DetailPage-MSS-KB

기술 자료

기술 자료: 840001 - 마지막 검토: 2007년 12월 11일 화요일 - 수정: 10.3

베타 정보
이 문서에서는 Microsoft 제품의 베타 릴리스에 대해 설명합니다. 이 문서의 정보는 "있는 그대로" 제공되며 사전 통보 없이 변경될 수 있습니다.

이 베타 제품은 Microsoft의 공식 제품 지원 서비스를 받을 수 없습니다. 베타 릴리스 지원을 얻는 방법에 대한 자세한 내용은 베타 제품 파일에 포함된 설명서를 참조하거나 릴리스를 다운로드한 웹 사이트를 확인하십시오.

이 페이지에서

요약

삭제된 사용자 계정, 컴퓨터 계정 및 보안 그룹을 복원하는 방법에는 세 가지가 있습니다. 이러한 개체를 모두 보안 사용자라고 합니다. 세 가지 방법에서는 삭제된 개체를 정식 복원한 다음 삭제된 보안 사용자에 대한 그룹 구성원 정보를 복원합니다. 삭제된 개체를 복원하는 경우 영향을 받은 보안 사용자의 membermemberOf 특성의 이전 값을 복원해야 합니다. 세 가지 방법은 다음과 같습니다.
  • 방법 1: 삭제된 사용자 계정을 복원한 다음 Ntdsutil.exe 명령줄 도구를 사용하여 복원한 사용자를 다시 해당 그룹에 추가(Microsoft Windows Server 2003 서비스 팩 1[SP1]만 해당)
  • 방법 2: 삭제된 사용자 계정을 복원한 후 복원한 사용자를 해당 그룹에 다시 추가
  • 방법 3: 삭제된 사용자 계정 및 삭제된 사용자의 보안 그룹을 두 번 정식 복원
방법 1과 2는 마지막 시스템 상태 백업 시간과 삭제가 발생한 시간 사이에 보안 그룹에 추가된 내용을 보존하므로 도메인 사용자 및 관리자에게 보다 나은 환경을 제공합니다. 방법 3에서는 보안 사용자를 개별적으로 조정하지 않고 보안 그룹 구성원을 마지막 백업 때의 상태로 롤백합니다.

유효한 시스템 상태 백업이 없고 삭제가 발생한 도메인에 Windows Server 2003 기반 도메인 컨트롤러가 있는 경우 삭제된 개체를 수동으로 또는 프로그래밍 방식으로 복구할 수 있습니다. 또한 Repadmin 유틸리티를 사용하여 사용자가 삭제된 시간과 위치를 확인할 수 있습니다.

대량 삭제는 대부분 실수로 인한 것입니다. 다른 사용자가 개체를 대량으로 삭제하지 않도록 여러 단계를 거치게 하는 것이 좋습니다.
참고 개체를 실수로 삭제하거나 이동하는 것을 방지하려면 두 개의 거부 ACE(액세스 제어 항목)를 각 개체의 보안 설명자에 추가하면 됩니다.

Windows 2000 Server와 Windows Server 2003에서 이렇게 하려면 Active Directory 사용자 및 컴퓨터, ADSIEdit, LDP 또는 DSACLS 명령줄 도구를 사용합니다. Windows Server 2008에서 Active Directory 사용자 및 컴퓨터 스냅인의 개체 탭에는 Protect this object from accidental deletion 확인란이 포함되어 있습니다. Windows Server 2008에서 Active Directory 사용자 및 컴퓨터를 사용하여 OU(조직 구성 단위)를 만드는 경우 Protect this object from accidental deletion 확인란이 나타납니다. 이 확인란은 기본적으로 선택됩니다.

이러한 ACE를 사용하여 Active Directory에서 각 개체를 구성할 수 있지만 이 구성은 OU에 가장 적합합니다. 모든 리프 개체를 삭제하거나 이동하면 중대한 영향을 미칠 수 있습니다. 이 구성은 이러한 삭제나 이동을 방지합니다. 이러한 구성을 사용하여 개체를 정말로 삭제하거나 이동하려면 거부 ACE를 먼저 제거해야 합니다.

추가 정보

이 문서에서는 Active Directory에서 삭제된 사용자 계정, 컴퓨터 계정 및 해당 그룹 구성원을 복원하는 방법을 단계별로 설명합니다. 이에 대한 다양한 시나리오에서는 사용자 계정, 컴퓨터 계정 또는 보안 그룹이 개별적으로 또는 일부 조합으로 삭제될 수 있습니다. 이러한 모든 경우에 동일하게 적용되는 첫 단계는 실수로 삭제한 개체를 정식 복원하는 것입니다. 삭제된 개체 중 일부는 복원하는 데 추가 작업이 필요합니다. 이러한 개체에는 다른 개체 특성의 백 링크인 특성을 포함하는 사용자 계정과 같은 개체가 포함됩니다. 이러한 두 가지 특성은 managedBymemberOf입니다.

사용자 계정, 보안 그룹 또는 컴퓨터 계정과 같은 보안 사용자를 보안 그룹에 추가하는 경우 Active Directory에서 다음과 같이 변경됩니다.
  1. 각 보안 그룹의 member 특성에 보안 사용자의 이름이 추가됩니다.
  2. 사용자, 컴퓨터 또는 보안 그룹을 구성원으로 포함하는 각 보안 그룹의 경우 보안 사용자의 memberOf 특성에 백 링크가 추가됩니다.
이와 마찬가지로 Active Directory에서 사용자, 컴퓨터 또는 그룹이 삭제되면 다음과 같은 동작이 발생합니다.
  1. 삭제된 보안 사용자가 삭제된 개체 컨테이너로 이동합니다.
  2. 삭제된 보안 사용자에서 memberOf 특성을 비롯한 여러 특성 값이 삭제됩니다.
  3. 삭제된 보안 사용자를 구성원으로 포함하는 모든 보안 그룹에서 삭제된 보안 사용자가 제거됩니다. 즉, 각 보안 그룹의 member 특성에서 삭제된 보안 사용자가 제거됩니다.
삭제된 보안 사용자를 복구하고 해당 그룹 구성원을 복원하려면 먼저 각 보안 사용자가 Active Directory에 있어야 합니다. 구성원은 사용자, 컴퓨터 또는 다른 보안 그룹일 수 있습니다. 이 규칙을 간단히 설명하면 해당 값이 백 링크인 특성을 포함하는 개체가 Active Directory에 있어야만 이 정방향 링크를 포함하는 개체를 복원하거나 수정할 수 있습니다.

이 문서는 보안 그룹에서 삭제된 사용자 계정 및 해당 구성원을 복구하는 방법에 중점을 두었지만 그 개념은 다른 개체를 삭제하는 경우에도 동일하게 적용됩니다. 이 문서의 개념은 해당 특성 값이 Active Directory에서 다른 개체에 대해 정방향 링크와 백 링크를 사용하는 삭제된 개체 간에 동일하게 적용됩니다.

세 가지 방법 중 하나를 사용하여 보안 사용자를 복구할 수 있습니다. 방법 1을 사용하는 경우 포리스트에서 보안 그룹에 추가된 모든 보안 사용자를 적절한 위치에 배치하고 각각의 해당 도메인에서 삭제된 보안 사용자만 해당 보안 그룹에 다시 추가합니다. 예를 들어, 시스템 상태를 백업하고 사용자를 보안 그룹에 추가한 다음 시스템 상태 백업을 복원합니다. 방법 1이나 2를 사용하는 경우 시스템 상태 백업이 만들어진 날짜와 백업이 복원된 날짜 사이에 삭제된 사용자를 포함하는 보안 그룹에 추가된 모든 사용자를 보존합니다. 방법 3을 사용하는 경우 삭제된 사용자를 포함하는 모든 보안 그룹의 보안 그룹 구성원을 시스템 상태 백업이 만들어진 시점의 상태로 롤백합니다.

방법 1: 삭제된 사용자 계정을 복원한 다음 Ntdsutil.exe 명령줄 도구를 사용하여 복원한 사용자를 다시 해당 그룹에 추가(Microsoft Windows Server 2003 서비스 팩 1[SP1]만 해당)

참고 이 방법은 Windows Server 2003 SP1을 실행하는 도메인 컨트롤러에서만 사용할 수 있습니다. 복구에 사용하는 도메인 컨트롤러에 Windows Server 2003 SP1이 설치되어 있지 않으면 방법 2를 사용하십시오.

Windows Server 2003 SP1에서 관리자가 삭제된 개체의 백 링크를 더욱 쉽게 복원할 수 있도록 하는 기능이 Ntdsutil.exe 명령줄 도구에 추가되었습니다. 각 정식 복원 작업에 대해 두 파일이 생성됩니다. 한 파일에는 정식 복원된 개체의 목록이 포함되어 있습니다. 다른 파일은 Ldifde.exe 유틸리티와 함께 사용되는 .ldf 파일입니다. 이 파일은 정식 복원된 개체의 백 링크를 복원하는 데 사용됩니다. Windows Server 2003 SP1에서 사용자 개체의 정식 복원을 수행하면 그룹 구성원과 함께 LDIF 파일도 생성됩니다. 이 방법은 이중 복원을 방지합니다.

이 방법을 사용하는 경우 다음 고급 단계를 수행하십시오.
  1. 사용자 도메인의 글로벌 카탈로그가 삭제 시 복제되지 않았는지 확인한 다음 해당 글로벌 카탈로그가 복제되지 않도록 합니다. 숨어 있는 글로벌 카탈로그가 없는 경우 삭제된 사용자의 홈 도메인에서 글로벌 카탈로그 도메인 컨트롤러의 최신 시스템 상태 백업을 찾습니다.
  2. 삭제된 사용자 계정을 모두 정식 복원한 다음 해당 사용자 계정의 종단 간 복제를 허용합니다.
  3. 사용자 계정이 삭제되기 전에 구성원이었던 모든 도메인에서 복원한 모든 사용자를 모든 그룹에 추가합니다.
방법 1을 사용하려면 다음과 같이 하십시오.
  1. 삭제된 사용자의 홈 도메인에 삭제된 내용이 복제되지 않은 글로벌 카탈로그 도메인 컨트롤러가 있는지 확인합니다.

    참고 복제 일정에서 거의 사용되지 않는 글로벌 카탈로그에 중점을 둡니다.

    이러한 글로벌 카탈로그가 하나 이상 있는 경우 Repadmin.exe 명령줄 도구를 사용하여 즉시 인바운드 복제를 비활성화합니다. 이렇게 하려면 다음과 같이 하십시오.
    1. 시작을 누르고 실행을 누릅니다.
    2. 열기 상자에 cmd를 입력한 다음 확인을 누릅니다.
    3. 명령 프롬프트에서 아래 명령을 입력하고 Enter 키를 누릅니다.
      repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
      참고 Repadmin 명령을 바로 실행할 수 없는 경우 Repadmin을 사용하여 인바운드 복제를 비활성화한 후 네트워크 연결을 바로 반환할 수 있을 때까지 숨겨진 글로벌 카탈로그에서 네트워크 연결을 모두 제거합니다.
    이 도메인 컨트롤러는 복구 도메인 컨트롤러로 참조됩니다. 이러한 글로벌 카탈로그가 없는 경우 2단계로 진행합니다.
  2. 다음 설명이 모두 맞는 경우 포리스트의 보안 그룹에 대한 변경 작업을 중지하는 것이 좋습니다.
    • 방법 1을 사용하여 삭제된 사용자 또는 컴퓨터 계정을 해당 DN(고유 이름) 경로에 의해 정식 복원 중입니다.
    • 숨겨진 복구 도메인 컨트롤러를 제외한 포리스트의 모든 도메인 컨트롤러에 삭제 항목이 복제되었습니다.
    • 보안 그룹 또는 해당 부모 컨테이너를 정식 복원하고 있지 않습니다.
    보안 그룹이나 사용자 계정을 호스팅하는 OU(조직 구성 단위) 컨테이너 또는 보안 그룹을 정식 복원 중인 경우 이러한 변경 작업을 모두 일시적으로 중지합니다.

    삭제가 발생한 도메인의 도메인 사용자 외에 해당 도메인의 관리자와 헬프 데스크 관리자에게도 변경 작업 중지에 대해 알립니다.
  3. 삭제가 발생한 도메인에 새 시스템 상태 백업을 만듭니다. 변경 사항을 롤백해야 하는 경우 이 백업을 사용할 수 있습니다.

    참고 삭제가 발생한 시점까지 시스템 상태 백업이 완료된 경우 이 단계를 건너뛰고 4단계로 진행합니다.

    1단계에서 복구 도메인 컨트롤러를 확인한 경우 이제 해당 시스템 상태를 백업합니다.

    삭제가 발생한 도메인의 모든 글로벌 카탈로그가 삭제 항목을 복제한 경우 삭제가 발생한 도메인에서 글로벌 카탈로그의 시스템 상태를 백업합니다.

    백업을 만들면 첫 번째 시도가 실패할 경우 복구 도메인 컨트롤러를 현재 상태로 되돌리고 복구 계획을 다시 수행할 수 있습니다.
  4. 사용자 삭제가 발생한 도메인에서 숨겨진 글로벌 카탈로그 도메인 컨트롤러를 찾을 수 없는 경우 해당 도메인에서 글로벌 카탈로그 도메인 컨트롤러의 최신 시스템 상태 백업을 찾습니다. 이 시스템 상태 백업에 삭제된 개체가 포함되어 있어야 합니다. 이 도메인 컨트롤러를 복구 도메인 컨트롤러로 사용합니다.

    외부 도메인에 있는 보안 그룹에 대한 글로벌 및 유니버설 그룹 구성원 정보는 사용자 도메인의 글로벌 카탈로그 도메인 컨트롤러 복원에만 포함되어 있습니다. 사용자가 삭제된 도메인에 글로벌 카탈로그 도메인 컨트롤러의 시스템 상태 백업이 없는 경우 복원된 사용자 계정의 memberOf 특성을 사용하여 글로벌 또는 유니버설 그룹 구성원을 확인하거나 외부 도메인의 구성원을 복구할 수 없습니다. 비 글로벌 카탈로그 도메인 컨트롤러의 최신 시스템 상태 백업을 찾는 것도 좋은 방법입니다.
  5. 오프라인 관리자 계정의 암호를 알고 있는 경우 Dsrepair 모드에서 복구 도메인 컨트롤러를 시작합니다. 오프라인 관리자 계정의 암호를 모르는 경우 복구 도메인 컨트롤러가 일반 Active Directory 모드에 있는 동안 암호를 원래대로 설정합니다.

    setpwd 명령줄 도구를 사용하여 Microsoft Windows 2000 서비스 팩 2(SP2) 이상을 실행 중인 도메인 컨트롤러가 온라인 Active Directory 모드에 있는 동안 이 도메인 컨트롤러의 암호를 원래대로 설정할 수 있습니다.

    참고 Windows 2000 SP2는 더 이상 지원되지 않습니다. 이 기능을 사용하려면 최신 Windows 2000 서비스 팩을 설치하십시오.

    복구 콘솔 관리자 암호 변경에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
    239803  (http://support.microsoft.com/kb/239803/ ) 도메인 컨트롤러의 복구 콘솔 관리자 암호를 변경하는 방법
    Windows Server 2003 도메인 컨트롤러의 관리자는 Ntdsutil 명령줄 도구에서 set dsrm password 명령을 사용하여 오프라인 관리자 계정의 암호를 원래대로 설정할 수 있습니다.

    디렉터리 서비스 복원 모드 관리자 계정을 원래대로 설정하는 방법은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
    322672  (http://support.microsoft.com/kb/322672/ ) HOWTO: Windows Server 2003에서 디렉터리 서비스 복원 모드 관리자 계정 암호 재설정
  6. 시작 프로세스 중에 F8 키를 눌러 Dsrepair 모드에서 복구 도메인 컨트롤러를 시작합니다. 오프라인 관리자 계정으로 복구 도메인 컨트롤러의 콘솔에 로그온합니다. 5단계에서 암호를 원래대로 설정한 경우 새 암호를 사용합니다.

    복구 도메인 컨트롤러가 숨겨진 글로벌 카탈로그 도메인 컨트롤러인 경우 시스템 상태를 복원하지 말고 7단계로 진행합니다.

    시스템 상태 백업을 사용하여 복구 도메인 컨트롤러를 만드는 경우 현재 복구 도메인 컨트롤러에서 만든 최신 시스템 상태 백업을 복원합니다.
  7. 삭제된 사용자 계정, 삭제된 컴퓨터 계정 또는 삭제된 보안 그룹을 정식 복원합니다.

    참고정식 복원이란 Ntdsutil 명령줄 도구에서 authoritative restore 명령을 사용하여 특정 개체나 특정 컨테이너의 버전 번호 및 모든 해당 하위 개체를 증가시키는 프로세스를 말합니다. 종단 간 복제가 발생하는 즉시 해당 파티션을 공유하는 모든 도메인 컨트롤러에서 복구 도메인 컨트롤러의 Active Directory 로컬 복사본에 있는 대상 개체를 신뢰할 수 있게 됩니다. 정식 복원은 시스템 상태 복원과 다릅니다. 시스템 상태 복원은 복원된 도메인 컨트롤러의 Active Directory 로컬 복사본을 시스템 상태 백업을 만든 시점의 개체 버전으로 채웁니다.

    도메인 컨트롤러 정식 복원에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
    241594  (http://support.microsoft.com/kb/241594/ ) Windows 2000에서 도메인 컨트롤러에 대한 정식 복원을 수행하는 방법


    정식 복원은 Ntdsutil 명령줄 도구로 수행되며 삭제된 사용자의 DN(도메인 이름) 또는 삭제된 사용자를 호스팅하는 컨테이너의 DN(도메인 이름) 경로를 참조합니다.

    정식 복원을 수행하는 경우 도메인 트리에서 삭제와 관련이 없는 개체를 되돌리지 않을 정도로 낮은 DN(도메인 이름) 경로를 사용합니다. 이러한 개체는 시스템 상태 백업을 만든 후 수정된 개체를 포함합니다.

    다음 순서에 따라 삭제된 사용자를 정식 복원합니다.
    1. 삭제된 각 사용자 계정, 컴퓨터 계정 또는 보안 그룹에 대한 DN(도메인 이름) 경로를 정식 복원합니다.

      특정 개체는 정식 복원에 시간이 오래 걸리지만 전체 하위 트리를 정식 복원하는 것보다는 오래 걸리지 않습니다. 삭제된 개체를 보유하고 있는 최하위 공통 부모 컨테이너를 정식 복원하십시오.

      Ntdsutil의 구문은 다음과 같습니다.
      ntdsutil "authoritative restore" "restore object <object DN path>" q q
      예를 들어, Contoso.com 도메인의 Mayberry OU에서 삭제된 사용자 JohnDoe를 정식 복원하려면 다음 명령을 사용하십시오.
      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
      Contoso.com 도메인의 Mayberry OU에서 삭제된 보안 그룹 ContosoPrintAccess를 정식 복원하려면 다음 명령을 사용하십시오.
      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q


      중요 따옴표를 사용해야 합니다.

      복원하는 각 사용자에 대해 최소한 두 파일이 생성됩니다. 이러한 파일의 형식은 다음과 같습니다.

      ar_YYYYMMDD-HHMMSS_objects.txt
      이 파일에는 정식 복원된 개체의 목록이 포함되어 있습니다. 사용자가 도메인 로컬 그룹의 구성원이었던 포리스트의 다른 모든 도메인에서 ntdsutil authoritatative restore "create ldif file from" 명령과 함께 이 파일을 사용하십시오.

      ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
      글로벌 카탈로그의 정식 복원을 수행하면 이러한 파일 중 하나가 포리스트의 모든 도메인에 대해 생성됩니다. 이 파일에는 Ldifde.exe 유틸리티와 함께 사용할 수 있는 스크립트가 포함되어 있습니다. 이 스크립트는 복원된 개체의 백 링크를 복원하는데, 사용자의 홈 도메인에서는 복원된 사용자의 모든 그룹 구성원을 복원하고, 사용자가 그룹 구성원으로 있는 포리스트의 다른 모든 도메인에서는 글로벌 및 유니버설 그룹 구성원만 복원합니다. 이 스크립트는 도메인 로컬 그룹 구성원을 복원하지 않습니다. 이러한 그룹 구성원은 글로벌 카탈로그로 추적되지 않습니다.
    2. 삭제된 사용자 계정이나 그룹을 호스팅하는 OU 또는 CN(일반 이름) 컨테이너만 정식 복원합니다.

      ntdsutil "authoritative restore" 명령의 대상이 되는 OU에 정식 복원하려는 개체가 압도적으로 많은 경우 전체 하위 트리를 정식 복원하는 것이 효과적입니다. 대상 OU에 정식 복원하려는 개체가 모두 포함되는 것이 가장 좋습니다.

      OU 하위 트리에서 정식 복원을 수행하면 컨테이너에 있는 특성 및 개체가 모두 복원됩니다. 시스템 상태 백업이 복원되기 이전에 수행된 변경 사항은 백업 시 해당 값으로 롤백됩니다. 사용자 계정, 컴퓨터 계정 및 보안 계정을 사용하는 경우 이 롤백을 수행하면 암호, 홈 디렉터리, 프로필 경로, 위치 및 연락처 정보, 그룹 구성원 및 이러한 개체와 특성에 정의된 보안 설명자에 대한 최신 변경 내용이 손실될 수 있습니다.

      Ntdsutil의 구문은 다음과 같습니다.
      ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
      예를 들어, Contoso.com 도메인의 Mayberry OU를 정식 복원하려면 다음 명령을 사용하십시오.
      ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
    참고 삭제된 사용자나 그룹을 호스팅하는 각 피어 OU에 대해 이 단계를 반복하십시오.

    중요 OU의 종속 개체를 복원하는 경우 삭제된 종속 개체의 모든 삭제된 부모 컨테이너를 명시적으로 정식 복원해야 합니다.

    복원하는 각 조직 구성 단위에 대해 최소한 두 파일이 생성됩니다. 이러한 파일의 형식은 다음과 같습니다.

    ar_YYYYMMDD-HHMMSS_objects.txt

    이 파일에는 정식 복원된 개체의 목록이 포함되어 있습니다. 복원된 사용자가 도메인 로컬 그룹의 구성원이었던 포리스트의 다른 모든 도메인에서 ntdsutil authoritatative restore "create ldif file from" 명령과 함께 이 파일을 사용하십시오.

    자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
    http://technet2.microsoft.com/WindowsServer/en/library/5ec3a3b1-c4b2-4c74-9d8a-61f7cb555f821033.mspx?mfr=true (http://technet2.microsoft.com/WindowsServer/en/library/5ec3a3b1-c4b2-4c74-9d8a-61f7cb555f821033.mspx?mfr=true) (영문)
    ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
    이 파일에는 Ldifde.exe 유틸리티와 함께 사용할 수 있는 스크립트가 포함되어 있습니다. 이 스크립트는 복원된 개체의 백 링크를 복원하며 사용자의 홈 도메인에서는 복원된 사용자의 모든 그룹 구성원을 복원합니다.
  8. 삭제된 개체가 시스템 상태 복원으로 인해 복구 도메인 컨트롤러에 복구된 경우에는 포리스트에서 다른 모든 도메인 컨트롤러에 네트워크 연결을 제공하는 모든 네트워크 케이블을 제거합니다.
  9. 일반 Active Directory 모드에서 복구 도메인 컨트롤러를 다시 시작합니다.
  10. 다음 명령을 입력하여 복구 도메인 컨트롤러에 대한 인바운드 복제를 비활성화합니다.
    repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
    시스템 상태가 복원된 복구 도메인 컨트롤러의 네트워크 연결을 다시 활성화합니다.
  11. 정식 복원된 개체를 복구 도메인 컨트롤러에서 도메인 및 포리스트의 도메인 컨트롤러로 아웃바운드 복제합니다.

    복구 도메인 컨트롤러에 대한 인바운드 복제가 비활성 상태로 남아 있는 동안 다음 명령을 입력하여 정식 복원된 개체를 도메인의 모든 교차 사이트 복제 도메인 컨트롤러 및 포리스트의 모든 글로벌 카탈로그에 밀어 넣습니다.
    repadmin /syncall /d /e /P <recovery dc> <Naming Context>
    다음 설명이 모두 맞는 경우 삭제된 사용자 계정의 복원 및 복제를 사용하여 그룹 구성원 링크가 다시 작성됩니다. 14단계로 진행합니다.

    참고 다음 설명 중 하나 이상이 맞지 않는 경우 12단계로 진행합니다.
    • 포리스트가 Windows Server 2003 포리스트 기능 수준 또는 Windows Server 2003 Interim 포리스트 기능 수준에서 실행 중입니다.
    • 사용자 계정 또는 컴퓨터 계정만 삭제되었고 보안 그룹은 삭제되지 않았습니다.
    • 포리스트가 Windows Server 2003 포리스트 기능 수준으로 전환된 후 삭제된 사용자가 포리스트에 있는 모든 도메인의 보안 그룹에 추가되었습니다.
  12. 복구 도메인 컨트롤러의 콘솔에서 Ldifde.exe 유틸리티와 ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf 파일을 사용하여 사용자의 그룹 구성원을 복원합니다. 이렇게 하려면 다음과 같이 하십시오.
    • 시작, 실행을 차례로 누르고 열기 상자에 cmd를 입력한 다음 확인을 누릅니다.
    • 명령 프롬프트에서 다음 명령을 입력한 다음 Enter 키를 누릅니다.
      ldifde -i -f ar_YYYYMMDD-HHMMSS_links_usn.loc.ldf
  13. 다음 명령을 사용하여 복구 도메인 컨트롤러에 대한 인바운드 복제를 활성화합니다.
    repadmin /options <recovery dc name> -DISABLE_INBOUND_REPL
  14. 삭제된 사용자가 외부 도메인의 로컬 그룹에 추가된 경우 다음 중 하나를 수행합니다.
    • 삭제된 사용자를 해당 그룹에 수동으로 다시 추가합니다.
    • 시스템 상태를 복원하고 삭제된 사용자를 포함하는 각 로컬 보안 그룹을 정식 복원합니다.
  15. 복구 도메인 컨트롤러의 도메인 및 다른 도메인의 글로벌 카탈로그에 있는 그룹 구성원을 확인합니다.
  16. 복구 도메인 컨트롤러의 도메인에서 도메인 컨트롤러의 새 시스템 상태를 백업합니다.
  17. 모든 포리스트 관리자, 위임된 관리자, 포리스트의 헬프 데스크 관리자 및 도메인의 사용자에게 사용자 복원이 완료되었음을 알립니다.

    헬프 데스크 관리자는 복원된 시스템이 만들어진 후에 도메인 암호가 변경된 정식 복원된 사용자 계정 및 컴퓨터 계정의 암호를 원래대로 설정해야 할 수도 있습니다.

    시스템 상태 백업이 만들어진 후 해당 암호를 변경한 사용자는 더 이상 최신 암호를 사용할 수 없게 됩니다. 이러한 사용자는 이전 암호를 알고 있을 경우 이전 암호를 사용하여 로그온해야 합니다. 사용자가 이전 암호를 모르는 경우 헬프 데스크 관리자는 암호를 원래대로 설정하고 다음 로그온할 때 반드시 암호 변경 확인란을 선택해야 합니다. 이 작업은 되도록이면 사용자가 위치한 Active Directory 사이트의 도메인 컨트롤러에서 수행하십시오.

방법 2: 삭제된 사용자 계정을 복원한 후 복원한 사용자를 해당 그룹에 다시 추가

이 방법을 사용하는 경우 다음 고급 단계를 수행하십시오.
  1. 사용자 도메인의 글로벌 카탈로그가 삭제 시 복제되지 않았는지 확인한 다음 해당 글로벌 카탈로그가 복제되지 않도록 합니다. 숨어 있는 글로벌 카탈로그가 없는 경우 삭제된 사용자의 홈 도메인에서 글로벌 카탈로그 도메인 컨트롤러의 최신 시스템 상태 백업을 찾습니다.
  2. 삭제된 사용자 계정을 모두 정식 복원한 다음 해당 사용자 계정의 종단 간 복제를 허용합니다.
  3. 사용자 계정이 삭제되기 전에 구성원이었던 모든 도메인에서 복원한 모든 사용자를 모든 그룹에 추가합니다.
방법 2를 사용하려면 다음과 같이 하십시오.
  1. 삭제된 사용자의 홈 도메인에 삭제된 내용이 복제되지 않은 글로벌 카탈로그 도메인 컨트롤러가 있는지 확인합니다.

    참고 복제 일정에서 거의 사용되지 않는 글로벌 카탈로그에 중점을 둡니다.

    이러한 글로벌 카탈로그가 하나 이상 있는 경우 Repadmin.exe 명령줄 도구를 사용하여 즉시 인바운드 복제를 비활성화합니다. 이렇게 하려면 다음과 같이 하십시오.
    1. 시작을 누르고 실행을 누릅니다.
    2. 열기 상자에 cmd를 입력한 다음 확인을 누릅니다.
    3. 명령 프롬프트에서 아래 명령을 입력하고 Enter 키를 누릅니다.
      repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
      참고 Repadmin 명령을 바로 실행할 수 없는 경우 Repadmin을 사용하여 인바운드 복제를 비활성화한 후 네트워크 연결을 바로 반환할 수 있을 때까지 숨겨진 글로벌 카탈로그에서 네트워크 연결을 모두 제거합니다.
    이 도메인 컨트롤러는 복구 도메인 컨트롤러로 참조됩니다. 이러한 글로벌 카탈로그가 없는 경우 2단계로 진행합니다.
  2. 모든 복구 단계가 완료될 때까지 사용자 계정, 컴퓨터 계정 및 보안 그룹에 대한 추가, 삭제 및 변경 작업을 일시적으로 중지할지 여부를 결정합니다.

    복구 경로를 유연성 있게 유지 관리하려면 다음 항목의 변경 작업을 일시적으로 중지합니다. 삭제된 사용자의 그룹에서 그룹 구성원을 변경하는 것뿐만 아니라 삭제가 발생한 도메인에서 도메인 사용자, 헬프 데스크 관리자 및 관리자가 암호를 원래대로 설정하는 것도 변경 작업에 포함됩니다. 다음 항목에 대한 추가, 삭제 및 수정 작업을 중지하십시오.
    1. 사용자 계정 및 사용자 계정의 특성
    2. 컴퓨터 계정 및 컴퓨터 계정의 특성
    3. 서비스 계정
    4. 보안 그룹
    다음 설명이 모두 맞는 경우 포리스트의 보안 그룹에 대한 변경 작업을 중지하는 것이 좋습니다.
    • 방법 2를 사용하여 삭제된 사용자 또는 컴퓨터 계정을 해당 DN(도메인 이름) 경로에 의해 정식 복원 중입니다.
    • 숨겨진 복구 도메인 컨트롤러를 제외한 포리스트의 모든 도메인 컨트롤러에 삭제 항목이 복제되었습니다.
    • 보안 그룹 또는 해당 부모 컨테이너를 정식 복원하고 있지 않습니다.
    보안 그룹이나 사용자 계정을 호스팅하는 OU(조직 구성 단위) 컨테이너 또는 보안 그룹을 정식 복원 중인 경우 이러한 변경 작업을 모두 일시적으로 중지합니다.

    삭제가 발생한 도메인의 도메인 사용자 외에 해당 도메인의 관리자와 헬프 데스크 관리자에게도 변경 작업 중지에 대해 알립니다.
  3. 삭제가 발생한 도메인에 새 시스템 상태 백업을 만듭니다. 변경 사항을 롤백해야 하는 경우 이 백업을 사용할 수 있습니다.

    참고 삭제가 발생한 시점까지 시스템 상태 백업이 완료된 경우 이 단계를 건너뛰고 4단계로 진행합니다.

    1단계에서 복구 도메인 컨트롤러를 확인한 경우 이제 해당 시스템 상태를 백업합니다.

    삭제가 발생한 도메인의 모든 글로벌 카탈로그가 삭제 항목을 복제한 경우 삭제가 발생한 도메인에서 글로벌 카탈로그의 시스템 상태를 백업합니다.

    백업을 만들면 첫 번째 시도가 실패할 경우 복구 도메인 컨트롤러를 현재 상태로 되돌리고 복구 계획을 다시 수행할 수 있습니다.
  4. 사용자 삭제가 발생한 도메인에서 숨겨진 글로벌 카탈로그 도메인 컨트롤러를 찾을 수 없는 경우 해당 도메인에서 글로벌 카탈로그 도메인 컨트롤러의 최신 시스템 상태 백업을 찾습니다. 이 시스템 상태 백업에 삭제된 개체가 포함되어 있어야 합니다. 이 도메인 컨트롤러를 복구 도메인 컨트롤러로 사용합니다.

    외부 도메인에 있는 보안 그룹에 대한 글로벌 및 유니버설 그룹 구성원 정보는 사용자 도메인의 글로벌 카탈로그 도메인 컨트롤러 복원에만 포함되어 있습니다. 사용자가 삭제된 도메인에 글로벌 카탈로그 도메인 컨트롤러의 시스템 상태 백업이 없는 경우 복원된 사용자 계정의 memberOf 특성을 사용하여 글로벌 또는 유니버설 그룹 구성원을 확인하거나 외부 도메인의 구성원을 복구할 수 없습니다. 비 글로벌 카탈로그 도메인 컨트롤러의 최신 시스템 상태 백업을 찾는 것도 좋은 방법입니다.
  5. 오프라인 관리자 계정의 암호를 알고 있는 경우 Dsrepair 모드에서 복구 도메인 컨트롤러를 시작합니다. 오프라인 관리자 계정의 암호를 모르는 경우 복구 도메인 컨트롤러가 일반 Active Directory 모드에 있는 동안 암호를 원래대로 설정합니다.

    setpwd 명령줄 도구를 사용하여 Microsoft Windows 2000 서비스 팩 2(SP2) 이상을 실행 중인 도메인 컨트롤러가 온라인 Active Directory 모드에 있는 동안 이 도메인 컨트롤러의 암호를 원래대로 설정할 수 있습니다.

    참고 Windows 2000 SP2는 더 이상 지원되지 않습니다. 이 기능을 사용하려면 최신 Windows 2000 서비스 팩을 설치하십시오.

    복구 콘솔 관리자 암호 변경에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
    239803  (http://support.microsoft.com/kb/239803/ ) 도메인 컨트롤러의 복구 콘솔 관리자 암호를 변경하는 방법
    Windows Server 2003 도메인 컨트롤러의 관리자는 Ntdsutil 명령줄 도구에서 set dsrm password 명령을 사용하여 오프라인 관리자 계정의 암호를 원래대로 설정할 수 있습니다.

    디렉터리 서비스 복원 모드 관리자 계정을 원래대로 설정하는 방법은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
    322672  (http://support.microsoft.com/kb/322672/ ) HOWTO: Windows Server 2003에서 디렉터리 서비스 복원 모드 관리자 계정 암호 재설정
  6. 시작 프로세스 중에 F8 키를 눌러 Dsrepair 모드에서 복구 도메인 컨트롤러를 시작합니다. 오프라인 관리자 계정으로 복구 도메인 컨트롤러의 콘솔에 로그온합니다. 5단계에서 암호를 원래대로 설정한 경우 새 암호를 사용합니다.

    복구 도메인 컨트롤러가 숨겨진 글로벌 카탈로그 도메인 컨트롤러인 경우 시스템 상태를 복원하지 말고 7단계로 진행합니다.

    시스템 상태 백업을 사용하여 복구 도메인 컨트롤러를 만드는 경우 현재 복구 도메인 컨트롤러에서 만든 최신 시스템 상태 백업을 복원합니다.
  7. 삭제된 사용자 계정, 삭제된 컴퓨터 계정 또는 삭제된 보안 그룹을 정식 복원합니다.

    참고정식 복원이란 Ntdsutil 명령줄 도구에서 authoritative restore 명령을 사용하여 특정 개체나 특정 컨테이너의 버전 번호 및 모든 해당 하위 개체를 증가시키는 프로세스를 말합니다. 종단 간 복제가 발생하는 즉시 해당 파티션을 공유하는 모든 도메인 컨트롤러에서 복구 도메인 컨트롤러의 Active Directory 로컬 복사본에 있는 대상 개체를 신뢰할 수 있게 됩니다. 정식 복원은 시스템 상태 복원과 다릅니다. 시스템 상태 복원은 복원된 도메인 컨트롤러의 Active Directory 로컬 복사본을 시스템 상태 백업을 만든 시점의 개체 버전으로 채웁니다.

    도메인 컨트롤러 정식 복원에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
    241594  (http://support.microsoft.com/kb/241594/ ) Windows 2000에서 도메인 컨트롤러에 대한 정식 복원을 수행하는 방법


    정식 복원은 Ntdsutil 명령줄 도구로 수행되며 삭제된 사용자의 DN(도메인 이름) 또는 삭제된 사용자를 호스팅하는 컨테이너의 DN(도메인 이름) 경로를 참조합니다.

    정식 복원을 수행하는 경우 도메인 트리에서 삭제와 관련이 없는 개체를 되돌리지 않을 정도로 낮은 DN(도메인 이름) 경로를 사용합니다. 이러한 개체는 시스템 상태 백업을 만든 후 수정된 개체를 포함합니다.

    다음 순서에 따라 삭제된 사용자를 정식 복원합니다.
    1. 삭제된 각 사용자 계정, 컴퓨터 계정 또는 보안 그룹에 대한 DN(도메인 이름) 경로를 정식 복원합니다.

      특정 개체는 정식 복원에 시간이 오래 걸리지만 전체 하위 트리를 정식 복원하는 것보다는 오래 걸리지 않습니다. 삭제된 개체를 보유하고 있는 최하위 공통 부모 컨테이너를 정식 복원하십시오.

      Ntdsutil의 구문은 다음과 같습니다.
      ntdsutil "authoritative restore" "restore object <object DN path>" q q
      예를 들어, Contoso.com 도메인의 Mayberry OU에서 삭제된 사용자 JohnDoe를 정식 복원하려면 다음 명령을 사용하십시오.
      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
      Contoso.com 도메인의 Mayberry OU에서 삭제된 보안 그룹 ContosoPrintAccess를 정식 복원하려면 다음 명령을 사용하십시오.
      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q


      중요 따옴표를 사용해야 합니다.

      참고 이 구문은 Windows Server 2003에서만 사용할 수 있습니다. Windows 2000에서 사용하는 유일한 구문은 다음과 같습니다.
      ntdsutil "authoritative restore" "restore subtree object DN path"
      참고 DN(고유 이름) 경로에 확장 문자나 공백이 포함되어 있으면 Ntdsutil 정식 복원 작업에 성공하지 못합니다. 스크립트를 사용하는 복원에 성공하려면 “restore object <DN path>” 명령을 하나의 완전한 문자열로 전달해야 합니다.
      이 문제를 해결하려면 확장 문자와 공백이 포함된 DN을 백슬래시-인용 부호 이스케이프 시퀀스로 처리하십시오. 이에 대한 예제는 다음과 같습니다.
      ntdsutil "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\"" q q

      참고 복원할 개체의 DN에 쉼표가 포함되어 있으면 명령을 더 수정해야 합니다. 다음 예제를 참조하십시오.
      ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\"" q q

      참고 개체가 테이프에서 복원되어 정식 복원으로 표시된 후 복원이 예상대로 작동하지 않았을 때 다시 한 번 NTDS 데이터베이스를 복원하는 데 동일한 테이프를 사용하는 경우 정식 복원할 개체의 USN 버전이 기본값 100000보다 큰 값으로 증가해야 합니다. 그렇지 않으면, 두 번째 복원 후 개체가 복제되지 않습니다. 아래의 구문은 100000(기본값)보다 크게 증가한 버전 번호를 스크립팅하는 데 필요합니다.
      ntdsutil "authoritative restore" "restore object \"CN=Doe\, John,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q

      참고 스크립트에서 복원할 각 개체에 대해 확인 메시지를 표시하는 경우 이를 해제할 수 있습니다. 확인 메시지를 해제하는 구문은 다음과 같습니다.
      ntdsutil "popups off" "authoritative restore" "restore object \"CN=John Doe,OU=Mayberry NC,DC=contoso,DC=com\" verinc 150000\"" q q
    2. 삭제된 사용자 계정이나 그룹을 호스팅하는 OU 또는 CN(일반 이름) 컨테이너만 정식 복원합니다.

      ntdsutil "authoritative restore" 명령의 대상이 되는 OU에 정식 복원하려는 개체가 압도적으로 많은 경우 전체 하위 트리를 정식 복원하는 것이 효과적입니다. 대상 OU에 정식 복원하려는 개체가 모두 포함되는 것이 가장 좋습니다.

      OU 하위 트리에서 정식 복원을 수행하면 컨테이너에 있는 특성 및 개체가 모두 복원됩니다. 시스템 상태 백업이 복원되기 이전에 수행된 변경 사항은 백업 시 해당 값으로 롤백됩니다. 사용자 계정, 컴퓨터 계정 및 보안 계정을 사용하는 경우 이 롤백을 수행하면 암호, 홈 디렉터리, 프로필 경로, 위치 및 연락처 정보, 그룹 구성원 및 이러한 개체와 특성에 정의된 보안 설명자에 대한 최신 변경 내용이 손실될 수 있습니다.

      Ntdsutil의 구문은 다음과 같습니다.
      ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
      예를 들어, Contoso.com 도메인의 Mayberry OU를 정식 복원하려면 다음 명령을 사용하십시오.
      ntdsutil "authoritative restore" "restore subtree ou=Mayberry, dc=contoso,dc=com" q q
    참고 삭제된 사용자나 그룹을 호스팅하는 각 피어 OU에 대해 이 단계를 반복하십시오.

    중요 OU의 종속 개체를 복원하는 경우 삭제된 종속 개체의 모든 삭제된 부모 컨테이너를 명시적으로 정식 복원해야 합니다.
  8. 삭제된 개체가 시스템 상태 복원으로 인해 복구 도메인 컨트롤러에 복구된 경우에는 포리스트에서 다른 모든 도메인 컨트롤러에 네트워크 연결을 제공하는 모든 네트워크 케이블을 제거합니다.
  9. 일반 Active Directory 모드에서 복구 도메인 컨트롤러를 다시 시작합니다.
  10. 다음 명령을 입력하여 복구 도메인 컨트롤러에 대한 인바운드 복제를 비활성화합니다.
    repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL
    시스템 상태가 복원된 복구 도메인 컨트롤러의 네트워크 연결을 다시 활성화합니다.
  11. 정식 복원된 개체를 복구 도메인 컨트롤러에서 도메인 및 포리스트의 도메인 컨트롤러로 아웃바운드 복제합니다.

    복구 도메인 컨트롤러에 대한 인바운드 복제가 비활성 상태로 남아 있는 동안 다음 명령을 입력하여 정식 복원된 개체를 도메인의 모든 교차 사이트 복제 도메인 컨트롤러 및 포리스트의 모든 글로벌 카탈로그에 밀어 넣습니다.
    repadmin /syncall /d /e /P <recovery dc> <Naming Context>
    다음 설명이 모두 맞는 경우 삭제된 사용자 계정의 복원 및 복제를 사용하여 그룹 구성원 링크가 다시 작성됩니다. 14단계로 진행합니다.

    참고 다음 설명 중 하나 이상이 맞지 않는 경우 12단계로 진행합니다.
    • 포리스트가 Windows Server 2003 포리스트 기능 수준 또는 Windows Server 2003 Interim 포리스트 기능 수준에서 실행 중입니다.
    • 사용자 계정 또는 컴퓨터 계정만 삭제되었고 보안 그룹은 삭제되지 않았습니다.
    • 포리스트가 Windows Server 2003 포리스트 기능 수준으로 전환된 후 삭제된 사용자가 포리스트에 있는 모든 도메인의 보안 그룹에 추가되었습니다.
  12. 삭제된 사용자가 구성원이었던 보안 그룹을 확인한 다음 삭제된 사용자를 해당 그룹에 추가합니다.

    참고 사용자를 그룹에 추가하려면 7단계에서 정식 복원한 사용자와 11단계에서 아웃바운드 복제한 사용자가 참조되는 도메인 컨트롤러의 도메인에 있는 도메인 컨트롤러 및 포리스트의 모든 글로벌 카탈로그 도메인 컨트롤러에 복제되어야 합니다.

    보안 그룹의 구성원을 다시 지정하기 위해 그룹 제공 유틸리티를 배포한 경우 이 유틸리티를 사용하여 사용자가 삭제되기 전에 구성원이던 보안 그룹에 삭제된 사용자를 복원합니다. 이 작업은 포리스트 도메인과 글로벌 카탈로그 서버에 있는 모든 직접적이고 전이적인 도메인 컨트롤러가 정식 복원된 사용자 및 복원된 모든 컨테이너를 인바운드 복제한 후에 수행하십시오.

    이러한 유틸리티가 없는 경우 Ldifde.exe 명령줄 도구 및 Groupadd.exe 명령줄 도구를 복구 도메인 컨트롤러에서 실행하면 이 작업을 자동화할 수 있습니다. 이러한 도구는 Microsoft 고객기술지원부에서 구할 수 있습니다. 이 시나리오에서 Ldifde.exe는 관리자가 지정한 OU 컨테이너에서 시작하여 사용자 계정 및 해당 보안 그룹의 이름이 포함된 LDIF(LDAP 데이터 교환 포맷) 정보 파일을 만듭니다. 그런 다음 Groupadd.exe가 .ldf 파일에 나열된 각 사용자 계정의 memberOf 특성을 읽은 다음 포리스트의 각 도메인에 대해 별도의 고유한 LDIF 정보를 생성합니다. 이 LDIF 정보는 삭제된 사용자의 그룹 구성원을 복원할 수 있도록 삭제된 사용자가 다시 추가되어야 하는 보안 그룹의 이름을 포함합니다. 이 복구 단계에서 다음과 같이 하십시오.
    1. 도메인 관리자의 보안 그룹 구성원인 사용자 계정을 사용하여 복구 도메인 컨트롤러의 콘솔에 로그온합니다.
    2. Ldifde 명령을 사용하여 삭제가 발생한 가장 위쪽의 OU 컨테이너에서 시작하여 이전에 삭제된 사용자 계정의 이름 및 해당 memberOf 특성을 덤프합니다. Ldifde 명령의 구문은 다음과 같습니다.
      ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=user)" -l memberof -p subtree -f user_membership_after_restore.ldf
      삭제된 컴퓨터 계정이 보안 그룹에 추가된 경우 다음 구문을 사용합니다.
      ldifde -d <dn path of container that hosts deleted users> -r "(objectClass=computer)" -l memberof -p subtree -f computer_membership_after_restore.ldf
    3. Groupadd 명령을 실행하여 도메인 이름 및 삭제된 사용자가 구성원이었던 글로벌 보안 그룹과 유니버설 보안 그룹의 이름을 포함하는 .ldf 파일을 추가로 작성합니다. Groupadd 명령의 구문은 다음과 같습니다.
      Groupadd /after_restore users_membership_after_restore.ldf
      삭제된 컴퓨터 계정이 보안 그룹에 추가된 경우 이 명령을 반복해서 실행합니다.
    4. 12c단계에서 만든 각각의 Groupadd_fully.qualified.domainname.ldf 파일을 각 도메인의 .ldf 파일에 해당하는 단일 글로벌 카탈로그 도메인 컨트롤러로 가져옵니다. 다음 Ldifde 구문을 사용합니다.
      Ldifde –i –k –f Groupadd_<fully.qualified.domain.name>.ldf
      복구 도메인 컨트롤러를 제외한 모든 도메인 컨트롤러에서 사용자가 삭제된 도메인에 대해 .ldf 파일을 실행합니다.
    5. 특정 도메인에 대한 Groupadd_<fully.qualified.domain.name>.ldf 파일을 가져오는 데 사용된 각 도메인 컨트롤러의 콘솔에서 다음 명령을 사용하여 도메인의 다른 도메인 컨트롤러 및 포리스트의 글로벌 카탈로그 도메인 컨트롤러에 추가된 그룹 구성원을 아웃바운드 복제합니다.
      repadmin /syncall /d /e /P <recovery dc> <Naming Context>
  13. 아웃바운드 복제를 비활성화하려면 아래 텍스트를 입력한 다음 Enter 키를 누릅니다.
    repadmin /options +DISABLE_OUTBOUND_REPL
    참고 아웃바운드 복제를 다시 활성화하려면 아래 텍스트를 입력한 다음 Enter 키를 누릅니다.
    repadmin /options -DISABLE_OUTBOUND_REPL
  14. 삭제된 사용자가 외부 도메인의 로컬 그룹에 추가된 경우 다음 중 하나를 수행합니다.
    • 삭제된 사용자를 해당 그룹에 수동으로 다시 추가합니다.
    • 시스템 상태를 복원하고 삭제된 사용자를 포함하는 각 로컬 보안 그룹을 정식 복원합니다.
  15. 복구 도메인 컨트롤러의 도메인 및 다른 도메인의 글로벌 카탈로그에 있는 그룹 구성원을 확인합니다.
  16. 복구 도메인 컨트롤러의 도메인에서 도메인 컨트롤러의 새 시스템 상태를 백업합니다.
  17. 모든 포리스트 관리자, 위임된 관리자, 포리스트의 헬프 데스크 관리자 및 도메인의 사용자에게 사용자 복원이 완료되었음을 알립니다.

    헬프 데스크 관리자는 복원된 시스템이 만들어진 후에 도메인 암호가 변경된 정식 복원된 사용자 계정 및 컴퓨터 계정의 암호를 원래대로 설정해야 할 수도 있습니다.

    시스템 상태 백업이 만들어진 후 해당 암호를 변경한 사용자는 더 이상 최신 암호를 사용할 수 없게 됩니다. 이러한 사용자는 이전 암호를 알고 있을 경우 이전 암호를 사용하여 로그온해야 합니다. 사용자가 이전 암호를 모르는 경우 헬프 데스크 관리자는 암호를 원래대로 설정하고 다음 로그온할 때 반드시 암호 변경 확인란을 선택해야 합니다. 이 작업은 되도록이면 사용자가 위치한 Active Directory 사이트의 도메인 컨트롤러에서 수행하십시오.

방법 3: 삭제된 사용자 및 삭제된 사용자의 보안 그룹을 두 번 정식 복원

이 방법을 사용하는 경우 다음 고급 단계를 수행하십시오.
  1. 사용자 도메인의 글로벌 카탈로그가 삭제 시 복제되지 않았는지 확인한 다음 해당 도메인 컨트롤러가 삭제 항목을 인바운드 복제하지 않도록 합니다. 숨어 있는 글로벌 카탈로그가 없는 경우 삭제된 사용자의 홈 도메인에서 글로벌 카탈로그 도메인 컨트롤러의 최신 시스템 상태 백업을 찾습니다.
  2. 삭제된 모든 사용자 계정 및 삭제된 사용자 도메인의 모든 보안 그룹을 정식 복원합니다.
  3. 삭제된 사용자 도메인의 모든 도메인 컨트롤러 및 포리스트의 글로벌 카탈로그 도메인 컨트롤러에 복원된 사용자와 보안 그룹의 종단 간 복제가 수행될 때까지 대기합니다.
  4. 2단계와 3단계를 반복하여 삭제된 사용자 및 보안 그룹을 정식 복원합니다. 시스템 상태는 한 번만 복원합니다.
  5. 삭제된 사용자가 다른 도메인의 보안 그룹 구성원이었던 경우 해당 도메인에서 삭제된 사용자가 구성원이던 모든 보안 그룹을 정식 복원합니다. 또는 시스템 상태 백업이 최신인 경우 해당 도메인의 모든 보안 그룹을 정식 복원합니다.
그룹 구성원 링크를 수정할 수 있도록 삭제된 그룹 구성원이 보안 그룹보다 먼저 복원되게 하려면 두 개체 유형을 이 방법으로 두 번 복원합니다. 첫 번째 복원에서는 모든 사용자 계정과 그룹 계정을 적절한 위치에 배치하고 두 번째 복원에서는 삭제된 그룹을 복원하고 중첩된 그룹에 대한 구성원 정보를 포함한 그룹 구성원 정보를 복구합니다.

방법 3을 사용하려면 다음과 같이 하십시오.
  1. 글로벌 카탈로그 도메인 컨트롤러가 삭제된 사용자의 홈 도메인에 있고 삭제된 내용의 일부가 복제되지 않았는지 확인합니다.

    참고 복제 일정에서 거의 사용되지 않는 도메인의 글로벌 카탈로그에 중점을 둡니다. 이러한 도메인 컨트롤러가 있는 경우 Repadmin.exe 명령줄 도구를 사용하여 즉시 인바운드 복제를 비활성화합니다. 이렇게 하려면 다음과 같이 하십시오.
    1. 시작을 누르고 실행을 누릅니다.
    2. 열기 상자에 command를 입력한 다음 확인을 누릅니다.
    3. 명령 프롬프트에서 repadmin /options <recovery dc name> +DISABLE_INBOUND_REPL을 입력한 다음 Enter 키를 누릅니다.

      참고 Repadmin 명령을 바로 실행할 수 없는 경우 Repadmin을 사용하여 인바운드 복제를 비활성화한 후 네트워크 연결을 바로 반환할 수 있을 때까지 도메인 컨트롤러에서 네트워크 연결을 모두 제거합니다.
    이 도메인 컨트롤러는 복구 도메인 컨트롤러로 참조됩니다.
  2. 모든 복구 단계가 완료될 때까지 다음 항목을 추가, 삭제 및 변경하지 마십시오. 삭제된 사용자의 그룹에서 그룹 구성원을 변경하는 것뿐만 아니라 삭제가 발생한 도메인에서 도메인 사용자, 헬프 데스크 관리자 및 관리자가 암호를 원래대로 설정하는 것도 변경 작업에 포함됩니다.
    1. 사용자 계정 및 사용자 계정의 특성
    2. 컴퓨터 계정 및 컴퓨터 계정의 특성
    3. 서비스 계정
    4. 보안 그룹

      참고 특히 삭제가 발생한 포리스트의 사용자, 컴퓨터, 그룹 및 서비스 계정의 구성원을 변경하지 마십시오.
    5. 포리스트의 모든 포리스트 관리자, 위임된 관리자 및 헬프 데스크 관리자에게 일시적으로 중단되었음을 알립니다.
    방법 2에서는 삭제된 모든 사용자의 보안 그룹을 정식 복원하므로 이러한 일시적 중단이 필요합니다. 따라서 시스템 상태 백업 날짜 이후에 그룹에 대해 변경한 내용은 손실됩니다.
  3. 삭제가 발생한 도메인에 새 시스템 상태 백업을 만듭니다. 변경 사항을 롤백해야 하는 경우 이 백업을 사용할 수 있습니다.

    참고 삭제가 발생한 시점까지 시스템 상태 백업이 완료된 경우 이 단계를 건너뛰고 4단계로 진행합니다

    1단계에서 복구 도메인 컨트롤러를 확인한 경우 이제 해당 시스템 상태를 백업합니다.

    삭제가 발생한 도메인에 있는 글로벌 카탈로그가 삭제된 항목을 복제한 경우 삭제가 발생한 도메인에서 글로벌 카탈로그의 시스템 상태를 백업합니다.

    백업을 만들면 첫 번째 시도가 실패할 경우 복구 도메인 컨트롤러를 현재 상태로 되돌리고 복구 계획을 다시 수행할 수 있습니다.
  4. 사용자 삭제가 발생한 도메인에서 숨겨진 글로벌 카탈로그 도메인 컨트롤러를 찾을 수 없는 경우 해당 도메인에서 글로벌 카탈로그 도메인 컨트롤러의 최신 시스템 상태 백업을 찾습니다. 이 시스템 상태 백업에 삭제된 개체가 포함되어 있어야 합니다. 이 도메인 컨트롤러를 복구 도메인 컨트롤러로 사용합니다.

    포리스트의 외부 도메인에 대한 그룹 구성원 정보는 사용자 도메인에 있는 글로벌 카탈로그 도메인 컨트롤러의 데이터베이스에만 포함됩니다. 사용자가 삭제된 도메인에 글로벌 카탈로그 도메인 컨트롤러의 시스템 상태 백업이 없는 경우 복원된 사용자 계정의 memberOf 특성을 사용하여 글로벌 또는 유니버설 그룹 구성원을 확인하거나 외부 도메인의 구성원을 복구할 수 없습니다. 다음 단계로 진행하십시오. 외부 도메인에 그룹 구성원의 외부 레코드가 있는 경우 사용자 계정이 복원된 후에 복원된 사용자를 해당 도메인의 보안 그룹에 추가합니다.
  5. 오프라인 관리자 계정의 암호를 알고 있는 경우 Dsrepair 모드에서 복구 도메인 컨트롤러를 시작합니다. 오프라인 관리자 계정의 암호를 모르는 경우 복구 도메인 컨트롤러가 일반 Active Directory 모드에 있는 동안 암호를 원래대로 설정합니다.

    setpwd 명령줄 도구를 사용하여 Microsoft Windows 2000 서비스 팩 2(SP2) 이상을 실행 중인 도메인 컨트롤러가 온라인 Active Directory 모드에 있는 동안 이 도메인 컨트롤러의 암호를 원래대로 설정할 수 있습니다.

    참고 Windows 2000 SP2는 더 이상 지원되지 않습니다. 이 기능을 사용하려면 최신 Windows 2000 서비스 팩을 설치하십시오.

    복구 콘솔 관리자 암호 변경에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
    239803  (http://support.microsoft.com/kb/239803/ ) 도메인 컨트롤러의 복구 콘솔 관리자 암호를 변경하는 방법
    Windows Server 2003 도메인 컨트롤러의 관리자는 Ntdsutil 명령줄 도구에서 set dsrm password 명령을 사용하여 오프라인 관리자 계정의 암호를 원래대로 설정할 수 있습니다.

    디렉터리 서비스 복원 모드 관리자 계정을 원래대로 설정하는 방법은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
    322672  (http://support.microsoft.com/kb/322672/ ) HOWTO: Windows Server 2003에서 디렉터리 서비스 복원 모드 관리자 계정 암호 재설정
  6. 시작 프로세스 중에 F8 키를 눌러 Dsrepair 모드에서 복구 도메인 컨트롤러를 시작합니다. 오프라인 관리자 계정으로 복구 도메인 컨트롤러의 콘솔에 로그온합니다. 5단계에서 암호를 원래대로 설정한 경우 새 암호를 사용합니다.

    복구 도메인 컨트롤러가 숨겨진 글로벌 카탈로그 도메인 컨트롤러인 경우 시스템 상태를 복원하지 말고 바로 7단계로 진행합니다.

    시스템 상태 백업을 사용하여 복구 도메인 컨트롤러를 만드는 경우 현재 삭제된 개체가 포함된 복구 도메인 컨트롤러에서 만든 최신 시스템 상태 백업을 복원합니다.
  7. 삭제된 사용자 계정, 삭제된 컴퓨터 계정 또는 삭제된 보안 그룹을 정식 복원합니다.

    참고정식 복원이란 Ntdsutil 명령줄 도구에서 authoritative restore 명령을 사용하여 특정 개체나 특정 컨테이너의 버전 번호 및 모든 해당 하위 개체를 증가시키는 프로세스를 말합니다. 종단 간 복제가 발생하는 즉시 해당 파티션을 공유하는 모든 도메인 컨트롤러에서 복구 도메인 컨트롤러의 Active Directory 로컬 복사본에 있는 대상 개체를 신뢰할 수 있게 됩니다. 정식 복원은 시스템 상태 복원과 다릅니다. 시스템 상태 복원은 복원된 도메인 컨트롤러의 Active Directory 로컬 복사본을 시스템 상태 백업을 만든 시점의 개체 버전으로 채웁니다.

    도메인 컨트롤러 정식 복원에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
    241594  (http://support.microsoft.com/kb/241594/ ) Windows 2000에서 도메인 컨트롤러에 대한 정식 복원을 수행하는 방법


    정식 복원은 삭제된 사용자의 DN(도메인 이름) 또는 삭제된 사용자를 호스팅하는 컨테이너의 DN(도메인 이름) 경로를 참조하여 Ntdsutil 명령줄 도구로 수행됩니다.

    정식 복원을 수행하는 경우 도메인 트리에서 삭제와 관련이 없는 개체를 되돌리지 않을 정도로 낮은 DN(도메인 이름) 경로를 사용합니다. 이러한 개체는 시스템 상태 백업을 만든 후 수정된 개체를 포함합니다.

    다음 순서에 따라 삭제된 사용자를 정식 복원합니다.
    1. 삭제된 각 사용자 계정, 컴퓨터 계정 또는 삭제된 보안 그룹에 대한 DN(도메인 이름) 경로를 정식 복원합니다.

      특정 개체는 정식 복원에 시간이 오래 걸리지만 전체 하위 트리를 정식 복원하는 것보다는 오래 걸리지 않습니다. 삭제된 개체를 보유하고 있는 최하위 공통 부모 컨테이너를 정식 복원하십시오.

      Ntdsutil의 구문은 다음과 같습니다.
      ntdsutil "authoritative restore" "restore object <object DN path>" q q
      예를 들어, Contoso.com 도메인의 Mayberry OU에서 삭제된 사용자 JohnDoe를 정식 복원하려면 다음 명령을 사용하십시오.
      ntdsutil "authoritative restore" "restore object cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com" q q
      Contoso.com 도메인의 Mayberry OU에서 삭제된 보안 그룹 ContosoPrintAccess를 정식 복원하려면 다음 명령을 사용하십시오.
      ntdsutil "authoritative restore" "restore object cn=ContosoPrintAccess,ou=Mayberry,dc=contoso,dc=com" q q


      중요 따옴표를 사용해야 합니다.

      이러한 Ntdsutil 형식을 사용하여 배치 파일이나 스크립트의 여러 개체에 대한 정식 복원을 자동화할 수도 있습니다.
      참고 이 구문은 Windows Server 2003에서만 사용할 수 있습니다. Windows 2000에서 사용하는 유일한 구문은 ntdsutil "authoritative restore" "restore subtree object DN path"입니다.
    2. 삭제된 사용자 계정이나 그룹을 호스팅하는 OU 또는 CN(일반 이름) 컨테이너만 정식 복원합니다.

      ntdsutil "authoritative restore" 명령의 대상이 되는 OU에 정식 복원하려는 개체가 압도적으로 많은 경우 전체 하위 트리를 정식 복원하는 것이 효과적입니다. 대상 OU에 정식 복원하려는 개체가 모두 포함되는 것이 가장 좋습니다.

      OU 하위 트리에서 정식 복원을 수행하면 컨테이너에 있는 특성 및 개체가 모두 복원됩니다. 시스템 상태 백업이 복원되기 이전에 수행된 변경 사항은 백업 시 해당 값으로 롤백됩니다. 사용자 계정, 컴퓨터 계정 및 보안 계정을 사용하는 경우 이 롤백을 수행하면 암호, 홈 디렉터리, 프로필 경로, 위치 및 연락처 정보, 그룹 구성원 및 이러한 개체와 특성에 정의된 보안 설명자에 대한 최신 변경 내용이 손실될 수 있습니다.

      Ntdsutil의 구문은 다음과 같습니다.
      ntdsutil "authoritative restore" "restore subtree <container DN path>" q q
      예를 들어, Contoso.com 도메인의 Mayberry OU를 정식 복원하려면 다음 명령을 사용하십시오.
      ntdsutil "authoritative restore" "restore subtree ou=Mayberry,dc=contoso,dc=com" q q
    참고 삭제된 사용자나 그룹을 호스팅하는 각 피어 OU에 대해 이 단계를 반복하십시오.

    중요 OU의 종속 개체를 복원하는 경우 삭제된 종속 개체의 모든 부모 컨테이너를 명시적으로 정식 복원해야 합니다.
  8. 일반 Active Directory 모드에서 복구 도메인 컨트롤러를 다시 시작합니다.
  9. 정식 복원된 개체를 복구 도메인 컨트롤러에서 도메인 및 포리스트의 도메인 컨트롤러로 아웃바운드 복제합니다.

    복구 도메인 컨트롤러에 대한 인바운드 복제가 비활성 상태로 남아 있는 동안 다음 명령을 입력하여 정식 복원된 개체를 도메인의 모든 교차 사이트 복제 도메인 컨트롤러 및 포리스트의 모든 글로벌 카탈로그에 밀어 넣습니다.
    repadmin /syncall /d /e /P <recovery dc> <Naming Context>
    포리스트의 도메인과 글로벌 카탈로그 서버에 있는 모든 직접적이고 전이적인 도메인 컨트롤러가 정식 복원된 사용자와 복원된 모든 컨테이너를 복제한 후에 11단계로 진행합니다.

    다음 설명이 모두 맞는 경우 삭제된 사용자 계정의 복원을 사용하여 그룹 구성원 링크가 다시 작성됩니다. 13단계로 진행합니다.
    • 포리스트가 Windows Server 2003 포리스트 기능 수준 또는 Windows Server 2003 Interim 포리스트 기능 수준에서 실행 중입니다.
    • 보안 그룹만 삭제되지 않았습니다.
    • 삭제된 모든 사용자가 포리스트에 있는 모든 도메인의 모든 보안 그룹에 추가되었습니다.
    복원된 도메인 컨트롤러에서 사용자의 아웃바운드 복제 속도를 높이려면 Repadmin 명령을 사용하십시오.

    그룹도 삭제된 경우나 Windows Server 2003 Interim 또는 포리스트 기능 수준으로 전환된 후 삭제된 모든 사용자가 모든 보안 그룹에 추가되었는지 확신할 수 없는 경우에는 12단계로 진행합니다.
  10. 시스템 상태를 복원하지 않고 7, 8, 9단계를 반복한 다음 11단계로 진행합니다.
  11. 삭제된 사용자가 외부 도메인의 로컬 그룹에 추가된 경우 다음 중 하나를 수행합니다.
    • 삭제된 사용자를 해당 그룹에 수동으로 다시 추가합니다.
    • 시스템 상태를 복원하고 삭제된 사용자를 포함하는 각 로컬 보안 그룹을 정식 복원합니다.
  12. 복구 도메인 컨트롤러의 도메인 및 다른 도메인의 글로벌 카탈로그에 있는 그룹 구성원을 확인합니다.
  13. 다음 명령을 사용하여 복구 도메인 컨트롤러에 대한 인바운드 복제를 활성화합니다.
    repadmin /options recovery dc name -DISABLE_INBOUND_REPL
  14. 복구 도메인 컨트롤러의 도메인에서 도메인 컨트롤러의 새 시스템 상태 백업을 만들고 포리스트의 다른 도메인에서 글로벌 카탈로그의 새 시스템 상태 백업을 만듭니다.
  15. 모든 포리스트 관리자, 위임된 관리자, 포리스트의 헬프 데스크 관리자 및 도메인의 사용자에게 사용자 복원이 완료되었음을 알립니다.

    헬프 데스크 관리자는 복원된 시스템이 변경된 후에 도메인 암호가 변경된 정식 복원된 사용자 계정 및 컴퓨터 계정의 암호를 원래대로 설정해야 할 수도 있습니다.

    시스템 상태 백업이 만들어진 후 해당 암호를 변경한 사용자는 더 이상 최신 암호를 사용할 수 없게 됩니다. 이러한 사용자는 이전 암호를 알고 있을 경우 이전 암호를 사용하여 로그온해야 합니다. 사용자가 이전 암호를 모르는 경우 헬프 데스크 관리자는 암호를 원래대로 설정하고 다음 로그온할 때 반드시 암호 변경 확인란을 선택해야 합니다. 이 작업은 되도록이면 사용자가 위치한 Active Directory 사이트의 도메인 컨트롤러에서 수행하십시오.

유효한 시스템 상태 백업이 없을 경우 Windows Server 2003 도메인 컨트롤러에서 삭제된 사용자를 복원하는 방법

사용자 계정 또는 보안 그룹이 삭제된 도메인에 현재 시스템 상태 백업이 없고 Windows Server 2003 도메인 컨트롤러가 포함된 도메인에서 삭제가 발생한 경우 다음 단계에 따라 삭제된 개체 컨테이너에서 삭제된 개체를 수동으로 재활성화합니다.
  1. "삭제된 개체의 컨테이너에서 개체를 수동으로 삭제 취소하는 방법" 절의 단계에 따라 삭제된 사용자, 컴퓨터, 그룹 또는 이들 모두를 재활성화합니다.
  2. Active Directory 사용자 및 컴퓨터를 사용하여 계정을 비활성화에서 활성화로 변경합니다. 해당 계정이 원래 OU에 나타납니다.
  3. Active Directory 사용자 및 컴퓨터의 Windows Server 2003 버전에서 대량 원래대로 설정 기능을 사용하여 필요에 따라 "다음 로그온할 때 반드시 암호 변경" 정책 설정, 홈 디렉터리, 프로필 경로 및 삭제된 계정의 그룹 구성원에 대해 대량 원래대로 설정을 수행합니다. 프로그래밍 방식의 대량 원래대로 설정 기능을 사용할 수도 있습니다.
  4. Microsoft Exchange 2000 이상이 사용된 경우 삭제된 사용자의 Exchange 사서함을 복구합니다.
  5. Exchange 2000 이상이 사용된 경우 삭제된 사용자를 Exchange 사서함에 다시 연결합니다.
  6. 복구된 사용자가 로그온하여 로컬 디렉터리, 공유 디렉터리 및 파일에 액세스할 수 있는지 확인합니다.
다음 방법을 사용하여 이러한 복구 단계 중 일부 또는 모두를 자동화할 수 있습니다.
  • 1단계에 나열된 수동 복구 단계를 자동화하는 스크립트를 작성합니다. 이러한 스크립트가 작성되면 날짜, 시간 및 마지막으로 알려진 부모 컨테이너별로 삭제된 개체의 범위를 지정한 다음 삭제된 개체의 재활성화를 자동화합니다. 재활성화를 자동화하려면 isDeleted 특성을 TRUE에서 FALSE로 변경하고 상대 고유 이름을 lastKnownParent 특성에 정의된 값 또는 관리자가 지정한 새 OU나 CN(일반 이름) 컨테이너에 정의된 값으로 변경합니다. 상대 고유 이름을 RDN이라고도 합니다.
  • Windows Server 2003 도메인 컨트롤러에서 삭제된 개체의 재활성화를 지원하는 Microsoft 제품이 아닌 프로그램을 구합니다. 이러한 유틸리티 중 하나로 AdRestore가 있습니다. AdRestore는 Windows Server 2003 삭제 취소 원본을 사용하여 개별적으로 개체 삭제를 취소합니다. Aelita Software Corporation 및 Commvault Systems에서도 Windows Server 2003 기반 도메인 컨트롤러에서 삭제 취소 기능을 지원하는 제품을 제공합니다.

    AdRestore를 구하려면 다음 웹 사이트를 방문하십시오.
    http://www.microsoft.com/technet/sysinternals/utilities/AdRestore.mspx (http://www.microsoft.com/technet/sysinternals/utilities/AdRestore.mspx) (영문)
이 문서에 포함된 다른 공급업체의 연락처 정보는 기술 지원을 받는 데 도움을 주기 위한 것입니다. 이 연락처 정보는 예고 없이 변경될 수 있습니다. Microsoft는 이러한 다른 공급업체 연락처 정보의 정확성을 보증하지 않습니다.

삭제된 개체의 컨테이너에서 개체를 수동으로 삭제 취소하는 방법

삭제된 개체의 컨테이너에서 개체를 수동으로 삭제 취소하려면 다음과 같이 하십시오.
  1. 시작, 실행을 차례로 누른 다음 ldp.exe를 입력합니다.

    참고 Ldp 유틸리티가 설치되어 있지 않은 경우 Windows Server 2003 설치 CD를 사용하여 지원 도구를 설치합니다.
  2. Ldp에서 Connection 메뉴를 사용하여 Windows Server 2003 도메인 컨트롤러에 연결 및 바인딩합니다.

    바인딩 작업 중에 도메인 관리자 자격 증명을 지정합니다.
  3. Options 메뉴에서 Controls을 누릅니다.
  4. Load Predefined 목록에서 Return Deleted Objects를 누릅니다.

    참고 1.2.840.113556.1.4.417 컨트롤은 Active Controls 창으로 이동합니다.
  5. Control Type에서 Server를 누르고 OK를 누릅니다.
  6. View 메뉴에서 Tree를 누르고 삭제가 발생한 도메인에서 삭제된 개체 컨테이너의 고유 이름 경로를 입력한 다음 OK를 누릅니다.

    참고 고유 이름 경로를 DN 경로라고도 합니다. 예를 들어, contoso.com 도메인에서 삭제가 발생한 경우 DN 경로는 다음과 같습니다.
    cn=deleted Objects,dc=contoso,dc=com
  7. 왼쪽 창에서 Deleted Object Container를 두 번 누릅니다.

    참고 LDAP 쿼리의 검색 결과로 개체가 기본적으로 1000개만 반환됩니다. 예를 들어, Deleted Object Container에 개체가 1000개 이상 있는 경우 일부 개체가 이 컨테이너에 나타나지 않습니다. 대상 개체가 나타나지 않으면 ntdsutil을 사용한 다음 maxpagesize를 통해 최대 수를 설정하여 검색 결과를 가져옵니다.
  8. 삭제를 취소하거나 재활성화할 개체를 두 번 누릅니다.
  9. 재활성화할 개체를 마우스 오른쪽 단추로 누른 다음 Modify를 누릅니다.

    단일 LDAP(Lightweight Directory Access Protocol) 수정 작업으로 isDeleted 특성 값과 DN 경로 값을 변경합니다. Modify 대화 상자를 구성하려면 다음과 같이 하십시오.
    1. Edit Entry Attribute 상자에 isDeleted를 입력합니다.

      Value 상자는 비워 둡니다.
    2. Delete 옵션 단추를 누른 다음 Enter 키를 눌러 두 항목 중 첫 번째 항목을 Entry List 대화 상자로 이동합니다.

      중요 Run을 누르지 마십시오.
    3. Attribute 상자에 distinguishedName을 입력합니다.
    4. Values 상자에 재활성화된 개체의 새 DN 경로를 입력합니다.

      예를 들어, Mayberry OU에 대한 JohnDoe 사용자 계정을 재활성화하려면 다음 DN 경로를 사용합니다.
      cn=JohnDoe,ou=Mayberry,dc=contoso,dc=com
      참고 삭제된 개체를 원래 컨테이너에 재활성화하려면 삭제된 개체의 lastKnownParent 특성 값을 CN 값에 첨부한 다음 전체 DN 경로를 Values 상자에 붙여 넣습니다.
    5. Operation 상자에서 REPLACE를 누릅니다.
    6. Enter 키를 누릅니다.
    7. Synchronous 확인란을 선택합니다.
    8. Extended 확인란을 선택합니다.
    9. Run을 누릅니다.
  10. 개체를 재활성화한 후 Options 메뉴에서 Controls를 누르고 Check Out 단추를 눌러 Active Controls 상자 목록에서 (1.2.840.113556.1.4.417)을 제거합니다.
  11. 삭제된 사용자의 사용자 계정 암호, 프로필, 홈 디렉터리 및 그룹 구성원을 원래대로 설정합니다.

    개체가 삭제된 경우 SID, ObjectGUID, LastKnownParentSAMAccountName을 제외한 모든 특성 값이 삭제됩니다.
  12. Active Directory 사용자 및 컴퓨터에서 재활성화한 계정을 설정합니다.

    참고 재활성화된 개체는 삭제되기 전의 기본 SID와 동일한 기본 SID를 갖지만 리소스에 대한 동일한 액세스 수준을 가지려면 해당 개체를 동일한 보안 그룹에 다시 추가해야 합니다. Windows Server 2003의 첫 번째 릴리스는 재활성화된 사용자 계정, 컴퓨터 계정 및 보안 그룹에 대한 sIDHistory 특성을 보존하지 않습니다. 서비스 팩 1이 설치된 Windows Server 2003은 삭제된 개체에 대한 sIDHistory 특성을 보존합니다.
  13. Microsoft Exchange 특성을 제거하고 사용자를 Exchange 사서함에 다시 연결합니다.

    참고 삭제된 개체를 재활성화하는 기능은 Windows Server 2003 도메인 컨트롤러에서 삭제가 발생할 경우에 지원됩니다. Windows 2000 도메인 컨트롤러에서 삭제가 발생한 후 Windows Server 2003으로 업그레이드한 경우에는 삭제된 개체의 재활성화가 지원되지 않습니다.

    참고 도메인의 Windows 2000 도메인 컨트롤러에서 삭제가 발생하면 lastParentOf 특성은 Windows Server 2003 도메인 컨트롤러에서 채워지지 않습니다.

삭제가 발생한 시간과 위치를 확인하는 방법

대량 삭제로 인해 사용자가 삭제된 경우 삭제가 발생한 위치를 확인할 수 있습니다. 이렇게 하려면 다음과 같이 하십시오.
  1. 삭제된 OU(조직 구성 단위) 컨테이너 또는 종속 개체를 추적할 수 있도록 감사가 올바르게 구성된 경우 삭제가 발생한 도메인에서 도메인 컨트롤러의 보안 이벤트 로그를 검색하는 유틸리티를 사용합니다. 범위가 지정된 도메인 컨트롤러 집합에서 이벤트 로그를 검색하는 유틸리티 중 하나는 EventCombMT 유틸리티입니다. EventCombMT는 Windows Server 2003 Resource Kit 도구 집합에 포함되어 있습니다.

    Windows Server 2003 Resource Kit 도구 집합을 구하는 방법에 대한 자세한 내용은 다음 Microsoft 웹 페이지를 참조하십시오.
    http://technet.microsoft.com/en-us/windowsserver/bb693323.aspx (http://technet.microsoft.com/en-us/windowsserver/bb693323.aspx) (영문)
  2. "삭제된 개체의 컨테이너에서 개체를 수동으로 삭제 취소하는 방법" 절의 1단계부터 7단계까지 수행하여 삭제된 보안 사용자를 찾습니다. 트리가 삭제된 경우 다음 단계에 따라 삭제된 개체의 부모 컨테이너를 찾습니다.
  3. objectGUID 특성 값을 Windows 클립보드에 복사합니다.

    4단계에서 Repadmin 명령을 입력할 때 이 값을 붙여 넣을 수 있습니다.
  4. 다음 명령을 입력합니다.
    repadmin /showmeta GUID=<objectGUID> <FQDN>
    예를 들어, 삭제된 개체나 컨테이너의 objectGUID가 791273b2-eba7-4285-a117-aa804ea76e95이고 FQDN(정규화된 도메인 이름)이 dc.contoso.com인 경우 다음 명령을 입력합니다.
    repadmin /showmeta GUID=791273b2-eba7-4285-a117-aa804ea76e95 dc.contoso.com
    이 명령의 구문에 삭제된 개체나 컨테이너의 GUID 및 원본으로 사용할 서버의 FQDN을 포함시켜야 합니다.
  5. Repadmin 명령 출력에서 isDeleted 특성의 시작 날짜, 시작 시간 및 출처 도메인 컨트롤러를 찾습니다. 예를 들어, isDeleted 특성에 대한 정보는 다음 예제 출력의 5번 째 줄에 표시됩니다.
    표 축소표 확대
    Loc.USNOriginating DCOrg.USNOrg.Time/DateVerAttribute
    134759Default-First-Site-Name\NA-DC11347592004-03-15 17:41:201objectClass
    134760Default-First-Site-Name\NA-DC11347602004-03-15 17:41:222ou
    134759Default-First-Site-Name\NA-DC11347592004-03-15 17:41:201instanceType
    134759Default-First-Site-Name\NA-DC11347592004-03-15 17:41:201whenCreated
    134760Default-First-Site-Name\NA-DC11347602004-03-15 17:41:221isDeleted
    134759Default-First-Site-Name\NA-DC11347592004-03-15 17:41:201nTSecurityDescriptor
    134760Default-First-Site-Name\NA-DC11347602004-03-15 17:41:222name
    134760Default-First-Site-Name\NA-DC11347602004-03-15 17:41:221lastKnownParent
    134760Default-First-Site-Name\NA-DC11347602004-03-15 17:41:222 objectCategory
  6. 출력의 두 번째 열에 있는 출처 도메인 컨트롤러의 이름이 32자의 영숫자 GUID로 표시되는 경우 Ping 명령을 사용하여 삭제가 발생한 도메인 컨트롤러의 IP 주소와 이름에 대한 GUID를 확인합니다. Ping 명령의 구문은 다음과 같습니다.
    ping –a <originating DC GUID>._msdomain controllers.<fully qualified path for forest root domain>
    참고 "-a" 옵션은 대/소문자를 구분합니다. 출처 도메인 컨트롤러가 있는 도메인에 관계없이 포리스트 루트 도메인의 정규화된 도메인 이름을 사용하십시오.

    예를 들어, 출처 도메인 컨트롤러가 Contoso.com 포리스트의 도메인에 있고 GUID가 644eb7e7-1566-4f29-a778-4b487637564b인 경우 다음 명령을 입력합니다.
    ping –a 644eb7e7-1566-4f29-a778-4b487637564b._msdomain controllers.contoso.com
    이 명령에서 반환되는 출력은 다음과 유사합니다.
    Pinging na-dc1.contoso.com [65.53.65.101] with 32 bytes of data:
    
    Reply from 65.53.65.101: bytes=32 time<1ms TTL=128 Reply from 65.53.65.101: bytes=32 time<1ms TTL=128 Reply from 65.53.65.101: bytes=32 time<1ms TTL=128 Reply from 65.53.65.101: bytes=32 time<1ms TTL=128
  7. 삭제가 발생한 도메인 컨트롤러의 보안 로그 또는 5단계에서 Repadmin 명령의 출력에 표시된 시간에 대한 보안 로그를 확인합니다.

    이 시점에 도달하는 데 사용된 컴퓨터 간의 시간 차이 및 표준 시간대 변경 사항을 고려하십시오. OU 컨테이너 또는 삭제된 개체에 대해 삭제 감사가 설정된 경우 관련 감사 이벤트에 주의하십시오. 감사가 설정되지 않은 경우 OU 컨테이너 또는 OU 컨테이너의 종속 개체를 삭제할 권한이 있고 삭제가 수행되기 전에 출처 도메인 컨트롤러에 대해 인증된 사용자에 주의하십시오.

대량 삭제로 인한 영향을 최소화하는 방법

사용자, 컴퓨터 및 보안 그룹의 대량 삭제로 인한 영향을 최소화하는 방법의 핵심은 권한이 부여된 사용자 계정에 대한 액세스를 강력하게 제어하고, 이러한 계정으로 수행할 수 있는 작업을 강력하게 제어하며, 마지막으로 대량으로 삭제된 내용을 복구할 수 있도록 최신 시스템 상태 백업을 갖고 있는 것입니다.

시스템 상태는 매일 변경됩니다. 사용자 계정 및 컴퓨터 계정의 암호를 원래대로 설정하고 사용자 계정, 컴퓨터 계정 및 보안 그룹의 그룹 구성원과 기타 특성을 변경하는 것도 시스템 상태 변경에 해당합니다. 하드웨어 또는 소프트웨어에 오류가 발생하거나 사이트에 문제가 발생하는 경우 포리스트의 각 Active Directory 도메인과 사이트에서 중요한 변경 작업을 수행한 후에 만든 백업을 복원해야 합니다. 최신 백업을 유지 관리하지 않으면 데이터가 손실되거나 복원된 개체를 롤백해야 할 수 있습니다.

대량 삭제가 발생하지 않도록 다음과 같이 하는 것이 좋습니다.
  1. 기본 제공 관리자 계정의 암호를 공유하거나 일반 관리 사용자 계정을 공유하지 않습니다. 기본 제공 관리자 계정의 암호가 노출된 경우 암호를 변경하고 노출된 암호를 사용하지 못하도록 내부 프로세스를 정의합니다. 공유 사용자 계정에 대해 감사 이벤트를 사용하면 Active Directory에서 변경 작업을 수행 중인 사용자의 ID를 확인할 수 있습니다. 따라서 공유 사용자 계정은 사용할 수 없도록 해야 합니다.
  2. 사용자 계정, 컴퓨터 계정 및 보안 그룹이 의도적으로 삭제되는 경우는 거의 없습니다. 트리 삭제의 경우에 특히 그렇습니다. 사용자 계정, 컴퓨터 계정, 보안 그룹, OU 컨테이너 및 해당 특성을 만들고 관리하는 기능에서 이러한 개체를 삭제할 수 있는 서비스 및 위임된 관리자의 기능을 해제합니다. 고급 권한이 부여된 사용자 계정 또는 보안 그룹에만 트리 삭제를 수행할 권한을 부여합니다. 이러한 권한이 부여된 사용자 계정에는 엔터프라이즈 관리자가 포함됩니다.
  3. 위임된 관리자에게는 관리가 허용된 개체의 클래스에 액세스할 수 있는 권한만 부여합니다. 예를 들어, 사용자 계정에 대한 속성을 수정하는 것이 주 업무인 헬프 데스크 관리자에게는 컴퓨터 계정, 보안 그룹 또는 OU 컨테이너를 만들고 삭제할 수 있는 권한을 부여하지 않는 것이 좋습니다. 이러한 제한은 다른 특정 개체 클래스 관리자의 삭제 권한에도 적용됩니다.
  4. 랩 도메인에서 감사 설정을 사용하여 삭제 작업을 추적해 봅니다. 결과에 만족하면 해당 솔루션을 프로덕션 도메인에 적용합니다.
  5. 수만 개의 개체를 호스팅하는 컨테이너에서 대규모로 액세스를 제어하고 변경 내용을 감사하면 특히 Windows 2000 도메인에서 Active Directory 데이터베이스가 엄청나게 커질 수 있습니다. 프로덕션 도메인을 미러링하는 테스트 도메인을 사용하여 사용 가능한 디스크 공간을 평가합니다. 프로덕션 도메인에서 도메인 컨트롤러의 Ntds.dit 파일과 로그 파일을 호스팅하는 하드 디스크 드라이브 볼륨을 검사하여 사용 가능한 디스크 공간을 확인합니다. 도메인 네트워크 컨트롤러 헤드에 액세스 제어 및 감사 변경을 설정하지 마십시오. 이러한 변경 사항은 파티션의 모든 컨테이너에 있는 모든 클래스의 모든 개체에 불필요하게 적용됩니다. 예를 들어, 도메인 파티션의 CN=SYSTEM 폴더에서 DNS(Domain Name System) 및 DLT(분산 링크 추적) 레코드 등록을 변경하지 마십시오.
  6. 최적의 OU 구조를 사용하여 사용자 계정, 컴퓨터 계정, 보안 그룹 및 서비스 계정을 해당 조직 구성 단위에서 구분합니다. 이러한 구조를 사용하는 경우 DACL(임의 액세스 제어 목록)을 위임된 관리에 대한 단일 클래스의 개체에 적용할 수 있으므로 개체를 복원해야 하는 경우 개체 클래스에 따라 개체가 복원되도록 할 수 있습니다. 최적의 OU 구조는 Windows 네트워크 관리에 최적인 Active Directory 설계 백서의 "조직 구성 단위 설계" 절에 설명되어 있습니다. 이 백서를 구하려면 다음 Microsoft 웹 사이트를 방문하십시오.
    http://technet.microsoft.com/en-us/library/Bb727085.aspx (http://technet.microsoft.com/en-us/library/Bb727085.aspx) (영문)
  7. 프로덕션 도메인을 미러링하는 랩 환경에서 대량 삭제를 테스트합니다. 적절한 복구 방법을 선택한 다음 해당 조직에 맞게 사용자 지정합니다. 다음을 확인할 수 있습니다.
    • 정기적으로 백업되는 각 도메인의 도메인 컨트롤러 이름
    • 백업 이미지가 저장되는 위치

      이러한 이미지는 포리스트의 각 도메인에 있는 글로벌 카탈로그에 대해 로컬인 추가 하드 디스크에 저장하는 것이 가장 좋습니다.
    • 연락할 헬프 데스크 조직의 구성원
    • 헬프 데스크 조직의 구성원에게 연락하는 최선의 방법
  8. 사용자 계정, 컴퓨터 계정 및 보안 그룹의 대량 삭제는 대부분 실수로 인한 것입니다. IT 담당자와 이 시나리오를 검토하고 내부 작업 계획을 개발하십시오. 우선 가능한 신속하게 대량 삭제를 감지하여 도메인 사용자의 기능을 복구하고 업무가 정상적으로 수행되도록 하는 데 중점을 둡니다.

대량 삭제를 복구하는 데 도움이 되는 도구 및 스크립트

Groupadd.exe 명령줄 유틸리티는 OU의 사용자 컬렉션에 대한 memberOf 특성을 읽고 복원된 각 사용자 계정을 포리스트의 각 도메인에 있는 보안 그룹에 추가하는 .ldf 파일을 작성합니다.

Groupadd.exe는 삭제된 사용자가 구성원이었던 도메인 및 보안 그룹을 자동으로 검색하여 해당 그룹에 다시 추가합니다. 이 과정은 방법 1의 11단계에 자세히 설명되어 있습니다.

Groupadd.exe는 다음 도메인 컨트롤러에서 실행됩니다.
  • Windows Server 2003 도메인 컨트롤러
  • .NET 1.1 Framework가 설치된 Windows 2000 도메인 컨트롤러
Groupadd.exe의 구문은 다음과 같습니다.
groupadd /after_restore ldf_file [/before_restore ldf_file]
여기서 ldf_file은 이전 인수에 사용된 .ldf 파일 이름을 나타내고, after_restore는 사용자 파일 데이터 원본을 나타내며, before_restore는 프로덕션 환경의 사용자 데이터를 나타냅니다. 사용자 파일 데이터 원본은 적합한 사용자 데이터입니다.

Groupadd.exe를 사용하려면 Microsoft 고객기술지원부에 문의하십시오.

이 문서에 나와 있는 다른 공급업체 제품은 Microsoft와 무관한 회사에서 제조한 것입니다. Microsoft는 이들 제품의 성능이나 신뢰성에 관하여 명시적이든 묵시적이든 어떠한 보증도 하지 않습니다.

참조

확장 문자가 포함된 개체를 복원하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
886689  (http://support.microsoft.com/kb/886689/ ) Windows Server 2003 및 Windows 2000에서 고유 이름 경로에 확장 문자가 포함된 경우 Ntdsutil 정식 복원 작업이 실패한다
자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
824684  (http://support.microsoft.com/kb/824684/ ) Microsoft 소프트웨어 업데이트를 설명하는 데 사용되는 표준 용어에 대한 설명
910823  (http://support.microsoft.com/kb/910823/ ) Windows Server 2003 서비스 팩 1을 실행하는 컴퓨터에서 .ldf 파일을 가져오려고 하면 "LineNumbe 줄에 오류 추가: 그런 개체가 없습니다." 오류 메시지가 나타난다
937855  (http://support.microsoft.com/kb/937855/ ) Windows Server 2003 기반 도메인 컨트롤러에서 정식 복원을 수행하여 삭제된 개체를 복원한 후 일부 개체의 연결된 특성이 다른 도메인 컨트롤러에 복제되지 않는다




Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹 (http://support.microsoft.com/newsgroups/default.aspx) 에 참여하시기 바랍니다.

본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
키워드: 
kbhowto kbactivedirectory kbwinservds KB840001
공유
추가 지원 옵션
Microsoft Community 지원 포럼
직접 문의하기
Microsoft Certified Partner 찾기
Microsoft Store
소기업이 아닙니까?
다음에서 팔로우하십시오.