none
Active Directoryの権限のある復元の実行時に表示されるレコード数について RRS feed

  • 質問

  • 現在WindowsServer2012 2台でADを運用しているのですが、リストアのテストをするためユーザーを1件削除し

    権限のある復元で削除した1件のユーザーを指定して復元したのですが、 プロンプトに「2個のレコードを正常に復元にしました」と表示されました。

    cnでユーザー名を指定して復元をしたので1レコードになると思っていたのですが、2個と表示されてしまったため戸惑っております。

    復元結果としては、指定したユーザーのみが復元をしている状態なので、結果としては問題ないのですが、

    いろいろ調べてみたのですが、有力な情報が見つけられず、不安が残る状態なので質問させて頂きました。


     

    権限のある復元の手順は下記のとおりにいたしました。

    1.wbadminコマンドで、権限のない復元を行う

    2.復元終了後 再起動せずCtrl+Cで強制中断する

    3.「ntdsutil」コマンドを叩く

    4.「activate instance NTDS」を入力

    5.「authoritative restore」を入力

    6.「restore object "cn=xxxx xxxx,cn=users,dc=xxxxx,dc=co,dc=jp"」と入力

    7.復元は正常に終了し 再起動

    以上です。

    よろしくお願い致します。

    2014年9月17日 8:01

回答

  • チャブーンです。

    この件ですが、実際にやってみました。結果ですが、後方リンクとの関係があります。もう少しわかりやすくいうと、復元するユーザが所属するグループの設定も変更する必要があるので、そのグループへの修正が含まれているのです。

    たとえば、ユーザーが特定のセキュリティグループのメンバーである場合、ユーザーの「所属するグループ」(memberOfという属性です)と、所属先グループの「メンバー」(memberという属性です)が補完しあうように、情報が登録されます。削除済みオブジェクトを復活させる場合、この関係が存在しない状態ですので、これを復活させる操作が必要ですが、memberOf属性は後方リンクというシステム依存の情報で直接制御ができません。修正するにはmember属性の修正が必要なため、結論としてグループオブジェクトの操作が必要になります。

    唯一の例外として「Domain Users」グループだけはうえに当てはまりません。これは、ユーザーオブジェクトのmemberOf属性ではなく、primaryGroupID(プライマリグループ)という別の属性を利用しているためです。事実としてDomain Usersグループのみのユーザーを復元すると、復元オブジェクト数は1であり、復元する後方リンクが存在しない旨のメッセージがあわせて表示されます。

    逆に2つ以上のセキュリティグループ(Domain Usersは数に含みません)のメンバーとなっているユーザーを復元させると、復元数は3...と増えていきます。


    2014年9月23日 8:50
    モデレータ

すべての返信

  • チャブーンです。

    この件ですが、実際にやってみました。結果ですが、後方リンクとの関係があります。もう少しわかりやすくいうと、復元するユーザが所属するグループの設定も変更する必要があるので、そのグループへの修正が含まれているのです。

    たとえば、ユーザーが特定のセキュリティグループのメンバーである場合、ユーザーの「所属するグループ」(memberOfという属性です)と、所属先グループの「メンバー」(memberという属性です)が補完しあうように、情報が登録されます。削除済みオブジェクトを復活させる場合、この関係が存在しない状態ですので、これを復活させる操作が必要ですが、memberOf属性は後方リンクというシステム依存の情報で直接制御ができません。修正するにはmember属性の修正が必要なため、結論としてグループオブジェクトの操作が必要になります。

    唯一の例外として「Domain Users」グループだけはうえに当てはまりません。これは、ユーザーオブジェクトのmemberOf属性ではなく、primaryGroupID(プライマリグループ)という別の属性を利用しているためです。事実としてDomain Usersグループのみのユーザーを復元すると、復元オブジェクト数は1であり、復元する後方リンクが存在しない旨のメッセージがあわせて表示されます。

    逆に2つ以上のセキュリティグループ(Domain Usersは数に含みません)のメンバーとなっているユーザーを復元させると、復元数は3...と増えていきます。


    2014年9月23日 8:50
    モデレータ
  • こちらでも実験してみてセキュリティグループにより増減していることを確認いたしました!

    ありがとうございました!

    2014年11月4日 10:05