DetailPage-MSS-KB

Microsoft Knowledge Base

Identificativo articolo: 840001 - Ultima modifica: martedì 30 marzo 2010 - Revisione: 13.0

 

In questa pagina

Sommario

È possibile utilizzare tre metodi per l'account utente di ripristino eliminato, gli account computer e gruppi di protezione. Questi oggetti sono noti collettivamente come identità di protezione. In tutti e tre i metodi, viene effettuato il ripristino autorevole degli oggetti eliminati e quindi ripristinare le informazioni sull'appartenenza ai gruppi per le identità di protezione eliminato. Quando si esegue il ripristino di un oggetto eliminato, è necessario ripristinare i valori precedenti gli attributi membro e memberOf l'identità di protezione interessati. Sono disponibili tre metodi:
  • Metodo 1: Ripristino configurazione di account utente eliminato e aggiungere gli utenti ripristinati nuovamente nei gruppi utilizzando lo strumento della riga di comando Ntdsutil.exe (Microsoft Windows Server 2003 con Service Pack 1 [SP1] solo)
  • Metodo 2: Ripristino configurazione di account utente eliminato e quindi aggiungere gli utenti ripristinati nei gruppi
  • Metodo 3: Ripristino autorevole gli account utente eliminati e i gruppi di protezione degli utenti eliminati due volte
Nota: In questo articolo non copre i dettagli della funzionalità Cestino Active Directory incluso in Windows Server 2008 R2; esaminare la sezione Riferimenti per ulteriori informazioni su questa funzionalità.

I metodi 1 e 2 forniscono una migliore esperienza per gli utenti e amministratori di dominio perché essi conservare le aggiunte di gruppi di protezione che sono stati effettuati tra l'ora dell'ultimo stato di sistema di backup e il tempo che durante l'eliminazione. Nel metodo 3, anziché rendere le singole rettifiche alle identità di protezione, è eseguire il rollback protezione appartenenze al loro stato al momento dell'ultimo backup.

Se non si dispone di un backup valido dello stato del sistema e il dominio in cui si è verificato l'eliminazione contiene controller di dominio basato su Windows Server 2003, è possibile manualmente o a livello di programmazione recuperare gli oggetti eliminati. È inoltre possibile utilizzare l'utilità Repadmin per determinare quando e dove è stato eliminato un utente.

Più eliminazioni su larga scala sono accidentali. Si consiglia di adottare alcuni passaggi per impedire ad altri utenti di eliminare gli oggetti in massa.

NotaPer impedire l'eliminazione accidentale o lo spostamento di oggetti (unità organizzativa soprattutto), è possibile aggiungere due voci di controllo di accesso nega (ACE) per il descrittore di protezione di ogni oggetto (DENY "DELETE" e "DELETE TREE") e una voci di controllo di accesso nega (ACE) possono essere aggiunti al descrittore di protezione del padre di ogni oggetto (DENY "DELETE figlio"). Per effettuare questa operazione in Windows 2000 Server e in Windows Server 2003, utilizzare utenti e computer, ADSIEdit, LDP o lo strumento della riga di comando DSACLS. È inoltre possibile modificare le autorizzazioni predefinite nello schema di Active Directory per le unità organizzative in modo che queste voci ACE vengono inclusi per impostazione predefinita.

Ad esempio, per proteggere l'unità organizzativa denominata utenti nel dominio di Active Directory è chiamato Harper.com accidentalmente venga spostato o eliminato di unità organizzativa padre che viene chiamato MyCompany, apportare la seguente configurazione:

Per l'unità organizzativa di MyCompany, aggiungere DENY ACE per EveryoneDELETE figlio con l'ambito solo l'oggetto specificato:
DSACLS "OU = MyCompany, DC = CONTOSO, DC = COM" /D "EVERYONE: DC"

Per l'unità organizzativa Users, aggiungere DENY ACE per EveryoneDELETE e DELETE TREE con l'ambito solo l'oggetto specificato:
DSACLS "OU = Users, OU = MyCompany, DC = CONTOSO, DC = COM" /D "SDDT EVERYONE":

Lo snap-in utenti e computer di Windows Server 2008 include una casella di controllo Proteggi oggetto dall'eliminazione accidentale nella scheda oggetto.

Nota È necessario attivare la casella di controllo Caratteristiche avanzate per visualizzare tale scheda.

Quando si crea un'unità organizzativa tramite utenti e computer in Windows Server 2008, viene visualizzata la casella di controllo Proteggi contenitore dall'eliminazione accidentale. Per impostazione predefinita, la casella di controllo è selezionata e può essere deselezionata.

Sebbene sia possibile configurare tutti gli oggetti in Active Directory utilizzando tali voci di controllo di accesso, questo è particolarmente indicato per le unità organizzative. L'eliminazione o movimenti di tutti gli oggetti foglia possono avere un effetto principale. Questa configurazione impedisce ad esempio eliminazioni o spostamenti. Effettivamente eliminare o spostare un oggetto con tale configurazione, le voci ACE nega deve essere rimosso per primo.

Informazioni

In questo articolo viene descritto come ripristinare account utente, account computer e appartenenza al gruppo dopo che sono stati eliminati da Active Directory. In varianti di questo scenario, gli account utente, account computer o gruppi di protezione potrebbero essere stati eliminati singolarmente o in una combinazione. In questi casi, applica la stessa procedura iniziale, effettuare il ripristino autorevole, o ripristinare auth, tali oggetti sono stati eliminati inavvertitamente. Alcuni oggetti eliminati richiedono maggiore lavoro per il ripristino. Tali oggetti includono gli oggetti quali account utente che contengono attributi che sono collegamenti indietro di attributi di altri oggetti. Due di questi attributi sono managedBy e memberOf.

Quando si aggiungono identità di protezione, ad esempio un account utente, un gruppo di protezione o un account computer a un gruppo di protezione, apportare le seguenti modifiche in Active Directory:
  1. Il nome dell'identità di protezione viene aggiunto all'attributo del membro di ogni gruppo di protezione.
  2. Per ogni gruppo di protezione che l'utente, computer o il gruppo di protezione è un membro, un collegamento viene aggiunto all'attributo memberOf dell'identità di protezione.
Analogamente, quando un utente, un computer o un gruppo viene eliminato da Active Directory, si verificano le seguenti operazioni:
  1. L'identità di protezione eliminato viene spostato nel contenitore oggetti eliminati.
  2. Un numero di valori di attributo, incluso l'attributo memberOf viene rimossi dall'identità di protezione eliminato.
  3. Identità di protezione eliminati vengono rimossi da tutti i gruppi di protezione che si trovavano di un membro di. In altre parole, le identità di protezione eliminati vengono rimossi dall'attributo del membro di ogni gruppo di protezione.
Quando si ripristino le identità di protezione eliminati e ripristinare le appartenenze ai gruppi, il punto chiave da ricordare è che ciascuna identità di protezione deve essere presente in Active Directory prima di ripristinare l'appartenenza al gruppo. (Il membro potrebbe essere un utente, un computer o un altro gruppo di protezione). A riformulare la regola pubblico più ampio, può essere ripristinato o modificato un oggetto che contiene gli attributi i cui valori sono nuovamente collegamenti deve essere presente in Active Directory prima che l'oggetto che contiene tale collegamento in avanti.

Sebbene questo articolo è incentrato su come recuperare gli account utente eliminato e all'appartenenza a gruppi di protezione, alle nozioni sono ugualmente valide per altri oggetti eliminati. Concetti di questo articolo sono ugualmente valide per gli oggetti eliminati i cui valori di attributo utilizzano i collegamenti in avanti e collegamenti ad altri oggetti in Active Directory.

È possibile utilizzare uno dei tre metodi per recuperare l'identità di protezione. Quando si utilizza il metodo 1, si lascia nella posizione protezione tutte le identità di protezione che sono stati aggiunti a qualsiasi gruppo di protezione nell'insieme di strutture e aggiungere solo le identità di protezione che sono state eliminate dai rispettivi domini nuovamente ai relativi gruppi di protezione. Ad esempio, si effettuare un backup dello stato del sistema, aggiungere un utente a un gruppo di protezione e quindi Ripristina il backup dello stato del sistema. Quando si utilizzano i metodi 1 o 2, è necessario conservare tutti gli utenti che sono stati aggiunti ai gruppi di protezione che contengono utenti eliminati tra le date che è stato creato il backup dello stato del sistema e la data in cui è stato ripristinato il backup. Quando si utilizza il metodo 3, è eseguire il rollback protezione appartenenze ai gruppi per tutti i gruppi di protezione che contengono utenti eliminati allo stato nel momento in cui è stato effettuato il backup dello stato del sistema.

Metodo 1: Ripristino configurazione di account utente eliminato e aggiungere gli utenti ripristinati nuovamente nei gruppi utilizzando lo strumento della riga di comando Ntdsutil.exe (Microsoft Windows Server 2003 con Service Pack 1 [SP1] solo)

Nota Questo metodo è valido solo nei controller di dominio che eseguono Windows Server 2003 con SP1. Se Windows Server 2003 SP1 non è stato installato nei controller di dominio che è possibile utilizzare per il ripristino, utilizzare il metodo 2.

Il Ntdsutil.exe in Windows Server 2003 SP1 è stato aggiunto funzionalità dello strumento della riga di comando per aiutare gli amministratori più facilmente ripristinare backlinks di oggetti eliminati. Per ogni operazione di ripristino autorevole vengono generati due file. Un file contiene un elenco di oggetti ripristinati autorevolmente. L'altro file è un file ldf che viene utilizzato con l'utilità LDIFDE.exe. Questo file viene utilizzato per ripristinare backlinks per gli oggetti ripristinati autorevolmente. In Windows Server 2003 SP1, un ripristino autorevole di un oggetto utente genera anche i file LDIF con l'appartenenza al gruppo. Questo metodo consente di evitare un ripristino doppio.

Quando si utilizza questo metodo, è necessario eseguire i passaggi generali seguenti:
  1. Verificare se un catalogo globale nel dominio dell'utente non ha replicato l'eliminazione e quindi impedire tale catalogo globale di replica. Se è presente alcun catalogo globale latente, individuare il backup dello stato del sistema più recente di un controller di dominio di catalogo globale nel dominio principale dell'utente eliminato.
  2. Autenticazione ripristinare tutti gli account utente eliminati e quindi consentire replica end-to-end di tali account utente.
  3. Aggiungere tutti gli utenti ripristinati tutti i gruppi in tutti i domini degli account utente sono un membro di prima di essere stati eliminati.
Per utilizzare il metodo 1, attenersi alla seguente procedura:
  1. Verificare se è un controller di dominio di catalogo globale nel dominio principale dell'utente eliminato che non ha replicato qualsiasi parte dell'eliminazione.

    Nota Concentrarsi sui cataloghi globali che hanno le pianificazioni di replica meno frequente.

    Se esiste uno o più di questi cataloghi globali, utilizzare lo strumento della riga di comando repadmin.exe per disattivare immediatamente la replica in ingresso. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Fare clic sul pulsante Start e quindi fare clic su Esegui.
    2. Digitare cmd nella casella Apri e quindi fare clic su OK.
    3. Digitare il seguente comando al prompt dei comandi e premere INVIO:
      repadmin /options <recovery dc name> + DISABLE_INBOUND_REPL
      NotaSe non è possibile eseguire immediatamente il comando Repadmin, rimuovere tutta la connettività rete dal catalogo globale latente fino a quando non è possibile utilizzare Repadmin per disattivare la replica in ingresso e quindi tornare immediatamente connettività di rete.
    Questo controller di dominio si fa riferimento come controller di dominio di ripristino. Se non è presente alcun tale catalogo globale, andare al passaggio 2.
  2. È consigliabile arrestare apportano modifiche ai gruppi di protezione nell'insieme di strutture se sono vere le seguenti istruzioni:
    • Si sta utilizzando il metodo 1 a auth ripristino eliminata utenti o gli account computer dal relativo percorso del nome distinto (dn).
    • L'eliminazione è replicata in tutti i controller di dominio nell'insieme di strutture, tranne il controller di dominio di ripristino latenti.
    • Non sono auth ripristinando i gruppi di protezione o i relativi contenitori padre.
    Se si è auth ripristino contenitori di unità organizzativa (OU) o i gruppi di protezione di tale account utente o gruppi di protezione host, interrompere temporaneamente tutte queste modifiche.

    Informare gli amministratori e aiutare gli amministratori desk nei domini appropriati, oltre a utenti del dominio nel dominio in cui si è verificato l'eliminazione sull'interruzione queste modifiche.
  3. Creare un nuovo backup dello stato del sistema nel dominio in cui si è verificato l'eliminazione. È possibile utilizzare questa copia di backup se è necessario annullare le modifiche apportate.

    Nota Se i backup dello stato del sistema correnti fino al punto di eliminazione, ignorare questo passaggio e andare al passaggio 4.

    Se è stato identificato un controller di dominio di ripristino nel passaggio 1, eseguire il backup lo stato di sistema ora.

    Se tutti i cataloghi globali che si trovano nel dominio in cui si è verificato l'eliminazione replicato l'eliminazione, eseguire il backup dello stato del sistema di un catalogo globale nel dominio in cui si è verificato l'eliminazione.

    Quando si crea una copia di backup, è possibile ripristinare il controller di dominio di ripristino dello stato corrente ed eseguire nuovamente il piano di ripristino se il primo tentativo non riesce.
  4. Se non si riesce a trovare un controller di dominio latente catalogo globale nel dominio in cui si è verificato l'eliminazione dell'utente, trovare il backup dello stato del sistema più recente di un controller di dominio di catalogo globale nel dominio. Questa copia di backup dello stato del sistema deve contenere gli oggetti eliminati. Utilizzare questo controller di dominio come controller di dominio di ripristino.

    Solo operazioni di ripristino dei controller di dominio di catalogo globale nel dominio dell'utente contengono informazioni sull'appartenenza al gruppo globale e universale per i gruppi di protezione che si trovano in domini esterni. Se è presente alcun backup dello stato del sistema di un controller di dominio di catalogo globale nel dominio in cui gli utenti sono stati eliminati, non è possibile utilizzare l'attributo memberOf gli account utente ripristinato per determinare l'appartenenza ai gruppi globali o universali o per ripristinare l'appartenenza a domini esterni. Inoltre, è consigliabile trovare il backup dello stato del sistema più recente di un controller di dominio di catalogo non globale.
  5. Se si conosce la password per l'account amministratore in modalità non in linea, avviare il controller di dominio di ripristino in modalità Dsrepair. Se non si conosce la password per l'account amministratore in modalità non in linea, reimpostare la password mentre il controller di dominio di ripristino è ancora in Active Directory normali modalità.

    È possibile utilizzare lo strumento della riga di comando setpwd per reimpostare la password nel domain controller che eseguono Windows 2000 Service Pack 2 (SP2) e successivamente mentre questi sono in modalità in linea di Active Directory.

    Nota Microsoft non supporta più Windows 2000 SP2. Installare il service pack per Windows 2000 più recente per ottenere questa funzionalità.

    Per ulteriori informazioni sulla modifica della password di amministratore di console di ripristino, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    239803  (http://support.microsoft.com/kb/239803/ ) Come modificare la password dell'amministratore console di ripristino su un controller di dominio
    Gli amministratori dei controller di dominio Windows Server 2003 è possono utilizzare il comando set dsrm passwordl'utilità della riga di comando Ntdsutil per reimpostare la password per l'account dell'amministratore in modalità non in linea.

    Per ulteriori informazioni su come reimpostare l'account di amministratore modalità ripristino servizi directory, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    322672  (http://support.microsoft.com/kb/322672/ ) Come reimpostare la password dell'account di amministratore modalità ripristino servizi directory in Windows Server 2003
  6. Premere F8 durante il processo di avvio per avviare il controller di dominio di ripristino in modalità Dsrepair. Accedere alla console del controller di dominio di ripristino con l'account dell'amministratore in modalità non in linea. Se si reimposta la password nel passaggio 5, utilizzare la nuova password.

    Se il controller di dominio di ripristino è un controller di dominio di catalogo globale latente, non ripristinare lo stato del sistema. Andare al passaggio 7.

    Se si sta creando il controller di dominio di ripristino utilizzando un backup dello stato del sistema, ripristinare il backup dello stato del sistema più recente apportata sul controller di dominio di ripristino adesso.
  7. Autenticazione ripristinare gli account utente eliminato, account computer eliminato o i gruppi di protezione eliminato.

    Nota I termini autenticazione ripristino e ripristino autorevole fare riferimento al processo di utilizzando il comando di ripristino autorevole dello strumento della riga di comando Ntdsutil per incrementare i numeri di versione di specifici oggetti o contenitori specifici e i relativi oggetti subordinati. Non appena viene eseguita la replica end-to-end, gli oggetti destinazione della copia locale del controller di dominio di ripristino di Active Directory diventano autorevoli su tutti i controller di dominio che condividono tale partizione. Un ripristino autorevole è diverso da un ripristino dello stato del sistema. Inserisce in un ripristino dello stato del sistema copia locale del controller di dominio ripristinato di Active Directory con le versioni degli oggetti nel momento in cui è stato effettuato il backup dello stato del sistema.

    Per ulteriori informazioni sull'autenticazione ripristino di un controller di dominio, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    241594  (http://support.microsoft.com/kb/241594/ ) Come eseguire un ripristino autorevole per un controller di dominio in Windows 2000


    Ripristini autorevoli vengono eseguiti con lo strumento della riga di comando Ntdsutil e fare riferimento per il percorso del nome (dn) del dominio degli utenti eliminati o dei contenitori di host che gli utenti eliminati.

    Quando si auth ripristino, utilizzare dominio nome (dn) percorsi bassa della struttura di dominio che abbiano essere per evitare il ripristino di oggetti che non sono correlati all'eliminazione. Questi oggetti possono includere oggetti che sono stati modificati dopo che è stato effettuato il backup dello stato del sistema.

    Autenticazione ripristino eliminati gli utenti nel seguente ordine:
    1. Autenticazione ripristinare il percorso del nome (dn) di dominio per ogni account utente eliminato, account computer o gruppo di protezione.

      Operazioni di ripristino autorevole di oggetti specifici richiedere più tempo ma sono distruttivi inferiore rispetto a operazioni di ripristino autorevole di un'intera sottostruttura. Autenticazione ripristinare il contenitore padre comune più basso contenente gli oggetti eliminati.

      Ntdsutil viene utilizzata la seguente sintassi:
      Ntdsutil "authoritative restore" "ripristino oggetto <object DN path>" q q
      Ad esempio, ripristinare l'utente eliminato a auth JohnDoe in Mayberry unità ORGANIZZATIVA del dominio Contoso.com, utilizzare il comando riportato di seguito:
      "authoritative restore" Ntdsutil "ripristinare l'oggetto cn = FrancoVerdi, ou = Mayberry, dc = contoso, dc = com" q q
      Autenticazione ripristino protezione eliminata gruppo ContosoPrintAccess nell'unità ORGANIZZATIVA Mayberry del dominio Contoso.com, utilizzare il comando riportato di seguito:
      "authoritative restore" Ntdsutil "ripristinare l'oggetto cn = ContosoPrintAccess, ou = Mayberry, dc = contoso, dc = com" q q


      Importante È necessario utilizzare delle offerte.

      Per ogni utente si ripristina, almeno due file vengono generati. Questi file hanno il seguente formato:

      ar_ YYYYMMDD-HHMMSS _objects.txt
      Questo file contiene un elenco di oggetti ripristinati autorevolmente. Utilizzare questo file con il comando ntdsutil authoritatative ripristinare "Crea file ldif da" in qualsiasi altro dominio nell'insieme di strutture in cui l'utente era un membro di gruppi locali di dominio.

      ar_ YYYYMMDD-HHMMSS _links_usn.loc.ldf
      Se si esegue il ripristino di autenticazione in un catalogo globale, uno di questi file viene generato per ogni dominio nell'insieme di strutture. Questo file contiene uno script che è possibile utilizzare con l'utilità LDIFDE.exe. Lo script Ripristina backlinks per gli oggetti ripristinati. Nel dominio principale dell'utente, lo script Ripristina tutte le appartenenze ai gruppi per gli utenti ripristinati. In tutti gli altri domini nell'insieme di strutture in cui l'utente ha aperto l'appartenenza al gruppo, lo script consente di ripristinare le appartenenze ai gruppi globali e universali soltanto. Lo script non è in grado di ripristinare qualsiasi dominio appartenenze ai gruppi locali. Appartenenza a tali non viene registrati da un catalogo globale.
    2. Autenticazione ripristinare solo i contenitori di unità ORGANIZZATIVA o a nome comune (CN) host che l'utente eliminato, account o gruppi.

      Eseguire il ripristino autorevole di un'intera sottostruttura è valido quando l'unità ORGANIZZATIVA di destinazione tramite il comando ntdsutil "authoritative restore" contiene la maggior parte degli oggetti che si siano tentando di ripristino auth. In teoria, l'unità ORGANIZZATIVA di destinazione contiene tutti gli oggetti che si siano tentando di ripristino auth.

      Un ripristino autorevole su una sottostruttura di unità ORGANIZZATIVA Ripristina tutti gli attributi e gli oggetti che risiedono nel contenitore. Le modifiche apportate al momento in cui viene ripristinato un backup dello stato del sistema vengono eseguito il rollback in base ai relativi valori al momento del backup. Con gli account utente, account computer e gruppi di protezione, il rollback può significare la perdita delle modifiche più recenti apportate alle password, nella home directory per il percorso del profilo, posizione e informazioni contatto per l'appartenenza al gruppo e per tutti i descrittori di protezione definite su tali oggetti e attributi.

      Ntdsutil viene utilizzata la seguente sintassi:
      Ntdsutil "authoritative restore" "ripristino sottostruttura <container DN path>" q q
      Ad esempio per auth ripristinare l'unità ORGANIZZATIVA Mayberry del dominio Contoso.com, utilizzare il comando riportato di seguito:
      "authoritative restore" Ntdsutil "ripristinare subtree ou = Mayberry, dc = contoso, dc = com" q q
    Nota Ripetere questo passaggio per ogni peer OU che gli host eliminati utenti o gruppi.

    Importante Quando si esegue il ripristino di un oggetto di un'unità ORGANIZZATIVA subordinato, tutti i contenitori padre degli oggetti subordinati eliminati devono essere esplicitamente auth ripristinato.

    Per ogni unità organizzativa si ripristina, almeno due file vengono generati. Questi file hanno il seguente formato:

    ar_ YYYYMMDD-HHMMSS _objects.txt

    Questo file contiene un elenco di oggetti ripristinati autorevolmente. Utilizzare questo file con il comando ntdsutil authoritatative ripristinare "Crea file ldif da" in qualsiasi altro dominio nell'insieme di strutture in cui gli utenti ripristinati erano membri di gruppi locali di dominio.

    Per ulteriori informazioni, visitare il seguente sito Web Microsoft:
    http://technet2.microsoft.com/WindowsServer/en/library/5ec3a3b1-c4b2-4c74-9d8a-61f7cb555f821033.mspx?mfr=true (http://technet2.microsoft.com/WindowsServer/en/library/5ec3a3b1-c4b2-4c74-9d8a-61f7cb555f821033.mspx?mfr=true)
    ar_ YYYYMMDD-HHMMSS _links_usn.loc.ldf
    Questo file contiene uno script che è possibile utilizzare con l'utilità LDIFDE.exe. Lo script Ripristina backlinks per gli oggetti ripristinati. Nel dominio principale dell'utente, lo script Ripristina tutte le appartenenze ai gruppi per gli utenti ripristinati.
  8. Se gli oggetti eliminati sono stati ripristinati sul controller di dominio di ripristino a causa di un ripristino dello stato di sistema, rimuovere tutti i cavi di rete che implementano la connettività di rete a tutti gli altri controller di dominio nell'insieme di strutture.
  9. Riavviare il controller di dominio ripristino normale modalità di Active Directory.
  10. Digitare il comando seguente per disattivare la replica in ingresso al controller di dominio di ripristino:
    repadmin /options <recovery dc name> + DISABLE_INBOUND_REPL
    Abilitare la connettività di rete al controller di dominio di ripristino dello stato del sistema in cui è stato ripristinato.
  11. Oggetti di replica in uscita-auth-ripristinato dal controller di dominio di ripristino ai controller di dominio nel dominio e dell'insieme di strutture.

    Durante la replica in ingresso al controller di dominio di ripristino rimane disattivata, digitare il comando riportato di seguito per gli oggetti ripristinati auth di push a controller di dominio di replica tra siti, il dominio e a tutti i cataloghi globali nell'insieme di strutture:
    repadmin/SyncAll /d /e /P <recovery dc> <Naming Context>
    Se le seguenti istruzioni sono true, i collegamenti di appartenenza al gruppo vengono ricostruiti con il ripristino e la replica degli account utente eliminato. Andare al passaggio 14.

    Nota Se uno o più delle seguenti istruzioni non è true, andare al passaggio 12.
    • L'insieme di strutture è in esecuzione in Windows Server 2003 foresta funzionale livello o a livello di funzionalità dell'insieme di strutture Windows Server 2003 interim.
    • Sono stati eliminati gli account utente o account di computer e non i gruppi di protezione.
    • Gli utenti eliminati sono stati aggiunti ai gruppi di protezione in tutti i domini nell'insieme di strutture dopo l'insieme di strutture è stato eseguito la transizione a livello di funzionalità dell'insieme di strutture Windows Server 2003.
  12. Sulla console del controller di dominio di ripristino, utilizzare l'utilità LDIFDE.exe e il file di _links_usn.loc.ldf YYYYMMDD-HHMMSS ar_ per ripristinare le appartenenze ai gruppi dell'utente. Per effettuare questa operazione, attenersi alla seguente procedura:
    • Fare clic sul pulsante Start, scegliere Esegui, digitare cmd nella casella Apri e quindi fare clic su OK.
    • Al prompt dei comandi digitare il comando seguente e premere INVIO:
      ldifde -i -f ar_ YYYYMMDD-HHMMSS _links_usn.loc.ldf
    L'importazione LDIFDE potrebbe non riuscire ed è possibile che venga visualizzato il seguente messaggio di errore:
    Errore di aggiunta alla riga <xxx >: sintassi non valida l'errore sul lato server è "parametro non corretto".
    Se il numero di riga errata nel file LINKS.LDF fa riferimento a uno dei tre attributi comuni di credenziali, msPKIDPAPIMasterKeys, msPKIAccountCredentials o msPKIRoamingTimeStamp, vedere il seguente articolo della Microsoft Knowledge Base (KB):
    2014074  (http://support.microsoft.com/kb/2014074/ ) Errore "parametro non corretto" attempting to Importa File LDF per il ripristino autorevole
    NotaIn questo articolo vengono descritte le modifiche necessarie per importare il file LDF collegamenti.
  13. Abilitare la replica in ingresso al controller di dominio di ripristino utilizzando il comando riportato di seguito:
    repadmin /options <recovery dc name>-DISABLE_INBOUND_REPL
  14. Se gli utenti eliminati sono stati aggiunti ai gruppi locali nei domini esterni, effettuare una delle seguenti operazioni:
    • Aggiungere manualmente gli utenti eliminati a tali gruppi.
    • Ripristinare lo stato del sistema e auth ripristinare ciascuno dei gruppi di protezione locale che contiene gli utenti eliminati.
  15. Verificare l'appartenenza ai gruppi nel dominio del controller di dominio di ripristino e nei cataloghi globali in altri domini.
  16. Effettuare un nuovo sistema il backup dello stato dei controller di dominio nel dominio del controller di dominio di ripristino.
  17. Informare tutti gli amministratori delle foreste, gli amministratori delegati, consentire agli amministratori desk nell'insieme di strutture e gli utenti del dominio che è stato completato il ripristino dell'utente.

    Gli amministratori di help desk potrebbero essere necessario reimpostare le password degli account utente ripristinato di autenticazione e account computer cui password di dominio modificato dopo che il sistema ripristinato è stato effettuato.

    Gli utenti che ha modificato la propria password dopo che è stato effettuato il backup dello stato del sistema scopriranno che le password più recente non funziona più. Disporre di tali utenti tenta di accedere utilizzando le proprie password precedente se che li conoscono. In caso contrario, gli amministratori di help desk devono reimpostare la password e selezionare la casella di controllo Cambiamento obbligatorio password all'accesso successivo, preferibilmente su un controller di dominio nello stesso sito Active Directory, come l'utente si trova nella.

Metodo 2: Ripristino configurazione di account utente eliminato e quindi aggiungere gli utenti ripristinati nei gruppi

Quando si utilizza questo metodo, è necessario eseguire i passaggi generali seguenti:
  1. Verificare se un catalogo globale nel dominio dell'utente non ha replicato l'eliminazione e quindi impedire tale catalogo globale di replica. Se è presente alcun catalogo globale latente, individuare il backup dello stato del sistema più recente di un controller di dominio di catalogo globale nel dominio principale dell'utente eliminato.
  2. Autenticazione ripristinare tutti gli account utente eliminati e quindi consentire replica end-to-end di tali account utente.
  3. Aggiungere tutti gli utenti ripristinati tutti i gruppi in tutti i domini degli account utente sono un membro di prima di essere stati eliminati.
Per utilizzare il metodo 2, attenersi alla seguente procedura:
  1. Verificare se è un controller di dominio di catalogo globale nel dominio principale dell'utente eliminato che non ha replicato qualsiasi parte dell'eliminazione.

    Nota Concentrarsi sui cataloghi globali che hanno le pianificazioni di replica meno frequente.

    Se esiste uno o più di questi cataloghi globali, utilizzare lo strumento della riga di comando repadmin.exe per disattivare immediatamente la replica in ingresso. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Fare clic sul pulsante Start e quindi fare clic su Esegui.
    2. Digitare cmd nella casella Apri e quindi fare clic su OK.
    3. Digitare il seguente comando al prompt dei comandi e premere INVIO:
      repadmin /options <recovery dc name> + DISABLE_INBOUND_REPL
      NotaSe non è possibile eseguire immediatamente il comando Repadmin, rimuovere tutta la connettività rete dal catalogo globale latente fino a quando non è possibile utilizzare Repadmin per disattivare la replica in ingresso e quindi tornare immediatamente connettività di rete.
    Questo controller di dominio si fa riferimento come controller di dominio di ripristino. Se non è presente alcun tale catalogo globale, andare al passaggio 2.
  2. Decidere se aggiunte, eliminazioni e modifiche apportate agli account utente, account computer e gruppi di protezione devono essere temporaneamente interrotta finché non sono state completate tutte le operazioni di ripristino.

    Per mantenere il percorso di ripristino più flessibile, arrestare temporaneamente apportare modifiche ai seguenti elementi. Le modifiche includono reimpostazioni password per gli utenti del dominio, consentire agli amministratori di assistenza e agli amministratori di dominio in cui si è l'eliminazione verificato, oltre alle modifiche all'appartenenza ai gruppi in gruppi degli utenti eliminati. Si consideri halting eventuali aggiunte, eliminazioni e modifiche ai seguenti elementi:
    1. Gli account utente e gli attributi degli account utente
    2. Gli account computer e gli attributi per gli account computer
    3. Account di servizio
    4. Gruppi di protezione
    È consigliabile arrestare apportano modifiche ai gruppi di protezione nell'insieme di strutture se sono vere le seguenti istruzioni:
    • Si utilizza il metodo 2 per gli utenti di ripristino eliminato auth o gli account computer dal loro percorso del nome (dn) del dominio.
    • L'eliminazione è replicata in tutti i controller di dominio nell'insieme di strutture, tranne il controller di dominio di ripristino latenti.
    • Non sono auth ripristinando i gruppi di protezione o i relativi contenitori padre.
    Se si è auth ripristino contenitori di unità organizzativa (OU) o i gruppi di protezione di tale account utente o gruppi di protezione host, interrompere temporaneamente tutte queste modifiche.

    Informare gli amministratori e aiutare gli amministratori desk nei domini appropriati, oltre a utenti del dominio nel dominio in cui si è verificato l'eliminazione sull'interruzione queste modifiche.
  3. Creare un nuovo backup dello stato del sistema nel dominio in cui si è verificato l'eliminazione. È possibile utilizzare questa copia di backup se è necessario annullare le modifiche apportate.

    Nota Se i backup dello stato del sistema correnti fino al punto di eliminazione, ignorare questo passaggio e andare al passaggio 4.

    Se è stato identificato un controller di dominio di ripristino nel passaggio 1, eseguire il backup lo stato di sistema ora.

    Se tutti i cataloghi globali che si trovano nel dominio in cui si è verificato l'eliminazione replicato l'eliminazione, eseguire il backup dello stato del sistema di un catalogo globale nel dominio in cui si è verificato l'eliminazione.

    Quando si crea una copia di backup, è possibile ripristinare il controller di dominio di ripristino dello stato corrente ed eseguire nuovamente il piano di ripristino se il primo tentativo non riesce.
  4. Se non si riesce a trovare un controller di dominio latente catalogo globale nel dominio in cui si è verificato l'eliminazione dell'utente, trovare il backup dello stato del sistema più recente di un controller di dominio di catalogo globale nel dominio. Questa copia di backup dello stato del sistema deve contenere gli oggetti eliminati. Utilizzare questo controller di dominio come controller di dominio di ripristino.

    Solo operazioni di ripristino dei controller di dominio di catalogo globale nel dominio dell'utente contengono informazioni sull'appartenenza al gruppo globale e universale per i gruppi di protezione che si trovano in domini esterni. Se è presente alcun backup dello stato del sistema di un controller di dominio di catalogo globale nel dominio in cui gli utenti sono stati eliminati, non è possibile utilizzare l'attributo memberOf gli account utente ripristinato per determinare l'appartenenza ai gruppi globali o universali o per ripristinare l'appartenenza a domini esterni. Inoltre, è consigliabile trovare il backup dello stato del sistema più recente di un controller di dominio di catalogo non globale.
  5. Se si conosce la password per l'account amministratore in modalità non in linea, avviare il controller di dominio di ripristino in modalità Dsrepair. Se non si conosce la password per l'account amministratore in modalità non in linea, reimpostare la password mentre il controller di dominio di ripristino è ancora in Active Directory normali modalità.

    È possibile utilizzare lo strumento della riga di comando setpwd per reimpostare la password nel domain controller che eseguono Windows 2000 Service Pack 2 (SP2) e successivamente mentre questi sono in modalità in linea di Active Directory.

    Nota Microsoft non supporta più Windows 2000 SP2. Installare il service pack per Windows 2000 più recente per ottenere questa funzionalità.

    Per ulteriori informazioni sulla modifica della password di amministratore di console di ripristino, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    239803  (http://support.microsoft.com/kb/239803/ ) Come modificare la password dell'amministratore console di ripristino su un controller di dominio
    Gli amministratori dei controller di dominio Windows Server 2003 è possono utilizzare il comando set dsrm passwordl'utilità della riga di comando Ntdsutil per reimpostare la password per l'account dell'amministratore in modalità non in linea.

    Per ulteriori informazioni su come reimpostare l'account di amministratore modalità ripristino servizi directory, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    322672  (http://support.microsoft.com/kb/322672/ ) Come reimpostare la password dell'account di amministratore modalità ripristino servizi directory in Windows Server 2003
  6. Premere F8 durante il processo di avvio per avviare il controller di dominio di ripristino in modalità Dsrepair. Accedere alla console del controller di dominio di ripristino con l'account dell'amministratore in modalità non in linea. Se si reimposta la password nel passaggio 5, utilizzare la nuova password.

    Se il controller di dominio di ripristino è un controller di dominio di catalogo globale latente, non ripristinare lo stato del sistema. Andare al passaggio 7.

    Se si sta creando il controller di dominio di ripristino utilizzando un backup dello stato del sistema, ripristinare il backup dello stato del sistema più recente apportata sul controller di dominio di ripristino adesso.
  7. Autenticazione ripristinare gli account utente eliminato, account computer eliminato o i gruppi di protezione eliminato.

    Nota I termini autenticazione ripristino e ripristino autorevole fare riferimento al processo di utilizzando il comando di ripristino autorevole dello strumento della riga di comando Ntdsutil per incrementare i numeri di versione di specifici oggetti o contenitori specifici e i relativi oggetti subordinati. Non appena viene eseguita la replica end-to-end, gli oggetti destinazione della copia locale del controller di dominio di ripristino di Active Directory diventano autorevoli su tutti i controller di dominio che condividono tale partizione. Un ripristino autorevole è diverso da un ripristino dello stato del sistema. Inserisce in un ripristino dello stato del sistema copia locale del controller di dominio ripristinato di Active Directory con le versioni degli oggetti nel momento in cui è stato effettuato il backup dello stato del sistema.

    Per ulteriori informazioni sull'autenticazione ripristino di un controller di dominio, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    241594  (http://support.microsoft.com/kb/241594/ ) Come eseguire un ripristino autorevole per un controller di dominio in Windows 2000


    Ripristini autorevoli vengono eseguiti con lo strumento della riga di comando Ntdsutil e fare riferimento per il percorso del nome (dn) del dominio degli utenti eliminati o dei contenitori di host che gli utenti eliminati.

    Quando si auth ripristino, utilizzare dominio nome (dn) percorsi bassa della struttura di dominio che abbiano essere per evitare il ripristino di oggetti che non sono correlati all'eliminazione. Questi oggetti possono includere oggetti che sono stati modificati dopo che è stato effettuato il backup dello stato del sistema.

    Autenticazione ripristino eliminati gli utenti nel seguente ordine:
    1. Autenticazione ripristinare il percorso del nome (dn) di dominio per ogni account utente eliminato, account computer o gruppo di protezione.

      Operazioni di ripristino autorevole di oggetti specifici richiedere più tempo ma sono distruttivi inferiore rispetto a operazioni di ripristino autorevole di un'intera sottostruttura. Autenticazione ripristinare il contenitore padre comune più basso contenente gli oggetti eliminati.

      Ntdsutil viene utilizzata la seguente sintassi:
      Ntdsutil "authoritative restore" "ripristino oggetto <object DN path>" q q
      Ad esempio, ripristinare l'utente eliminato a auth JohnDoe in Mayberry unità ORGANIZZATIVA del dominio Contoso.com, utilizzare il comando riportato di seguito:
      "authoritative restore" Ntdsutil "ripristinare l'oggetto cn = FrancoVerdi, ou = Mayberry, dc = contoso, dc = com" q q
      Autenticazione ripristino protezione eliminata gruppo ContosoPrintAccess nell'unità ORGANIZZATIVA Mayberry del dominio Contoso.com, utilizzare il comando riportato di seguito:
      "authoritative restore" Ntdsutil "ripristinare l'oggetto cn = ContosoPrintAccess, ou = Mayberry, dc = contoso, dc = com" q q


      Importante È necessario utilizzare delle offerte.

      NotaQuesta sintassi è disponibile solo in Windows Server 2003. La sintassi sola in Windows 2000 consiste nell'utilizzare le seguenti operazioni:
      Ntdsutil "authoritative restore" "ripristino sottostruttura object DN path"
      Nota L'operazione di ripristino autorevole di Ntdsutil non ha esito positivo se il percorso del nome distinto (DN) contiene spazi o caratteri estesi. Affinché il ripristino da uno script per la corretta, il “ ripristino oggetto <DN path> ” comando deve essere passato come un'unica stringa completa.
      Per aggirare questo problema, racchiudere il nome DISTINTO che contengono caratteri estesi e gli spazi con sequenze di escape segno virgolette di doppia barra rovesciata. Di seguito è riportato un esempio:
      "authoritative restore" Ntdsutil "ripristino oggetto \"CN=John rossi, OU = Mayberry NC, DC = contoso, DC = com\ ""q q

      NotaIl comando deve essere modificato ulteriormente se il nome DISTINTO di oggetti da ripristinare contiene virgole. Vedere l'esempio riportato di seguito:
      Ntdsutil "authoritative restore" "ripristinare oggetto \"CN=Doe\, John, OU = Mayberry NC, DC = contoso, DC = com\ ""q q

      NotaSe gli oggetti sono stati ripristinati da nastro, contrassegnato come autorevole e il ripristino non ha funzionato come previsto e viene quindi utilizzato lo stesso nastro per ripristinare il database NTDS ancora una volta, è necessario aumentare superiore rispetto al valore predefinito è 100000 o gli oggetti non verrà replicati dopo il ripristino secondo versione USN degli oggetti per il ripristino autorevole. La sintassi riportata più avanti è necessario eseguire lo script di un numero di versione maggiore superiore a 100000 (impostazione predefinita): "authoritative restore" ntdsutil "ripristinare oggetto \"CN=Doe\, John, OU = Mayberry NC, DC = contoso, DC = com\ "verinc 150000\" "q q

      NotaSe lo script chiesta conferma per ogni oggetto cui è in corso il ripristino è possibile disattivare le richieste. È riportata la sintassi per disattivare la richiesta di conferma: ntdsutil "popups off""authoritative restore" "ripristinare oggetto \"CN=John rossi, OU = Mayberry NC, DC = contoso, DC = com\ "verinc 150000\" "q q
    2. Autenticazione ripristinare solo i contenitori di unità ORGANIZZATIVA o a nome comune (CN) host che l'utente eliminato, account o gruppi.

      Eseguire il ripristino autorevole di un'intera sottostruttura è valido quando l'unità ORGANIZZATIVA di destinazione tramite il comando ntdsutil "authoritative restore" contiene la maggior parte degli oggetti che si siano tentando di ripristino auth. In teoria, l'unità ORGANIZZATIVA di destinazione contiene tutti gli oggetti che si siano tentando di ripristino auth.

      Un ripristino autorevole su una sottostruttura di unità ORGANIZZATIVA Ripristina tutti gli attributi e gli oggetti che risiedono nel contenitore. Le modifiche apportate al momento in cui viene ripristinato un backup dello stato del sistema vengono eseguito il rollback in base ai relativi valori al momento del backup. Con gli account utente, account computer e gruppi di protezione, il rollback può significare la perdita delle modifiche più recenti apportate alle password, nella home directory per il percorso del profilo, posizione e informazioni contatto per l'appartenenza al gruppo e per tutti i descrittori di protezione definite su tali oggetti e attributi.

      Ntdsutil viene utilizzata la seguente sintassi:
      Ntdsutil "authoritative restore" "ripristino sottostruttura <container DN path>" q q
      Ad esempio per auth ripristinare l'unità ORGANIZZATIVA Mayberry del dominio Contoso.com, utilizzare il comando riportato di seguito:
      "authoritative restore" Ntdsutil "ripristinare subtree ou = Mayberry, dc = contoso, dc = com" q q
    Nota Ripetere questo passaggio per ogni peer OU che gli host eliminati utenti o gruppi.

    Importante Quando si esegue il ripristino di un oggetto di un'unità ORGANIZZATIVA subordinato, tutti i contenitori padre degli oggetti subordinati eliminati devono essere esplicitamente auth ripristinato.
  8. Se gli oggetti eliminati sono stati ripristinati sul controller di dominio di ripristino a causa di un ripristino dello stato di sistema, rimuovere tutti i cavi di rete che implementano la connettività di rete a tutti gli altri controller di dominio nell'insieme di strutture.
  9. Riavviare il controller di dominio ripristino normale modalità di Active Directory.
  10. Digitare il comando seguente per disattivare la replica in ingresso al controller di dominio di ripristino:
    repadmin /options <recovery dc name> + DISABLE_INBOUND_REPL
    Abilitare la connettività di rete al controller di dominio di ripristino dello stato del sistema in cui è stato ripristinato.
  11. Oggetti di replica in uscita-auth-ripristinato dal controller di dominio di ripristino ai controller di dominio nel dominio e dell'insieme di strutture.

    Durante la replica in ingresso al controller di dominio di ripristino rimane disattivata, digitare il comando riportato di seguito per gli oggetti ripristinati auth di push a controller di dominio di replica tra siti, il dominio e a tutti i cataloghi globali nell'insieme di strutture:
    repadmin/SyncAll /d /e /P <recovery dc> <Naming Context>
    Se le seguenti istruzioni sono true, i collegamenti di appartenenza al gruppo vengono ricostruiti con il ripristino e la replica degli account utente eliminato. Andare al passaggio 14.

    Nota Se uno o più delle seguenti istruzioni non è true, andare al passaggio 12.
    • L'insieme di strutture è in esecuzione in Windows Server 2003 foresta funzionale livello o a livello di funzionalità dell'insieme di strutture Windows Server 2003 interim.
    • Sono stati eliminati gli account utente o account di computer e non i gruppi di protezione.
    • Gli utenti eliminati sono stati aggiunti ai gruppi di protezione in tutti i domini nell'insieme di strutture dopo l'insieme di strutture è stato eseguito la transizione a livello di funzionalità dell'insieme di strutture Windows Server 2003.
  12. Determinare a quali gruppi di protezione gli utenti eliminati erano membri di e aggiungerli ai gruppi.

    Nota Prima di poter aggiungere utenti ai gruppi, gli utenti che si auth ripristinato nel passaggio 7 e chi in uscita replicato nel passaggio 11 devono siano state replicate ai controller di dominio nel dominio del controller di dominio a cui viene fatto riferimento e a tutti i controller di dominio di catalogo globale nell'insieme di strutture.

    Se è stata distribuita un'utilità gruppo di provisioning per reinserire dati di appartenenze per gruppi di protezione, utilizzare tale utilità ora per ripristinare eliminati gli utenti ai gruppi di protezione che erano membri di prima di essere stati eliminati. Eseguire questa operazione dopo che tutti i controller di dominio diretto e transitivo nel dominio dell'insieme di strutture e i server di catalogo globale sono in entrata-replicate eventuali contenitori ripristinati e gli utenti ripristinati auth.

    Se non è un'utilità di questo tipo, lo strumento della riga di comando di LDIFDE.exe e groupadd.exe della riga di comando dello strumento possibile automatizzare questa attività per l'utente durante l'esecuzione del ripristino controller di dominio. Questi strumenti sono disponibili da Microsoft Product Support Services. In questo scenario, Ldifde.exe consente di creare un file di informazioni LDIF (LDAP Data Interchange) che contiene i nomi degli account utente e i relativi gruppi di protezione, partendo da un contenitore di unità ORGANIZZATIVA in cui l'amministratore specifica. Groupadd.exe quindi legge l'attributo memberOf per ciascun account utente elencati nel file ldf, che quindi genera informazioni di LDIF univoche e separate per ogni dominio nell'insieme di strutture. Queste informazioni LDIF contengono i nomi dei gruppi di protezione che gli utenti eliminati devono essere aggiunti nuovamente in modo che possa essere ripristinato l'appartenenza al gruppo. Per questa fase del ripristino, attenersi alla seguente procedura.
    1. Accedere alla console di ripristino del domain controller utilizzando un account utente è un membro del gruppo di protezione dell'amministratore del dominio.
    2. Utilizzare il comando LDIFDE per eseguire il dump dei nomi degli account utente eliminato in precedenza e i relativi attributi memberOf, a partire dal contenitore dell'unità ORGANIZZATIVA di primo livello in cui si è verificato l'eliminazione. Il comando LDIFDE viene utilizzata la sintassi seguente:
      LDIFDE -d <dn path of container that hosts deleted users> - r (objectClass = user) "-l memberof -p sottostruttura -f user_membership_after_restore.ldf
      Utilizzare la seguente sintassi se eliminare gli account dei computer sono stati aggiunti ai gruppi di protezione:
      LDIFDE -d <dn path of container that hosts deleted users> "(objectClass=computer) - r" -l memberof -p sottostruttura -f computer_membership_after_restore.ldf
    3. Eseguire il comando Groupadd per creare ulteriori file .ldf che contengono i nomi di domini e i nomi dei gruppi di protezione globali e universali di cui gli utenti eliminati sono un membro di. Il comando Groupadd utilizza la sintassi seguente:
      after_restore users_membership_after_restore.ldf
      Ripetere questo comando se eliminare gli account sono stati aggiunti ai gruppi di protezione del computer.
    4. Importare ogni file ldf fully.qualified.domainname Groupadd_ creato nel passaggio 12 c a un controller di dominio singolo catalogo globale che corrisponde al file ldf di ciascun dominio. Utilizzare la sintassi di comando LDIFDE riportato di seguito:
      Ldifde – i – f –k Groupadd_ <fully.qualified.domain.name> ldf
      Eseguire il file ldf per il dominio in cui gli utenti eliminati da qualsiasi controller di dominio, tranne il controller di dominio di ripristino.
    5. Nella console di ciascun controller di dominio viene utilizzato per importare Groupadd_ <fully.qualified.domain.name> file ldf per un determinato dominio, in uscita-replicare le aggiunte di appartenenza di gruppo per gli altri controller di dominio nel dominio e ai controller di dominio di catalogo globale nell'insieme di strutture utilizzando il comando riportato di seguito:
      repadmin/SyncAll /d /e /P <recovery dc> <Naming Context>
  13. Per disattivare la replica in uscita, digitare il testo riportato di seguito e premere INVIO:
    repadmin /options + DISABLE_OUTBOUND_REPL
    Nota Per riattivare la replica in uscita, digitare il testo riportato di seguito e premere INVIO:
    repadmin /options - DISABLE_OUTBOUND_REPL
  14. Se gli utenti eliminati sono stati aggiunti ai gruppi locali nei domini esterni, effettuare una delle seguenti operazioni:
    • Aggiungere manualmente gli utenti eliminati a tali gruppi.
    • Ripristinare lo stato del sistema e auth ripristinare ciascuno dei gruppi di protezione locale che contiene gli utenti eliminati.
  15. Verificare l'appartenenza ai gruppi nel dominio del controller di dominio di ripristino e nei cataloghi globali in altri domini.
  16. Effettuare un nuovo sistema il backup dello stato dei controller di dominio nel dominio del controller di dominio di ripristino.
  17. Informare tutti gli amministratori delle foreste, gli amministratori delegati, consentire agli amministratori desk nell'insieme di strutture e gli utenti del dominio che è stato completato il ripristino dell'utente.

    Gli amministratori di help desk potrebbero essere necessario reimpostare le password degli account utente ripristinato di autenticazione e account computer cui password di dominio modificato dopo che il sistema ripristinato è stato effettuato.

    Gli utenti che ha modificato la propria password dopo che è stato effettuato il backup dello stato del sistema scopriranno che le password più recente non funziona più. Disporre di tali utenti tenta di accedere utilizzando le proprie password precedente se che li conoscono. In caso contrario, gli amministratori di help desk devono reimpostare la password e selezionare la casella di controllo Cambiamento obbligatorio password all'accesso successivo, preferibilmente su un controller di dominio nello stesso sito Active Directory, come l'utente si trova nella.

Metodo 3: Ripristino autorevole di utenti eliminati e i gruppi di protezione degli utenti eliminati due volte

Quando si utilizza questo metodo, è necessario eseguire i passaggi generali seguenti:
  1. Verificare se un catalogo globale nel dominio dell'utente non ha replicato l'eliminazione e quindi impedire tale controller di dominio di ingresso-replicare l'eliminazione. Se è presente alcun catalogo globale latente, individuare il backup dello stato del sistema più recente di un controller di dominio di catalogo globale nel dominio principale dell'utente eliminato.
  2. Ripristino autorevole tutti gli account utente eliminato e tutti i gruppi di protezione nel dominio dell'utente eliminato.
  3. Attendere la replica end-to-end di utenti ripristinati e i gruppi di protezione per tutti i controller di dominio nel dominio dell'utente eliminato e per i controller di dominio di catalogo globale dell'insieme di strutture.
  4. Ripetere i passaggi 2 e 3 per autorevolmente ripristino eliminata utenti e gruppi di protezione. (È ripristinare lo stato del sistema solo una volta.)
  5. Se gli utenti eliminati sono membri di gruppi di protezione di altri domini, eseguire il ripristino autorevole tutti i gruppi di protezione che gli utenti eliminati erano membri di tali domini. In alternativa, se i backup dello stato del sistema correnti, Ripristina autorevolmente tutti i gruppi di protezione di tali domini.
Per soddisfare il requisito che i membri del gruppo eliminato deve essere ripristinato prima di gruppi di protezione per correggere i collegamenti di appartenenza al gruppo, è possibile ripristinare entrambi i tipi di oggetto due volte in questo metodo. Il primo ripristino inserisce tutti gli account utente e account di gruppo nella posizione e il secondo ripristino consente di ripristinare i gruppi eliminati e ripristina le informazioni di appartenenza al gruppo, incluse le informazioni di appartenenza per i gruppi nidificati.

Per utilizzare il metodo 3, attenersi alla seguente procedura:
  1. Verificare se un controller di dominio di catalogo globale esiste nel dominio principale di utenti eliminati e non è stato replicato in qualsiasi parte dell'eliminazione.

    Nota Concentrarsi sui cataloghi globali di dominio che dispone di meno frequenti pianificazioni di replica. In presenza di questi controller di dominio, utilizzare lo strumento della riga di comando repadmin.exe per disattivare immediatamente la replica in ingresso. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Fare clic sul pulsante Start e quindi fare clic su Esegui.
    2. Digitare il comando nella casella Apri e quindi fare clic su OK.
    3. Digitare repadmin opzione <recovery dc name> + DISABLE_INBOUND_REPL al prompt dei comandi e premere INVIO.

      NotaSe non è possibile eseguire immediatamente il comando Repadmin, rimuovere tutta la connettività rete dal controller di dominio fino a quando non è possibile utilizzare Repadmin per disattivare la replica in ingresso e quindi tornare immediatamente connettività di rete.
    Questo controller di dominio si fa riferimento come controller di dominio di ripristino.
  2. Evitare di eseguire aggiunte, eliminazioni e modifiche apportate ai seguenti elementi finché non sono state completate tutte le operazioni di ripristino. Le modifiche includono reimpostazioni password per gli utenti del dominio, consentire agli amministratori di assistenza e agli amministratori di dominio in cui si è l'eliminazione verificato, oltre alle modifiche all'appartenenza ai gruppi in gruppi degli utenti eliminati.
    1. Gli account utente e gli attributi degli account utente
    2. Gli account computer e gli attributi per gli account computer
    3. Account di servizio
    4. Gruppi di protezione

      NotaEvitare soprattutto le modifiche apportate all'appartenenza ai gruppi di utenti, computer, gruppi e account di servizio nell'insieme di strutture in cui si è verificato l'eliminazione.
    5. Notifica a tutti gli amministratori dell'insieme di strutture, gli amministratori delegati e gli amministratori desk Guida nell'insieme di strutture di stand-down temporaneo.
    È necessario questo stand-down nel metodo 2 poiché si esegue il ripristino autorevole di gruppi di protezione tutti eliminati degli utenti. Di conseguenza, le eventuali modifiche apportate ai gruppi dopo la data stato del sistema di backup vengono perse.
  3. Creare un nuovo backup dello stato del sistema nel dominio in cui si è verificato l'eliminazione. È possibile utilizzare questa copia di backup se è necessario annullare le modifiche apportate.

    NotaSe il backup dello stato del sistema corrente fino al momento in cui si è verificato l'eliminazione, ignorare questo passaggio e andare al passaggio 4.

    Se è stato identificato un controller di dominio di ripristino nel passaggio 1, eseguire il backup lo stato di sistema ora.

    Se tutti i cataloghi globali che si trovano nel dominio in cui si è verificato l'eliminazione replicato l'eliminazione, eseguire il backup dello stato del sistema di un catalogo globale nel dominio in cui si è verificato l'eliminazione.

    Quando si crea una copia di backup, è possibile ripristinare il controller di dominio di ripristino dello stato corrente ed eseguire nuovamente il piano di ripristino se il primo tentativo non riesce.
  4. Se non si riesce a trovare un controller di dominio latente catalogo globale nel dominio in cui si è verificato l'eliminazione dell'utente, trovare il backup dello stato del sistema più recente di un controller di dominio di catalogo globale nel dominio. Questa copia di backup dello stato del sistema deve contenere gli oggetti eliminati. Utilizzare questo controller di dominio come controller di dominio di ripristino.

    Solo i database dei controller di dominio di catalogo globale nel dominio dell'utente contengono informazioni sull'appartenenza al gruppo di domini esterni nell'insieme di strutture. Se è presente alcun backup dello stato del sistema di un controller di dominio di catalogo globale nel dominio in cui gli utenti sono stati eliminati, non è possibile utilizzare l'attributo memberOf gli account utente ripristinato per determinare l'appartenenza ai gruppi globali o universali o per ripristinare l'appartenenza a domini esterni. Andare al passaggio successivo. Se è presente un record esterno dell'appartenenza al gruppo nei domini esterni, è necessario aggiungere gli utenti ripristinati ai gruppi di protezione in tali domini dopo che sono stati ripristinati gli account utente.
  5. Se si conosce la password per l'account amministratore in modalità non in linea, avviare il controller di dominio di ripristino in modalità Dsrepair. Se non si conosce la password per l'account amministratore in modalità non in linea, reimpostare la password mentre il controller di dominio di ripristino è ancora in Active Directory normali modalità.

    È possibile utilizzare lo strumento della riga di comando setpwd per reimpostare la password nel domain controller che eseguono Windows 2000 Service Pack 2 (SP2) e successivamente mentre questi sono in modalità in linea di Active Directory.

    Nota Microsoft non supporta più Windows 2000 SP2. Installare il service pack per Windows 2000 più recente per ottenere questa funzionalità.

    Per ulteriori informazioni sulla modifica della password di amministratore di console di ripristino, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    239803  (http://support.microsoft.com/kb/239803/ ) Come modificare la password dell'amministratore console di ripristino su un controller di dominio
    Gli amministratori dei controller di dominio Windows Server 2003 è possono utilizzare il comando set dsrm passwordl'utilità della riga di comando Ntdsutil per reimpostare la password per l'account dell'amministratore in modalità non in linea.

    Per ulteriori informazioni su come reimpostare l'account di amministratore modalità ripristino servizi directory, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    322672  (http://support.microsoft.com/kb/322672/ ) Come reimpostare la password dell'account amministratore modalità per ripristino servizi directory in Windows Server 2003
  6. Premere F8 durante il processo di avvio per avviare il controller di dominio di ripristino in mode.Log DSREPAIR alla console del controller di dominio di ripristino con l'account di amministratore in modalità non in linea. Se si reimposta la password nel passaggio 5, utilizzare la nuova password.

    Se il controller di dominio di ripristino è un controller di dominio di catalogo globale latente, non ripristinare lo stato del sistema. Passare direttamente al passaggio 7.

    Se si sta creando il controller di dominio di ripristino utilizzando un backup dello stato del sistema, ripristinare il backup dello stato del sistema più recente apportata sul controller di dominio di ripristino contiene ora gli oggetti eliminati.
  7. Autenticazione ripristinare gli account utente eliminato, account computer eliminato o i gruppi di protezione eliminato.

    Nota I termini autenticazione ripristino e ripristino autorevole fare riferimento al processo di utilizzando il comando di ripristino autorevole dello strumento della riga di comando Ntdsutil per incrementare i numeri di versione di specifici oggetti o contenitori specifici e i relativi oggetti subordinati. Non appena viene eseguita la replica end-to-end, gli oggetti destinazione della copia locale del controller di dominio di ripristino di Active Directory diventano autorevoli su tutti i controller di dominio che condividono tale partizione. Un ripristino autorevole è diverso da un ripristino dello stato del sistema. Inserisce in un ripristino dello stato del sistema copia locale del controller di dominio ripristinato di Active Directory con le versioni degli oggetti nel momento in cui è stato effettuato il backup dello stato del sistema.

    Per ulteriori informazioni sull'autenticazione ripristino di un controller di dominio, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    241594  (http://support.microsoft.com/kb/241594/ ) Come eseguire un ripristino autorevole per un controller di dominio in Windows 2000


    Ripristini autorevoli vengono eseguiti con lo strumento della riga di comando Ntdsutil facendo riferimento il percorso del nome (dn) del dominio degli utenti eliminati o dei contenitori di host che gli utenti eliminati.

    Quando si auth ripristino, utilizzare dominio nome (dn) percorsi bassa della struttura di dominio che abbiano essere per evitare il ripristino di oggetti che non sono correlati all'eliminazione. Questi oggetti possono includere oggetti che sono stati modificati dopo che è stato effettuato il backup dello stato del sistema.

    Autenticazione ripristino eliminati gli utenti nel seguente ordine:
    1. Autenticazione ripristinare il percorso del nome (dn) di dominio per ogni account utente eliminato, account computer o gruppo di protezione eliminato.

      Operazioni di ripristino autorevole di oggetti specifici richiedere più tempo ma sono distruttivi inferiore rispetto a operazioni di ripristino autorevole di un'intera sottostruttura. Autenticazione ripristinare il contenitore padre comune più basso contenente gli oggetti eliminati.

      Ntdsutil viene utilizzata la seguente sintassi:
      Ntdsutil "authoritative restore" "ripristino oggetto <object DN path>" q q
      Ad esempio, ripristinare l'utente eliminato a auth JohnDoe in Mayberry unità ORGANIZZATIVA del dominio Contoso.com, utilizzare il comando riportato di seguito:
      "authoritative restore" Ntdsutil "ripristinare l'oggetto cn = FrancoVerdi, ou = Mayberry, dc = contoso, dc = com" q q
      Autenticazione ripristino protezione eliminata gruppo ContosoPrintAccess nell'unità ORGANIZZATIVA Mayberry del dominio Contoso.com, utilizzare il comando riportato di seguito:
      "authoritative restore" Ntdsutil "ripristinare l'oggetto cn = ContosoPrintAccess, ou = Mayberry, dc = contoso, dc = com" q q


      Importante È necessario utilizzare delle offerte.

      Mediante Ntdsutil questo formato, è inoltre possibile automatizzare il processo di ripristino autorevole di molti oggetti in un file batch o uno script.
      NotaQuesta sintassi è disponibile solo in Windows Server 2003. È possibile utilizzare la sintassi sola in Windows 2000: ntdsutil "authoritative restore" "ripristino sottostruttura object DN path".
    2. Autenticazione ripristinare solo i contenitori di unità ORGANIZZATIVA o a nome comune (CN) host che l'utente eliminato, account o gruppi.

      Eseguire il ripristino autorevole di un'intera sottostruttura è valido quando l'unità ORGANIZZATIVA di destinazione tramite il comando di ripristino autorevole di Ntdsutil contiene la maggior parte degli oggetti che si siano tentando di ripristino auth. In teoria, l'unità ORGANIZZATIVA di destinazione contiene tutti gli oggetti che si siano tentando di ripristino auth.

      Un ripristino autorevole su una sottostruttura di unità ORGANIZZATIVA Ripristina tutti gli attributi e gli oggetti che risiedono nel contenitore. Le modifiche apportate al momento in cui viene ripristinato un backup dello stato del sistema vengono eseguito il rollback in base ai relativi valori al momento del backup. Con gli account utente, account computer e gruppi di protezione, il rollback può significare la perdita delle modifiche più recenti apportate alle password, nella home directory per il percorso del profilo, posizione e informazioni contatto per l'appartenenza al gruppo e per tutti i descrittori di protezione definite su tali oggetti e attributi.

      Ntdsutil viene utilizzata la seguente sintassi:
      Ntdsutil "authoritative restore" "ripristino sottostruttura <container DN path>" q q
      Ad esempio per auth ripristinare l'unità ORGANIZZATIVA Mayberry del dominio Contoso.com, utilizzare il comando riportato di seguito:
      "authoritative restore" Ntdsutil "ripristinare subtree ou = Mayberry, dc = contoso, dc = com" q q
    Nota Ripetere questo passaggio per ogni peer OU che gli host eliminati utenti o gruppi.

    Importante Quando si esegue il ripristino di un oggetto di un'unità ORGANIZZATIVA subordinato, tutti i contenitori padre degli oggetti subordinati eliminati devono essere esplicitamente auth ripristinato.
  8. Riavviare il controller di dominio ripristino normale modalità di Active Directory.
  9. Uscita replicare oggetti ripristinati autorevolmente dal controller di dominio di ripristino per i controller di dominio nel dominio e dell'insieme di strutture.

    Durante la replica in ingresso al controller di dominio di ripristino rimane disattivata, digitare il comando riportato di seguito per inserire oggetti ripristinati autorevolmente per controller di dominio di replica tra siti, il dominio e cataloghi globali nell'insieme di strutture:
    repadmin/SyncAll /d /e /P <recovery dc> <Naming Context>
    Dopo il ripristino di tutti gli utenti ripristinati autorevolmente sono replicati i controller di dominio diretto e transitivo nel dominio dell'insieme di strutture e i server di catalogo globale e tutti i contenitori, andare al passaggio 11.

    Se le seguenti istruzioni sono true, i collegamenti di appartenenza al gruppo vengono ricostruiti con il ripristino degli account utente eliminato. Andare al passaggio 13.
    • L'insieme di strutture è in esecuzione in Windows Server 2003 foresta funzionale livello o a livello funzionale di Windows Server 2003 interim.
    • Solo gruppi di protezione non sono stati eliminati.
    • Tutti gli utenti eliminati sono stati aggiunti tutti i gruppi di protezione in tutti i domini nell'insieme di strutture.
    Si consiglia di utilizzare il comando Repadmin per accelerare la replica in uscita degli utenti dal controller di dominio ripristinato.

    Se sono stati eliminati anche i gruppi o se non è in grado di garantire che tutti gli utenti eliminati sono stati aggiunti tutti i gruppi di protezione dopo la transizione a Windows Server 2003 interim o livello funzionalità insieme di strutture, andare al passaggio 12.
  10. Ripetere i passaggi 7, 8 e 9 senza eseguire il ripristino dello stato del sistema e quindi andare al passaggio 11.
  11. Se gli utenti eliminati sono stati aggiunti ai gruppi locali nei domini esterni, effettuare una delle seguenti operazioni:
    • Aggiungere manualmente gli utenti eliminati a tali gruppi.
    • Ripristinare lo stato del sistema e auth ripristinare ciascuno dei gruppi di protezione locale che contiene gli utenti eliminati.
  12. Verificare l'appartenenza ai gruppi nel dominio del controller di dominio di ripristino e nei cataloghi globali in altri domini.
  13. Utilizzare il comando seguente per abilitare la replica in ingresso al controller di dominio di ripristino:
    repadmin /options recovery dc name - DISABLE_INBOUND_REPL
  14. Eseguire backup dei controller di dominio nel dominio del controller di dominio di ripristino e i cataloghi globali in altri domini nell'insieme di strutture un nuovo stato del sistema.
  15. Informare tutti gli amministratori dell'insieme di strutture, gli amministratori delegati, gli amministratori di supporto della Guida in linea nell'insieme di strutture e gli utenti del dominio che è stato completato il ripristino dell'utente.

    Gli amministratori di help desk potrebbero essere necessario reimpostare le password degli account utente auth ripristinato e gli account computer cui password di dominio modificato dopo che il sistema ripristinato è stato effettuato.

    Gli utenti che ha modificato la propria password dopo che è stato effettuato il backup dello stato del sistema scopriranno che le password più recente non funziona più. Disporre di tali utenti tenta di accedere utilizzando le proprie password precedente se che li conoscono. In caso contrario, gli amministratori di help desk devono reimpostare la password con la casella di controllo Cambiamento obbligatorio password all'accesso successivo è selezionata, preferibilmente su un controller di dominio nello stesso sito Active Directory come l'utente si trova nella.

Come recuperare gli utenti eliminati su un controller di dominio Windows Server 2003 quando non si dispone di un backup dello stato del sistema valido

Se non si dispongono i backup dello stato del sistema corrente in un dominio in cui sono stati eliminati gli account utente o gruppi di protezione e si è verificato durante l'eliminazione di domini contenenti controller di dominio Windows Server 2003, attenersi alla seguente procedura per recuperare manualmente gli oggetti eliminati dal contenitore di oggetti eliminati:
  1. Attenersi alla procedura descritta nella sezione "Come annullare l'eliminazione di oggetti nel contenitore oggetti eliminati manualmente" per recuperare eliminati gli utenti, computer, gruppi o tutte queste impostazioni.
  2. Utilizzare utenti e computer per modificare l'account da disabilitato a abilitato. (L'account viene visualizzata nell'unità ORGANIZZATIVA originale).
  3. Utilizzare la massa Reimposta le funzionalità di Windows Server 2003 versione di Active Directory Users and Computers per l'esecuzione di massa consente di ripristinare l'impostazione di criterio "Modifica password obbligatoria all'accesso successivo", la home directory, il percorso del profilo e l'appartenenza al gruppo per il conto eliminato come richiesto. È inoltre possibile utilizzare un equivalente a livello di programmazione di queste funzionalità.
  4. Se è stato utilizzato Microsoft Exchange 2000 o versioni successive, ripristinare la cassetta postale di Exchange per l'utente eliminato.
  5. Se è stato utilizzato Exchange 2000 o versioni successive, associare l'utente eliminato con la cassetta postale di Exchange.
  6. Verificare che l'utente ripristinato può accedere e accedere alle directory locali, le directory condivise e file.
È possibile automatizzare alcune o tutte queste operazioni per il ripristino utilizzando i metodi seguenti:
  • Scrivere uno script che automatizza le operazioni di ripristino manuale elencati nel passaggio 1. Quando si scrive uno script, prendere in considerazione l'oggetto eliminato di ambito, data, ora e l'ultimo contenitore padre conosciuto e quindi automatizzare il recupero dell'oggetto eliminato. Per automatizzare il recupero degli oggetti, modificare l'attributo isDeleted da TRUE a FALSE e modifica il relativo nome al valore definito nell'attributo lastKnownParent o in una nuova unità ORGANIZZATIVA o contenitore comune (CN) del nome specificato dall'amministratore distinto. (Il nome distinto relativo noto anche come è il RDN).
  • Per ottenere un programma non Microsoft che supporta il recupero degli oggetti eliminati nei controller di dominio Windows Server 2003. Una tale utilità è AdRestore. Annullare l'eliminazione di primitive per annullare l'eliminazione di oggetti singolarmente AdRestore utilizza Windows Server 2003. Aelita Software Corporation e sistemi Commvault offrono anche annullare l'eliminazione di prodotti che supportano funzionalità nei controller di dominio basato su Windows Server 2003.

    Per ottenere AdRestore, visitare il seguente sito Web:
    http://technet.microsoft.com/en-us/sysinternals/bb963906.aspx (http://technet.microsoft.com/en-us/sysinternals/bb963906.aspx)
Microsoft fornisce informazioni su come contattare altri produttori allo scopo di facilitare l'individuazione del supporto tecnico. Queste informazioni sono pertanto soggette a modifica senza preavviso. Microsoft non garantisce l'accuratezza delle informazioni per contattare altri produttori.

Come annullare l'eliminazione di manualmente oggetti nel contenitore dell'oggetto eliminato

Per annullare manualmente l'eliminazione di oggetti nel contenitore dell'oggetto eliminato, attenersi alla seguente procedura:
  1. Fare clic sul pulsante Start, scegliere Esegui e quindi digitare ldp.exe.

    Nota Se non è installata l'utilità LDP, installare gli strumenti di supporto dal CD di installazione di Windows Server 2003.
  2. Utilizzare il menu di connessione in LDP per eseguire le operazioni di connessione e le operazioni di associazione a un controller di dominio Windows Server 2003.

    Specificare le credenziali di amministratore di dominio durante l'operazione di associazione.
  3. Fare clic su controlli dal menu Opzioni.
  4. Nell'elenco Load Predefined, scegliere Return Deleted Objects.

    Nota Sposta il controllo 1.2.840.113556.1.4.417Active Controls finestra.
  5. In Tipo di controllo, fare clic su server e scegliere OK.
  6. Fare clic su struttura dal menu Visualizza, digitare il percorso del nome distinto del contenitore oggetti eliminati nel dominio in cui si è verificato l'eliminazione e quindi fare clic su OK.

    Nota Il percorso del nome distinto è noto anche come il percorso DN. Ad esempio, se si è verificato l'eliminazione del dominio contoso.com, il percorso DN sarebbe il seguente percorso:
    CN = deleted Objects, dc = contoso, dc = com
  7. Nel riquadro sinistro della finestra, fare doppio clic sul Contenitore degli oggetti eliminati.

    Nota Come risultato di una ricerca della query Idap, 1000 solo gli oggetti vengono restituiti in base all'impostazione predefinita. Esempio fot se esistono più di 1.000 oggetti nel contenitore degli oggetti eliminati non tutti gli oggetti visualizzati in questo contenitore. Se l'oggetto di destinazione non viene visualizzato, utilizzare ntdsutil e quindi impostare il numero massimo utilizzando maxpagesize per ottenere i risultati della ricerca.
  8. Fare doppio clic sull'oggetto che si desidera annullare l'eliminazione o recuperare.
  9. Fare clic con il pulsante destro del mouse sull'oggetto che si desidera recuperare e quindi fare clic su Modifica.

    Modificare il valore dell'attributo isDeleted e il percorso DN in un ambiente unico Lightweight Directory Access Protocol (LDAP) operazione di modifica. Per configurare la finestra di dialogo Modifica, attenersi alla seguente procedura:
    1. Nella casella Edit Entry Attribute digitare isDeleted.

      Lasciare vuota la casella valore.
    2. Fare clic sul pulsante di opzione Elimina e quindi fare clic su INVIO per rendere il primo di due voci nella finestra di dialogo Elenco Entry.

      Importante Non fare clic su Esegui.
    3. Nella casella Attribute digitare distinguishedName.
    4. Nella casella valori percorso tipo nuovo DN dell'oggetto recuperato.

      Ad esempio, per recuperare il FrancoVerdi utente account per l'unità ORGANIZZATIVA Mayberry, utilizzo il DN seguente percorso:
      cn = JohnDoe, ou = Mayberry, dc = contoso, dc = com
      Nota Se si desidera recuperare un oggetto eliminato al relativo contenitore originale, aggiungere il valore dell'attributo lastKnownParent dell'oggetto eliminato al relativo valore CN e quindi incollare il percorso DN completo nella casella valori.
    5. Nella casella Operation fare clic su REPLACE.
    6. Fare clic su INVIO.
    7. Fare clic per selezionare la casella di controllo sincrona.
    8. Fare clic per selezionare la casella di controllo esteso.
    9. Fare clic su RUN.
  10. Una volta recuperare gli oggetti, fare clic su Controlli dal menu Opzioni, fare clic sul pulsante Estrai per rimuovere (1.2.840.113556.1.4.417) dell'elenco Active Controls.
  11. Reimpostare le password degli account utente, i profili, le home directory e dell'appartenenza al gruppo per gli utenti eliminati.

    Quando l'oggetto è stato eliminato, sono stati rimossi tutti i valori di attributo, ad eccezione di SID, ObjectGUID, LastKnownParent e SAMAccountName.
  12. Abilitare l'account in Active Directory Users and Computers recuperato.

    Nota L'oggetto recuperato ha lo stesso SID primario che aveva prima dell'eliminazione, ma l'oggetto deve essere aggiunto nuovamente per gli stessi gruppi di protezione hanno lo stesso livello di accesso alle risorse. La prima versione di Windows Server 2003 non consente di mantenere l'attributo sIDHistory degli account utente recuperato, account computer e gruppi di protezione. Windows Server 2003 con Service Pack 1 viene mantenuta l'attributo sIDHistory in oggetti eliminati.
  13. Rimuovere gli attributi di Microsoft Exchange e riconnettere l'utente alla cassetta postale di Exchange.

    Nota Recupero degli oggetti eliminati è supportato quando si verifica l'eliminazione su un controller di dominio Windows Server 2003. Recupero degli oggetti eliminati non supportata quando si verifica l'eliminazione su un controller di dominio Windows 2000 che viene successivamente aggiornato a Windows Server 2003.

    Nota Se si verifica l'eliminazione su un controller di dominio Windows 2000 nel dominio, l'attributo lastParentOf non viene popolata nei controller di dominio Windows Server 2003.

Come determinare quando e dove si è verificata un'eliminazione.

Quando gli utenti vengono eliminati a causa di un'eliminazione in blocco, è possibile che si desideri apprendere in cui ha avuto origine l'eliminazione. A tale scopo, attenersi alla seguente procedura:
  1. Se il controllo è stato configurato correttamente per tenere traccia dell'eliminazione di contenitori di unità organizzativa (OU) o di oggetti subordinati, utilizzare un'utilità che cerca il registro eventi di protezione dei controller di dominio nel dominio in cui si è verificato l'eliminazione. Un'utilità cerca i registri eventi in un gruppo con ambito di controller di dominio è l'utilità EventCombMT. EventCombMT è parte del set di strumenti Windows Server 2003 Resource Kit Tools.

    Per ulteriori informazioni su come ottenere Windows Server 2003 Resource Kit Tools set di strumenti, visitare il seguente sito Web Microsoft:
    http://technet.microsoft.com/en-us/windowsserver/bb693323.aspx (http://technet.microsoft.com/en-us/windowsserver/bb693323.aspx)
  2. Seguire i passaggi da 1 a 7 nella sezione "Come annullare l'eliminazione di oggetti nel contenitore dell'oggetto eliminato manualmente" per individuare le identità di protezione eliminato. Se è stata eliminata una struttura, attenersi alla seguente procedura per individuare un contenitore padre dell'oggetto eliminato.
  3. Copiare il valore dell'attributo objectGUID negli Appunti di Windows.

    È possibile incollare questo valore quando si immette il comando Repadmin nel passaggio 4.
  4. Digitare il comando riportato di seguito:
    repadmin /showmeta GUID = <objectGUID > <FQDN>
    Ad esempio, se l'attributo objectGUID dell'oggetto eliminato o del contenitore è 791273b2-eba7-registrato 4285-a117-aa804ea76e95 e il nome di dominio completo (FQDN) è dc.contoso.com, digitare il comando riportato di seguito:
    repadmin /showmeta GUID = 791273b2-eba7-registrato 4285-a117-aa804ea76e95 dc.contoso.com
    La sintassi del comando deve includere il GUID del contenitore o l'oggetto eliminato e il nome FQDN del server che si desidera che al codice sorgente da.
  5. Nell'output del comando Repadmin trovare controller di origine data, ora e dominio per l'attributo isDeleted. For example, information for the isDeleted attribute appears in the fifth line of the following sample output:
    Loc.USN  Originating DC                  Org.USN  Org.Time/Date       Ver  Attribute
    -----------------------------------------------------------------------------------------------
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  objectClass
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  ou
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  instanceType
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  whenCreated
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   1  isDeleted
     134759  Default-First-Site-Name\NA-DC1   134759  2004-03-15 17:41:20   1  nTSecurityDescriptor
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  name
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   1  lastKnownParent
     134760  Default-First-Site-Name\NA-DC1   134760  2004-03-15 17:41:22   2  objectCategory
  6. Se il nome del controller di dominio di origine nella seconda colonna di output viene visualizzato come un GUID alfanumerico di 32 caratteri, utilizzare il comando ping per risolvere il GUID per l'indirizzo IP e il nome del controller di dominio che ha originato l'eliminazione. Il comando ping utilizza la sintassi seguente:
    eseguire il ping –a <originating DC GUID> controller ._msdomain. <fully qualified path for forest root domain>
    Nota L'opzione "-un" viene applicata la distinzione tra maiuscole e minuscole. Utilizzare il nome di dominio completo del dominio principale dell'insieme di strutture indipendentemente dal dominio in cui risiede il controller di dominio di origine.

    Ad esempio, se fosse un GUID di 644eb7e7-1566-4f29-a778-4b487637564b controller di dominio di origine si trovava in qualsiasi dominio nell'insieme di strutture contoso.com, digitare il seguente comando:
    ping –a 644eb7e7 - 1566 - 4f29 - a778 - 4b487637564b._msdomain controllers.contoso.com
    L'output restituito da questo comando è simile al seguente:
    Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:
    
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
  7. Per visualizzare il Registro di protezione del controller di dominio che ha originato l'eliminazione o l'ora indicata nell'output del comando Repadmin nel passaggio 5.

    Considerare ora skews e Cambia fuso orario tra i computer che sono stati utilizzati per arrivare a questo punto. Se si elimina controllo per i contenitori di unità ORGANIZZATIVA o per gli oggetti eliminati, prestare attenzione gli eventi di controllo rilevanti. Se il controllo non è attivato, prestare attenzione agli utenti che ha le autorizzazioni eliminare gli oggetti subordinati in essi contenuti o i contenitori UO e che inoltre stato autenticato in base a controller di dominio di origine nel tempo prima dell'eliminazione.

Come ridurre al minimo l'impatto di eliminazioni di massa in futuro

Tasti per ridurre al minimo l'impatto dell'eliminazione di massa di utenti di computer e di protezione sono gruppi per assicurarsi di disporre i backup dello stato del sistema aggiornate, strettamente controllo accesso agli account utente con privilegi, controllo strettamente tali account possono effettuare e infine, ripristino di esercitazione di eliminazioni di massa.

Ogni giorno si verifica una modifica dello stato di sistema. Queste modifiche possono includere reimpostazioni password per gli account utente e sugli account computer oltre alle modifiche all'appartenenza ai gruppi e altre modifiche di attributo degli account utente, account computer e gruppi di protezione. Se la connessione non riesce hardware, il software non riesce o il sito si verifica un altro d'emergenza, sarà necessario ripristinare i backup sono stati apportati dopo ogni insieme di modifiche in ogni dominio di Active Directory e il sito nell'insieme di strutture significativi. Se non mantengono i backup correnti, si potrebbero perdere dati oppure potrebbe essere necessario eseguire il rollback degli oggetti ripristinati.

Microsoft consiglia di eseguire le operazioni seguenti per evitare massa eliminazioni:
  1. Non condividere la password per gli account amministratore incorporato o autorizzare gli account utente con privilegi di amministrazione comuni da condividere. Se la password per l'account predefinito administrator è noto, modificare la password e definire un processo interno sconsiglia l'utilizzo. Gli eventi di controllo per gli account utente condiviso rendono Impossibile determinare l'identità dell'utente che sta apportando modifiche in Active Directory. Pertanto, deve essere sconsigliato l'utilizzo di account utente condiviso.
  2. È molto raro che gli account utente, account computer e gruppi di protezione intenzionalmente vengono eliminati. Questo vale soprattutto le eliminazioni della struttura. Disassociare la capacità del servizio e gli amministratori delegati per eliminare tali oggetti dalla possibilità di creare e gestire gli account utente, account computer, gruppi di protezione, i contenitori UO e i relativi attributi. Concedere solo gli account utente con più privilegi o i gruppi di protezione Elimina il diritto di eseguire la struttura ad albero. Questi account utente con privilegi possono includere gli amministratori dell'organizzazione.
  3. Concedere l'accesso solo alla classe dell'oggetto che gli amministratori sono autorizzati a gestire gli amministratori delegati. Ad esempio, è preferibile se un amministratore desk Guida cui processo principale consiste nel modificare le proprietà degli account utente non dispone di autorizzazioni per creare ed eliminare gli account computer, gruppi di protezione o i contenitori UO. Questa restrizione si applica anche per eliminare autorizzazioni per gli amministratori di altre classi oggetto specifico.
  4. Sperimentare con le impostazioni di controllo per tenere traccia delle operazioni di eliminazione di un dominio di laboratorio. Dopo che si ha familiarità con i risultati, applicare la migliore soluzione per il dominio di produzione.
  5. Vendita all'ingrosso modifiche controllo di accesso e controllo sui contenitori di decine di migliaia di oggetti host può rendere il database di Active Directory aumentare significativamente, soprattutto in domini Windows 2000. Utilizzare un dominio di prova che rispecchia il dominio di produzione per valutare i potenziali modifiche per liberare spazio su disco. Controllare i volumi del disco rigido che host file Ntds.dit spazio file e i file di registro del controller di dominio nel dominio di produzione gratuitamente su disco. Evitare l'impostazione di controllo di accesso e controllare le modifiche sulla testina di controller di dominio rete. Apportare queste modifiche inutilmente viene applicato a tutti gli oggetti di tutte le classi in tutti i contenitori nella partizione. Ad esempio, evitare di apportare modifiche a Domain Name System (DNS) e servizio di manutenzione dei collegamenti (DLT) distribuiti registrare registrazione in CN = SYSTEM la cartella della partizione di dominio.
  6. Utilizzare la struttura ottimale delle unità ORGANIZZATIVE per separare gli account utente, account computer, gruppi di protezione e gli account di servizio nella propria unità organizzativa. Quando si utilizza tale struttura, è possibile applicare elenchi di controllo di accesso discrezionale (DACL) per gli oggetti di una singola classe per la delega dell'amministrazione e rendono possibile per gli oggetti da ripristinare in base alla classe di oggetti se devono essere ripristinati. La struttura delle unità ORGANIZZATIVE consigliata è illustrata nella sezione "Creating an Organizational Unit Design" del white paper Best Practice Active Directory Design for Managing Windows Networks. Per ottenere questo white paper, visitare il seguente sito Web Microsoft:
    http://technet.microsoft.com/en-us/library/Bb727085.aspx (http://technet.microsoft.com/en-us/library/Bb727085.aspx)
  7. Eliminazioni di massa di test in un ambiente di laboratorio che rispecchia il dominio di produzione. Scegliere il metodo di ripristino appropriati e quindi personalizzare all'organizzazione. È possibile che si desideri identificare quanto segue:
    • I nomi dei controller di dominio in ciascun dominio in cui eseguire regolarmente il backup
    • In cui memorizzare le immagini di backup

      In teoria, queste immagini vengono memorizzate su un disco rigido aggiuntivo locale a un catalogo globale in ciascun dominio nell'insieme di strutture.
    • I membri dell'help desk organizzazione da contattare
    • Il modo migliore per rendere tale contatto
  8. La maggior parte delle eliminazioni di blocco degli account utente, account di computer e dei gruppi di protezione che vede Microsoft è accidentale. Discutere questo scenario con personale IT e sviluppare un piano di azione interna. Al primo, concentrarsi sul rilevamento iniziale e nella restituzione funzionalità per gli utenti del dominio e per l'azienda più rapidamente possibile. È inoltre possibile eseguire una procedura per impedire le eliminazioni accidentali di massa che si verifichino modificando gli elenchi di controllo di accesso (ACL) delle unità organizzative. Per ulteriori informazioni su come utilizzare gli strumenti di interfaccia di Windows per impedire le eliminazioni accidentali di massa, visitare il seguente sito Web per visualizzare "Difesa contro accidentale massa eliminazioni in Active Directory":
    http://technet.microsoft.com/en-us/library/cc773347(WS.10).aspx (http://technet.microsoft.com/en-us/library/cc773347(WS.10).aspx)
    Per ulteriori informazioni su come impedire le eliminazioni accidentali di massa utilizzando DSACLS.exe nella riga di comando o utilizzando uno script, visitare il seguente sito Web per visualizzare "Script per unità organizzative (OU) di protezione dall'eliminazione accidentale":
    http://go.microsoft.com/fwlink/?LinkId=162623 (http://go.microsoft.com/fwlink/?LinkId=162623)

Strumenti e script che consentono di ripristinare le eliminazioni di massa

L'utilità della riga di comando groupadd.exe legge l'attributo memberOf di un insieme di utenti di un'unità ORGANIZZATIVA e genera un file ldf che ogni account utente ripristinato viene aggiunto ai gruppi di protezione in ogni dominio nell'insieme di strutture.

Groupadd.exe rileva automaticamente i gruppi di protezione che gli utenti eliminati e i domini erano membri di e aggiunge tali gruppi. Questo processo è descritto in dettaglio nel passaggio 11 del metodo 1.

Groupadd.exe viene eseguito sui controller di dominio seguente:
  • Controller di dominio Windows Server 2003
  • I controller di dominio Windows 2000 con .NET 1.1 framework installato
Groupadd.exe utilizza la sintassi seguente:
after_restore ldf_file [/ before_restore ldf_file]
In questo caso, ldf_file rappresenta il nome del file ldf da utilizzare con l'argomento precedente after_restore rappresenta l'origine dati su file utente e before_restore rappresenta i dati utente dall'ambiente di produzione. (L'origine dati su file utente è i dati utente).

Per ottenere groupadd.exe, contattare il servizio supporto tecnico clienti Microsoft Services.

I prodotti di terze parti in questo articolo sono forniti da società indipendenti. Microsoft non rilascia alcuna garanzia, implicita o esplicita, sulle prestazioni o all'affidabilità di questi prodotti.

Riferimenti

Per ulteriori informazioni su come ripristinare un oggetto che contiene caratteri estesi, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
886689  (http://support.microsoft.com/kb/886689/ ) L'operazione di ripristino autorevole di Ntdsutil non ha esito positivo se il percorso del nome distinto contiene caratteri estesi in Windows Server 2003 e in Windows 2000
Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportato di seguito:
824684  (http://support.microsoft.com/kb/824684/ ) Descrizione della terminologia standard utilizzata per descrivere gli aggiornamenti software Microsoft
910823  (http://support.microsoft.com/kb/910823/ ) Messaggio di errore quando si tenta di importare i file ldf in un computer che esegue Windows Server 2003 con Service Pack 1: "Aggiungi errore nella riga LineNumber: nessun oggetto di questo tipo"
937855  (http://support.microsoft.com/kb/937855/ ) Dopo aver ripristinato gli oggetti eliminati mediante un ripristino autorevole su un controller di dominio basato su Windows Server 2003, attributi collegati di alcuni oggetti non replicati ad altri controller di dominio

Per ulteriori informazioni su come utilizzare la funzionalità di Active Directory Cestino in Windows Server 2008 R2, riferimento Active Directory Recycle Bin Step-by-Step Guide disponibile da questo sito Web: http://technet.microsoft.com/en-us/library/dd392261(WS.10).aspx (http://technet.microsoft.com/en-us/library/dd392261(WS.10).aspx)

Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Web Server 2008 R2
Chiavi: 
kbmt kbhowto kbwinservds kbactivedirectory KB840001 KbMtit
Traduzione automatica articoliTraduzione automatica articoli
Il presente articolo è stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell’utente. Tuttavia, un articolo tradotto in modo automatico non è sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, più o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non è la sua. Microsoft non è responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell’utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell’articolo: 840001  (http://support.microsoft.com/kb/840001/en-us/ )
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Condividi
Altre opzioni per il supporto
Forum del supporto di Microsoft Community
Contattaci direttamente
Ricerca di un partner certificato Microsoft
Microsoft Store