方は猫を歓迎します

復元する必要があるもの：例

与えられた：
OlegアカウントとDmitryアカウント、およびSergeyアカウントが配置されている埋め込みOU管理者を含むOU Finance_Departmentをacme.comドメインから削除しました。
チャレンジ：
すべてのメンバー（ネストされたOUを含む）およびアカウント属性にOUを復元します。

そして、このタスクはすべての可能な方法で解決されます。

1. ldp.exeを使用してオブジェクトを復元する

手続き
1）コンソールでのリモートオブジェクトの表示をオンにします（CN = Deleted Objects）
まず、削除されたオブジェクトが表示されていることを確認する必要があります（デフォルトではCN = Deleted Objectsコンテナは表示されません。ActiveDirectoryでldp.exeを使用します（Domain Adminsのメンバーシップが必要です）。
1. ldp.exeを実行します。 （ スタート-実行-ldp.exe ）
2. [ オプション ]メニューで、[ コントロール ]を選択します



3.表示されるダイアログボックスで、[ 事前定義されたメニューを読み込む ]を選択し、[ 削除されたオブジェクトを返す ]を選択して、[ OK ]をクリックします。
4.削除されたオブジェクトのコンテナーの表示方法を確認します。
a。 Active Directory環境フォレストのルートドメインがあるサーバーに接続してバインドするには、[ 接続 ]セクションで[ 接続 ]を選択し、[ バインド ]をクリックします。
b。 [ 参照]をクリックして[ 構造]を選択し、[ 識別名（DN）]フィールドにDC =、DC =と入力します。
c。 コンソールツリーで、ルートドメインの識別名（DN）をダブルクリックし、コンテナCN =削除済みオブジェクト、DC = acme、DC = comを見つけます。

オブジェクトを復元します。
OU Finance_Departmentの一部であるOlegアカウントの例を使用した回復を検討してください。

1）ldp.exeを実行します
2）[ 接続]セクションで、[ 接続-バインド]を選択し、Active Directory環境フォレストのルートドメインが存在するサーバーに接続してバインドします。



3）コンソールツリーで、コンテナーCN = Deleted Objectsに移動します （例としてドメインのDC = acme、DC = comも記述します）。



検索結果



4） CN = Deleted Objectsコンテナのスナップインで復元するオブジェクトを見つけ、右クリックして[変更]アイテムを選択します。
5） 変更ウィンドウで、次のパラメータを変更します
a。 属性の[ エントリの編集]フィールドにisDeletedと入力します
b。 [ 値]フィールドは空白のままにします。
c。 [ 操作]セクションで、[ 削除]を選択し、 Enterキーを押します。



d。 [ エントリ属性の編集]フィールドに、 distinguishedNameと入力します。
e。 [ 値]フィールドに、このActive Directoryオブジェクトの初期識別名（DN）を入力します。
f。 [ 操作]セクションで、[ 置換]を選択します。
g。 拡張フラグを設定し、 Enterキーを押して、 実行します。



アカウントは復元されましたが、無効化されました。 手動で有効にする必要があります。 また、グループメンバーシップを手動で復元し、パスワードをリセットする必要があります。
残りのオブジェクトに対して同じアクションを繰り返します。
OU Finance_Department
OU管理者
ドミトリーアカウント
アカウントセルゲイ

結果：

オブジェクトを復元する前に、多くの作業を行う必要があります。
削除されたオブジェクトごとにすべてのアクションを繰り返す必要があります。

2. ADRESTOREを使用する

LDPを使用した墓石の復元は簡単です。 しかし、不快で長い。 これらの目的のために、ADオブジェクトの復元専用に設計されたADRESTOREがあります。

ユーティリティは2つのモードで動作します。
• パラメータなしで開始します 。 これは、デフォルトドメインのCN = Deleted Objectsコンテナにあるすべてのトゥームストーンをリストします。 コマンドラインで検索文字列を追加して、表示するオブジェクトを選択できます。

C:\> adrestore Finance_Department 

CNまたはOU属性に文字列「Finance_Department」を含むCN = Deleted Objectsコンテナ内のすべてのオブジェクトが表示されます-LDAP検索フィルターcn = * Finance_Department *およびou = * Finance_Department *が使用されます。 次の画像は、ADRESTOREによって返される検索の結果を示しています。



• オブジェクトの回復
埋葬オブジェクトを復元するだけでなく、復元する場合は、次のように、-rパラメーターと追加の行を指定する必要があります。

 C:\> adrestore –r Finance_Department 

アカウントを復元するには、次のコマンドを使用します。

 C:\> adrestore –r Oleg C:\> adrestore –r Dmitry C:\> adrestore –r Admins C:\> adrestore –r Sergey 

チームは、条件を満たす各埋葬オブジェクトを復元することを提案します。 オブジェクトは、 トゥームストーンのlastKnownParent属性で指定されたコンテナーに復元されます（その他は復元されません）。
このコマンドは、適切な各埋葬オブジェクトを復元することを提供します。 ADRESTOREは、トゥームストーンのlastKnownParent属性で指定されたコンテナに常にオブジェクトを復元します;別のコンテナを指定する方法はありません。

結果：

ADRESTOREは、LDPよりも使いやすいです。
このユーティリティを使用すると、オブジェクトを比較的すばやく復元できますが、必要な属性がなくてもグループメンバシップとパスワードを手動で復元する必要があります。 オブジェクトを復元する最も一般的な方法の1つ。

3. ADごみ箱の使用（Windows Server 2008 R2）

Active Directoryのごみ箱（AD RB）が Windows Server 2008 R2に登場し、それをアクティブにするには、フォレストレベルとしてWindows Server 2008 R2が必要です。 AD RBは通常のWindowsのごみ箱に似ています-誤って削除されたオブジェクトは、すべての属性ですばやく復元できます。 さらに、AD RBから復元されたオブジェクトは、すべての属性をすぐに受け取ります。 デフォルトでは、AD RBのリモートオブジェクトの「ライフタイム」は180日です。その後、ごみ箱のライフタイム状態になり、属性が失われ、しばらくすると完全に削除されます。
最も単純な場合、オブジェクトはPowershellコマンドレットGet-ADObjectおよびRestore-ADObjectを使用して復元されます（復元する必要があるものが正確にわかっている場合）。 Get-ADObjectコマンドレットは、リモートオブジェクトを取得するために使用され、 Restore-ADObjectコマンドレットにパイプされます。

1. Windows PowerShellのActive Directoryモジュールとして管理者として実行します。
2. Windows PowerShellコマンドプロンプトのActive Directoryモジュールで、次のコマンドを入力します。

 PS C:\> Get-ADObject -Filter {displayName -eq "user"} -IncludeDeletedObjects | Restore-ADObject 

この例では
-Filter {displayName -eq“ user”}は、ADオブジェクトに関する情報（この例では、表示ユーザー名が「user」のオブジェクトに関する情報）を取得することを示します。
-IncludeDeletedObjectsは、検索がリモートオブジェクトで実行されることを意味します
Restore-ADObjectは、ADオブジェクトの復元を直接実行します。

削除されたオブジェクトを検索する
1.管理者としてWindows PowerShellのActive Directoryモジュールとして実行します。
2. Windows PowerShellのコマンドラインActive Directoryモジュールで、次のコマンドを入力して必要な情報を取得します。

acme.comで削除されたオブジェクトをリストする

 Get-ADObject -SearchBase "CN=Deleted Objects,DC=acme,DC=com" –IncludeDeletedObjects 

リモートユーザーが属していたOUに関する情報を取得する

 Get-ADObject -SearchBase "CN=Deleted Objects,DC=acme,DC=com" -ldapFilter:"(msDs-lastKnownRDN=User)" –IncludeDeletedObjects –Properties lastKnownParent 

Userはユーザーの表示名です

その結果、指定されたユーザーのOUメンバーシップに関する情報を取得します（ -Properties lastKnownParentを使用）

このOUにあったすべての削除されたオブジェクトを検索します

例として、前のコマンドレット（Finance_Department \\ 0ADEL：e954edda-db8c-41be-bbbd-599bef5a5f2a）の実行後に取得された識別名OU Finance_Departmentを取り上げます。

 Get-ADObject –SearchBase "CN=Deleted Objects,DC=acme,DC=com" -Filter {lastKnownParent -eq 'OU=Finance_Department\\0ADEL:e954edda-db8c-41be-bbbd-599bef5a5f2a,CN=Deleted Objects,DC=acme,DC=com'} -IncludeDeletedObjects -Properties lastKnownParent | ft 

注意！ OUがネストされている場合、最上位の階層レベルから回復が実行されます。 この場合、これはOU = Finance_Departmentです。

オブジェクトの回復

1. Windows PowerShell用のActive Directoryモジュールを起動する
2.コマンドラインで次のコマンドを実行して、Finance_Departmentユニットを復元します。

 Get-ADObject -ldapFilter:"(msDS-LastKnownRDN=Finance_Department)" –IncludeDeletedObjects | Restore-ADObject 

3. OU Finance_Departmentの直接の子であるアカウントとOUを復元します（この段階で、識別名Finance_Departmentは既にOU = Finance_Department、DC = acme、DC = comに復元されていることに注意してください）

 Get-ADObject -SearchBase "CN=Deleted Objects,DC=acme,DC=com" -Filter {lastKnownParent -eq "OU=Finance_Department,DC=acme,DC=com"} -IncludeDeletedObjects | Restore-ADObject 

オプション（ネストされたOUを復元）

4.サブOUに含まれるアカウントを復元します（たとえば、OU財務部門の一部であるOU Admins。この例の識別名は、OU = Admins、OU = Finance_Department、DC = acme、DC = comに復元されました）

 Get-ADObject -SearchBase "CN=Deleted Objects,DC=acme,DC=com" -Filter {lastKnownParent -eq "OU=Admins,OU=Finance_Department,DC=acme,DC=com"} -IncludeDeletedObjects | Restore-ADObject 

Get-Help Get-ADObjectなどのGet-Helpコマンドレットを呼び出すことによる、コマンドレットとそのパラメーターに関する詳細なヘルプ

結果：
オブジェクトは、すべての属性とともに元の形式に復元されます。
ただし、ご覧のとおり、多数のオブジェクトを操作する必要がある場合、この方法は非常に複雑です。
また、フォレスト内のすべてのサーバーがWindows 2008 R2である必要があります。
上記のLDPおよびAdRestoreツールを使用して、ADバケットをオンにして属性を持つオブジェクトを復元できます。

4. NTDSUTILを使用した強制回復

標準の方法（ただし、最適ではありません）は、 ディレクトリサービス復元モードでバックアップから強制的に復元することです。 これには重大な欠点があります。サーバーを再起動し、次にシステムの状態をバックアップから復元し、複製プロセスによって上書きされないオブジェクトをマークする必要があります。
回復は、 NTDSUTILコマンドラインユーティリティを使用して実行されます 。 AD DSの役割をインストールすると、ユーティリティが使用可能になります。 これを使用すると、すべてのコンテンツを持つOUと個別のオブジェクトの両方を復元できます。
このユーティリティは、VSSサービスを使用して作成されたActive Directoryのスナップショット（スナップショット）に基づいています。

注意！ AD強制回復中、復元されるオブジェクトの内部バージョン番号が増加します。 ドメインコントローラがネットワークに接続されると、これらのオブジェクトはドメイン全体に複製され、復元されたバージョンはグローバルに有効になります。

手続き
1. acme.comからOU Finance_Departmentを復元する必要があります
2. DSRMモードでブートし（ブートメニューでF8キーを押すと呼び出されます）、 Dcpromoの操作中に設定されたパスワードDSRMで登録します。 ADはロードされず、データベースはオフラインになります。

注意！ NTDS ADがServer 2008ドメインコントローラー以上で停止している場合、回復を実行できません。

3.事故の前に作成されたバックアップからシステム状態を復元します。

注意！ コンピューターを再起動しないでください。

ntdsutilスナップショットには、オブジェクトとその属性の両方が含まれています。 イメージは、オブジェクトをエクスポートする仮想LDAPサーバーとしてマウントおよびマウントできます。 ntdsutilを開始します 。

 > ntdsutil ntdsutil: snapshot 

利用可能な写真のリストを確認します。

 : list all 

1：2009/04/22：23:18 {8378f4fe-94c2-4479-b0e6-ab46b2d88225}

2：C：{732fdf7f-9133-4e62-a7e2-2362227a8c8e}

3：2009/04/23：00：19 {6f7aca49-8959-4bdf-a668-6172d28ddde6}

4：C：{cd17412a-387b-47d1-9d67-1972f49d6706}

番号または{ID}でマウントコマンドをマウントします。

 : mount 4  {cd17412a-387b-47d1-9d67-1972f49d6706}   C:\$SNAP_200904230019_VOLUMEC$\ 

写真がマウントされます。

4.コマンドを実行する

Finance_Departmentを再構築するには

 > ntdsutil "authoritative restore" "restore subtree ou=Finance_Department,dc=acme,dc=com" qq 

その結果、OU Finance_Departmentは、それに含まれるアカウントとネストされたOU Adminsで復元されます
たとえば、表示名がOlegの個々のアカウントを復元するには

 > ntdsutil "authoritative restore" "restore object cn=Oleg,ou=Finance_Department,dc=acme,dc=com" qq 

5.安全警告を確認します。 その後、図3に示すようなメッセージが表示されますが、生成されたテキストとLDIFファイルに注意してください。



通常のオペレーティングシステムの起動モードでDCを再起動します。
7. DCにログオンして、コマンドプロンプトを開きます。 コマンドを実行して、手順5でエクスポートしたLDIFファイルをインポートします

 ldifde -i -f ar_20110221-151131_links_contoso.com.ldf 

ここで、ar_20110221-151131_links_contoso.com.ldfは、作成されたLDIFファイルの名前です。
8.その結果、復元されたオブジェクトの関連属性（グループメンバーシップなど）の値がインポートされます。

注意！ フォレストに複数のドメインが含まれる場合、手順6でエクスポートしたテキストファイルを使用して、他のドメインのローカルグループのメンバーシップを復元する必要があります。

結果：
アカウントとオブジェクトは復元されましたが、Active Directoryデータベースは一定期間利用できませんでした。 また、この回復方法に依存して、現在のADデータベースの可用性にも依存します。

5. NetWrix Active Directoryオブジェクト復元ウィザード

NetWrix Active Directoryオブジェクト復元ウィザードを使用すると、オブジェクトの復元プロセスを大幅に簡素化できます。
私たちの会社には、ADオブジェクトを削除した管理者から絶えず連絡があり、それらを復元したいことに注意してください。 私たちが提案するソリューション-NetWrix Active Directory Object Restore Wizard-オブジェクトを復元するプロセスを簡単にしますが（たとえば、すべてのオブジェクトとその属性を数回クリックするだけでOUを復元します）、それでも動作しませんADスナップショット。 したがって、記事を読んだ後、プログラムを動作させることをお勧めします（過去4日間の回復期間を持つ無料版があります）。次回オブジェクトを復元する際にこのような問題が発生しないようにします。
このユーティリティを使用すると、削除されたオブジェクトを数回クリックするだけで回復でき、ドメイン内のオブジェクトを削除する前にプログラムが機能した場合、すべての属性で復元が行われます。 その結果、組織に深刻な混乱を与えることなく、数分で返品されたアカウントを取得できます。 また、プログラムを使用すると、削除されたメールボックスを回復できることに注意してください。

プログラムでの作業は、次の手順に削減されます。
1. NetWrix Active Directoryオブジェクト復元ウィザードが起動します。



2.復旧モードが選択されています：
•廃棄オブジェクトからのみ（プログラムがドメインに以前にインストールされていない場合）
•スナップショットを使用した回復（プログラムがインストールされ、少なくとも1つのスナップショットが作成された場合）



3.分析結果に基づいて、削除されたオブジェクトとその初期階層およびオブジェクトのリストが表示されます



4.復元するOUまたはオブジェクトを選択し、[次へ]をクリックします。
5.プログラムが以前にインストールされたかどうかに応じて：
•まだお持ちでない場合は、グループメンバーシップとユーザーパスワードを手動で復元する必要があります
•プログラムがインストールされていれば、復元は完了し、何も起こらなかったようにすべてが機能します。



ご覧のとおり、オブジェクトの回復にかかる時間は、通常のActive Directoryオブジェクト回復ツールを使用するよりもはるかに短くなります。
ただし、オブジェクトの復元はプログラムの1つの側面にすぎません。 オブジェクトに対する変更をロールバックすることもできます-1つの属性の値まで-プログラムはこのために設計されています。

結果：
属性を使用してオブジェクトを復元するには、いくつかの簡単な手順が必要です。 オブジェクトを復元するだけでなく、一部の値のみをロールバックすることもできます。

これらすべての回復方法は、「ADオブジェクトを復元するための応急処置キット」で説明されており、 当社のWebサイトからダウンロードできます。