NAKIVO > Blog > Multiplatform

削除されたActive Directoryオブジェクトを復元する方法:完全ガイド

Updated: 4月 28, 2026

執筆:: NAKIVOチーム

ITインフラストラクチャリソースの一元管理を実現するグローバルな認証ディレクトリサービスとして、Active Directory(AD)は最も重要なビジネスアプリケーションの一つです。つまり、障害発生時には、サービスのダウンタイムを最小限に抑えるために迅速な復旧が不可欠となります。ADには通常、階層的に構成された多数のオブジェクトが含まれており、一部のオブジェクトは他のオブジェクトに依存しています。 複雑な階層構造を復元し、一部のデータを手動で再作成する必要があるため、復旧プロセスには時間がかかる場合があります。このブログ記事では、削除された Active Directory オブジェクトを復元する方法について説明します。

Active Directory オブジェクトの復元に関する基本事項

Windows Server に組み込まれているバックアップユーティリティ、またはサポートされているサードパーティ製のユーティリティを使用して、AD の復旧プロセスを開始できます。Active Directory には、主に 2 つの復旧方法があります。

  • Non-Authoritative Recovery これは、Active Directory を復元するためのデフォルトの手法です。この手法では、ドメインをバックアップ作成時の状態に戻すだけであり、その後に行われたオブジェクトやコンテナの変更は、通常のレプリケーションによって上書きされます。
  • Authoritative Recovery この方法は、バックアップからの非権限回復と、それに続く権限回復の2つの部分で構成されています。主な違いは、この方法ではディレクトリ全体のオブジェクトやその属性に対して権限のある変更を加えることができる点です。この種の回復は、コンピュータアカウント、信頼関係、およびグループのメンバーシップに影響を与える可能性があります。

適切なAD復旧方法を選択するには、以下の点を考慮してください:

  • The cause of the failure: 原因は、オブジェクトの偶発的または悪意のある削除・変更がすべてのドメイン コントローラーにレプリケートされたことによるものか、それとも仮想マシン全体の完全な障害によるものか。削除・変更が原因である場合は、権威ある復旧が必要となります。
  • Roles and functions 障害が発生したActive Directoryサーバーの。

削除されたADオブジェクトを復元するためのネイティブツール

削除されたADオブジェクトは、必ずしも Active Directory のユーザーとコンピュータ スナップイン。以下のように表示されます。 削除されたオブジェクト 削除されたADオブジェクトを格納したコンテナに保存し、専用のツールを使用してのみ復元します。

Windows Serverに組み込まれたツールを含む、Microsoftのネイティブツールを使用してActive Directory(AD)から削除されたオブジェクトを復元するには、"Active Directoryごみ箱"を使用する方法と、使用しない方法の2つのアプローチがあります。これら2つのアプローチには大きな違いがあります。

ADのゴミ箱を使用しない復元

そのとき AD Recycle Bin is disabledADオブジェクトの削除および復元の手順は、以下の通りです:

  1. オブジェクトが削除されると、そのオブジェクトはトゥームストーンになります。
  2. "tombstone"オブジェクトは、 削除されたオブジェクト 設定された期間に対応するコンテナ tombstoneLifetime 現在のドメインについて。オブジェクトがトゥームストーン(削除済みオブジェクトとも呼ばれる)になると、属性のほとんどが失われます。
  3. 有効期間中は、ADオブジェクトを復元することは可能ですが、その属性に記録された追加情報は復元されません。
  4. トゥームストーンの有効期限が切れると、そのオブジェクトは物理的に削除され、復元することはできなくなります。

以下の図は、Active Directory オブジェクトのライフサイクルを示しており、AD ごみ箱を使用せずに AD オブジェクトを復元する仕組みを説明しています。

The lifecycle of a deleted Active Directory object when the AD Recycle Bin is disabled

ADのごみ箱からの復元

あなたが~すると、状況は変わります turn on Active Directory Recycle Bin:

  1. AD オブジェクトが削除されると、そのオブジェクトの状態は"論理的に削除済み"の状態に変更されます。オブジェクトの属性は、 削除されたオブジェクトの存続期間 属性 (msDS-削除済みオブジェクトの有効期間)、これは リサイクルされたオブジェクトのライフタイム デフォルトでは180日間です。この期間中は、Active Directoryから削除されたオブジェクトを復元することができます。
  2. その 削除済みか 属性は はい. その リサイクル品か 属性は .
  3. その後、 削除されたオブジェクトの存続期間 期間が満了すると、オブジェクトの状態は 論理的に削除された ~へ リサイクル品. AD ごみ箱が無効になっている場合、リサイクルされたオブジェクトは、墓石オブジェクトと同様の状態になります。
  4. このリサイクル品は、現在も 削除されたオブジェクト コンテナが リサイクルされたオブジェクトのライフタイム で定義されている tombstoneLifetime attributeの有効期限が切れます。デフォルトでは、この期間は180日間です。 リサイクル品か 属性は はい. 論理的に削除された状態でも保持されているオブジェクト属性のほとんどは、削除されます。
  5. そのとき リサイクルされたオブジェクトのライフタイム (tombstoneLifetime) の有効期限が切れると、Active Directory のガベージコレクション機構によってリサイクルされたオブジェクトが完全にクリーンアップされ、このオブジェクトは物理的に削除されます。これにより、オブジェクトの復元は不可能となります。

The lifecycle of a deleted Active Directory object when the AD Recycle Bin is enabled

Active Directory ごみ箱:知っておくべきこと

Active Directory ごみ箱は、Windows Server 2008 R2 で初めて導入され、当初は PowerShell でのみ利用可能でした。AD ごみ箱のグラフィカル ユーザー インターフェイス (GUI) は、Windows Server 2012 以降で利用可能になりました。デフォルトでは、AD ごみ箱は無効になっています。

AD ごみ箱を有効にする前に、以下の点に注意してください:

  • Active Directory ごみ箱を有効にすると、ドメイン フォレスト内のすべてのトゥームストーンが削除されます。つまり、Active Directory オブジェクトを削除した後に AD ごみ箱を有効にした場合、それらのオブジェクトを復元することは不可能になります。削除された Active Directory オブジェクトを復元するには、ごみ箱に依存しない他の方法を使用し、その後にのみごみ箱を有効にしてください。
  • AD ごみ箱を有効にすると、AD ごみ箱の有効化後に削除された AD オブジェクトを復元できるようになります。AD ごみ箱を有効にする before ADオブジェクトを削除します。
  • AD ごみ箱を有効にすると、無効にすることはできません。この設定は元に戻せません。 ADドメインコントローラーのバックアップを作成する この機能を恒久的に必要とするかどうか確信が持てない場合は、ADごみ箱を有効にする前に。
  • ADのごみ箱を有効にすると、Active Directoryのスキーマが変更されます。
  • Active Directoryのサイズが大きくなるのは、オブジェクトの状態が変更された後、そのオブジェクトと属性が一時的にActive Directory内に保持されるためです。

ネイティブツールを使用して削除されたADオブジェクトを復元する方法

ここでは、Active Directory 内のオブジェクトを削除し、AD リサイクル ビンを使用する場合と使用しない場合の両方で、それらを復元する方法について解説します。4 つのネイティブ手法について説明します:

  • 例 1: PowerShell の使用
  • 例 2: ADRestore の使用
  • 例 3: Ldp.exe の使用
  • 例 4: AD ごみ箱からの復元

最初の3つの例では、ADごみ箱を使用せずにADオブジェクトを復元します。4つ目の例では、Active Directoryごみ箱を有効にし、いくつかのオブジェクトを削除してから、それらを復元します。

The environment used in the examples:

  • ドメイン フォレスト内で唯一のドメイン コントローラーとして動作している、Windows Server 2019 上のドメイン コントローラー。
  • ドメイン名とは ID.TEST
  • 当社には複数のユーザーがいます―― ユーザー1, ユーザー2, ユーザー3など、その構成員である グループA このADドメイン内で。

なお、以下で説明するネイティブメソッドを使用する場合、削除されたADユーザーを復元するためにドメインコントローラーをシャットダウンしてオフラインにする必要はありません。

例 1: PowerShell での AD オブジェクトの復元 (Restore-ADObject)

削除しましょう ユーザー1 Active Directory で、その後、 ユーザー1 オブジェクト。これらの操作はドメイン コントローラー上で実行します。

How to delete and restore deleted AD account

削除されたADユーザーを復元するには、以下の手順を実行してください:

  1. 管理者権限でPowerShellを開きます(管理者権限のPowerShell)。
  2. 削除されたオブジェクトは、 削除されたオブジェクト コンテナに格納し、 削除済みか flag。次のコマンドで削除されたADオブジェクトを表示します:

Get-ADObject -IncludeDeletedObjects -Filter {IsDeleted -eq $true}

  1. オブジェクトを復元するには、 削除済みか このオブジェクトのフラグ。これを復元する必要があります ユーザー1. 名前がで始まるすべてのオブジェクトを表示するコマンドを入力してください ユーザーこのため、フィルタに以下のオプションを追加します: {Isdeleted -eq $true -and Name -like “user*“}

以下のコマンドは、次のような他のユーザーを表示する場合に有効です ユーザー2, ユーザー3、など、削除されている場合は:

Get-ADObject -IncludeDeletedObjects -Filter {Isdeleted -eq $true -and Name -like "user*"}

How to view information about a deleted AD user in PowerShell

  1. 以下の点にご注意ください オブジェクトGUID または 識別名 必要なオブジェクトに対して。私たちは オブジェクトGUID ~のために ユーザー1 私たちの場合:

4c723d90-5a05-47c3-9482-c05dc3c6201c

  1. 削除したオブジェクトを復元するには、次のようなコマンドを実行してください:

Restore-ADObject -Identity "GUID or DistingushedName here" -NewName "new_restore_name"

私たちの場合:

Restore-ADObject -Identity "4c723d90-5a05-47c3-9482-c05dc3c6201c" -NewName "user1-restored"

  1. 必要に応じて、 -TargetPath キーを作成し、新しい場所に識別名(DN)を設定します。例:

CN=Users,DC=domain,DC=net

コマンドを実行して Active Directory オブジェクトを復元した後、以下の現象は確認されません ユーザー1 ~の中で ユーザー カタログおよび グループA このユーザーが以前いた場所。

If you recover deleted AD accounts without the Recycle Bin, group membership is not restored

これは、Active Directory オブジェクトを AD リサイクル ビンを使用せずに削除すると、たとえそのオブジェクト自体が復元されたとしても、オブジェクトの属性のほぼすべてが失われてしまうためです。

We restore deleted AD accounts and can find the accounts in Domain Users

復元されたADオブジェクトを見つけることができます user1-復元済み ~の中で ドメインユーザー グループ。ユーザーログオン名は、Windows 2000以前の形式でのみ保存されます。 user1-復元済み アカウントは無効化されています。重要な点は、元のSIDが保持されるため、このユーザーに関連付けられたファイルやフォルダのNTFSアクセス権は有効なまま維持されるということです。

Only the pre-Windows 2000 logon name is preserved after restoring an AD user

注: 削除されたオブジェクトをトゥームストーンから復元するのではなく、新しいADオブジェクトを作成し直す場合、 オブジェクトGUID そして objectSID 属性が割り当てられるため、このオブジェクトへの参照を更新する必要があります。

ログオン名の編集、アカウントの有効化、パスワードの更新、およびこのユーザーを グループAすべての属性とメンバーシップを正しく復元するには、多くの手作業が必要です。

例 2: ADRestore を使用して削除された AD ユーザーを復元する

2つ目の例では、Active Directory のごみ箱は依然として無効になっています。

ユーザー2…は、~の構成員であり グループAが削除されます。

これからfreeを使用します ADRestore Active Directory で削除されたオブジェクトを復元するためのツールです。このツールは Microsoft の Web サイトで入手できます:

https://docs.microsoft.com/en-us/sysinternals/downloads/adrestore

  1. ツールをダウンロードし、ZIPアーカイブの内容を特定のフォルダ(例: C:programsadrestore
  2. PowerShell で次のディレクトリに移動します:

cd c:programsadrestore

PowerShellを管理者として実行します。

  1. 削除された情報を見る ユーザー2 管理者権限のPowerShellで正確なユーザー名を指定して:

Get-ADObject -Filter 'SAMAccountName -eq "user2"' -IncludeDeletedObjects

Viewing the information about the deleted user in PowerShell

Deleted: True このユーザーが削除されたことを確認します。

CN=Deleted Objects とは、そのオブジェクト(ユーザーアカウント)が 削除されたオブジェクト コンテナ。

  1. 以下の点にご注意ください オブジェクトGUIDユーザー2:

c6c121a3-d664-4d71-a6ef-9ad26b833fe6

  1. オブジェクトを復元するには、次のコマンドを入力してください adrestore を指定することで オブジェクトGUID 必要なユーザー:

.adrestore -r c6c121a3-d664-4d71-a6ef-9ad26b833fe6

種類 y そして、押してください Enter 確認して次に進む。

How to restore Active Directory object with ADRestore in PowerShell

  1. 削除されたオブジェクト(ユーザー2) が復元された場合は、このユーザーを Active Directory のユーザーとコンピュータ ウィンドウ。

結果は最初の例と似ています。その ユーザー2 属性やグループ所属などの追加データは一切含まれずに復元されます。

AD recovery – the user is restored

例 3: Ldp.exe を使用して削除された AD ユーザーを復元する

削除されたADを復元するための手順ガイドの3つ目の方法 ユーザー3 ADのゴミ箱は必要ありません。この方法では、無料の ldp.exe LDAP ユーティリティ。

Ldp ツールは、Windows Server 2008 や 2012 などの Windows Server オペレーティングシステムに標準で付属する Microsoft 製のツールです。このツールは、Windows エクスプローラー風のグラフィカルユーザーインターフェイス (GUI) を備えた軽量な LDAP クライアントであり、Active Directory のエントリを表示および編集することができます。

  1. クリック Start > Run (または Win+R).
  2. 種類 ldp ~の中で 実行 プロンプトを入力して実行 Enter.

Running the Ldp tool for restoring AD objects after deleting

  1. クリック Connection > Connect Ldpのメインウィンドウで。

Connecting to a server in the Ldp.exe utility

  1. 必要なパラメータを 接続 ウィンドウ。

Server: AD DC サーバーの IP アドレスまたは名前を入力してください。

Port: デフォルトでは389または636が使用されます。

クリック OK.

Setting up the connection parameters in the Ldp tool

  1. クリック Connection > Bind Ldpのメインウィンドウで。

Binding to Active Directory in the LDP.exe tool

  1. ドメイン コントローラーでドメイン管理者としてログインしていることを踏まえ、最初のオプションを選択します:
  • Bind as currently logged on user.

2番目のオプションを使用できます(認証情報でバインドする) ユーザー名、パスワード、および接続先のドメインを設定します。

ヒット OK 続きを読む。

Selecting binding options

  1. クリック Options > Controls Ldpのメインウィンドウで。

管理者権限で起動したPowerShellで、削除されたユーザーに関する情報を表示するコマンドを実行できます。

Get-ADObject -Filter 'SAMAccountName -eq "user3"' -IncludeDeletedObjects

その objectGUIユーザー3 は:

17ede5dc-b527-4ae4-ba5b-3ed50855be80

選択 Return deleted objects ~の中で 事前定義されたものを読み込む のドロップダウンメニュー 操作方法 ウィンドウ。ヒット OK.

Selecting Return deleted objects in Controls to restore deleted AD objects

  1. クリック View > Tree Ldpのメインウィンドウで。

"Enter"キーを押して ベースDN. 当社のドメイン名は ID.TEST そして私たちの ベースDNDC=ID,DC=TEST

ヒット OK 続行するには。

Entering a baseDN when using Ldp.exe

  1. ツリーを操作して、復元したい削除済みオブジェクトまで移動してください(ユーザー3 (この場合は、ADのごみ箱から復元したいオブジェクトです)。ドメインを展開し、 削除されたオブジェクト コンテナ。
当ユーザーの名前は ユーザー3. このオブジェクトのObjectGUIDは、ツリービューが有効になっているLdpウィンドウに表示されます。ご覧のとおり、このObjectGUIDは ユーザー3 これは、上記のPowerShellに表示されているものと同じです。

注: 実行された操作の結果は、ウィンドウの右ペインで確認できます。

Selecting a deleted AD user in the window of the LDP tool

  1. オブジェクトを右クリックして(ユーザー3 (当社の場合)をクリックして Modify コンテキストメニューで。

There is the need to modify some values to restore AD account in the Ldp tool

  1. その DN すでに自動的に選択されています。

種類 isDeleted ~の中で エントリの属性を編集 フィールド。

選択 Delete ~の中で 操作 オプション。

をクリックして Enter このウィンドウ内のボタン。

Selecting the isDeleted attribute to delete for the AD object we want to recover

  1. 種類 distinguishedName ~の中で 価値観 フィールド。

オブジェクトを復元するための値を入力してください。例: CN=user3,OU=Users,DC=ID,DC=test

復元用のカスタムDNの場所として値を入力できます。

[選択] Replace 操作。

をクリックして Enter このインターフェースにあるボタン 変更 ウィンドウ。

[選択] Synchronous そして Extended チェックボックス。次に、[クリック] Run.

Entering values and selecting the Replace operation

Ldp(LDAP)ツールを使用してこの方法でADオブジェクトを選択した場所に復元した場合、属性(パスワード、グループメンバーシップなど)を含む追加データは復元されません。 これらのパラメータは手動で設定する必要があります。

一般的に、結果は他の 2 つの方法と同様であり、これらも AD ごみ箱を使用しません。

Active Directory ごみ箱を有効にして、Active Directory で削除されたオブジェクトを復元した際の異なる結果を確認してみましょう。

例 4: Active Directory ごみ箱からの復元方法

復元作業を進める前に、ADのごみ箱を有効にする方法を確認しておきましょう。

Active Directory ごみ箱を有効にする方法

以下のことをお勧めします Active Directory をバックアップする AD ごみ箱を有効にする前に、ドメイン コントローラーでこの操作を行ってください。これにより、必要に応じて、AD ごみ箱が無効で既存のトゥームストーンが残っている状態に戻すことができます。

次のコマンドを実行して、Active Directory ごみ箱が有効になっているかどうかを確認します:

Get-ADOptionalFeature "Recycle Bin Feature" | select-object name,EnabledScopes

空の括弧が見えたら {} 出力では、AD ごみ箱が無効になっています。

How to view AD Recycle Bin status (enabled or disabled) in PowerShell

AD ごみ箱を有効にするための要件は以下の通りです。

  • Windows Server には、ドメイン管理者、または"Enterprise Admins"グループもしくは"Schema Admins"グループのメンバーであるユーザーとしてログインしている必要があります。
  • Active Directory ごみ箱を有効にするには、フォレストの機能レベルが Windows Server 2008 以降である必要があります。

ADのごみ箱を有効にする主な方法は、PowerShellとサーバーマネージャーの2つがあります。

1. Enabling AD Recycle Bin in PowerShell

管理者権限でPowerShellを起動し、以下のコマンドを実行してActive Directoryのごみ箱を有効にします:

Import-Module ActiveDirectory

一般的に、ADリサイクルビンを有効にするコマンドは次のようになります:

Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target

今回のケースでは、ドメイン名を指定した正確なコマンドは次のとおりです:

Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=ConfigurationDC=id,DC=test' -Scope ForestOrConfigurationSet -Target 'id.test'

の代わりに、ご自身のドメイン名を入力してください id.test この例で使用されています。

2. Enabling AD Recycle Bin in Server Manager

  1. "サーバーマネージャー"を開きます。クリックします Start そして入力してください server manager または、[押す] Win+R. その 実行 ウィンドウ、タイプ dsac.exe そしてクリック Enter.
  2. 移動 Tools > Active Directory Administrative Center ~の中で サーバーマネージャー ウィンドウ。

Opening the Active Directory Administrative Center

  1. 左側のペインでフォレストのルートドメインを選択します。ここでは、 ID (local) 私たちの場合。
  2. クリック Enable Recycle Bin 右側のペインで。

How to enable Active Directory Recycle Bin in the AD Administrative Center

  1. 警告をよくお読みの上、クリックしてください OK ~の中で ごみ箱への移動の確認を有効にする "続行"をクリックしてください。

Refresh AD Administrative Center after you turn on AD Recycle Bin

  1. Active Directory 管理センターのウィンドウを更新する必要があります。[ Refresh 管理センターウィンドウの右上隅にあるボタン。
  2. その後、 Enable Recycle Bin オプションがグレー表示(無効)になります。
  3. その Deleted Objects ドメインをクリックして内容を展開すると、メニューにコンテナが表示されます。

Locating an object to restore from AD Recycle Bin

  1. PowerShell で次のコマンドを実行し、Active Directory ごみ箱が有効になっていることを確認してください:

Get-ADOptionalFeature "Recycle Bin Feature" | select-object name,EnabledScopes

機能に関する詳細を確認するには、次のコマンドを実行してください:

Get-ADOptionalFeature -filter *

How to check that the AD Recycle Bin in enabled in PowerShell

Active Directory のごみ箱からユーザーを復元する

削除しましょう user4…は、~の構成員であり グループAid.test ドメインについては、前の例で他のユーザーに対して行ったのと同じように行います。

Deleting a user in Active Directory

[場所] で AD ごみ箱を開く Server Manager > Active Directory Administrative Center そして、削除されたユーザーを選択します。 ユーザー4 このケースでは、Active Directory ごみ箱から復元したいオブジェクトです。

ごみ箱内の削除済み Active Directory オブジェクトには、主に 4 つの選択肢があります:

  • Restore – 削除されたADオブジェクトを元の組織単位に復元する
  • Restore To – 削除されたADオブジェクトを復元する際、別の組織単位を復元先として選択する
  • Locate Parent – 削除されたオブジェクトが保存されていた元の組織単位を開く
  • Properties – 削除されたオブジェクトの以下のプロパティなどを確認する 作成日, 変更済み, 正規名, オブジェクトクラス または シーケンス番号を更新する

ユーザーを元の場所に戻すには、[クリック] してください Restore ウィンドウの左側にあるメニューで。

User4 is the object we need to restore from AD Recycle Bin

ユーザー4 関連するすべてのデータと属性が保持された状態で、Active Directory オブジェクトとして同じ場所に復元されました。グループのメンバーシップも保持されており、 user4 ~のメンバーです グループA 復元された後。

A user has been restored with attributes and group membership

PowerShell で Active Directory のごみ箱から削除された AD ユーザーを復元するコマンドは、次のとおりです:

Get-ADObject -Filter {displayName -eq "user4"} -IncludeDeletedObjects | Restore-ADObject

変更 user4 サーバー上で復元したいオブジェクトに対して。

したがって、Active Directory ごみ箱は、 Active Directoryのバックアップ.

ADのゴミ箱の保持期間を変更する方法

Active Directory のごみ箱の設定を変更することで、Active Directory から削除されたオブジェクトをより長期間復元できるようにすることができます。ここでは、以下の 2 つの設定の変更方法について説明します。

  1. トゥームストーンの寿命(tombstoneLifetime)
  1. 削除されたオブジェクトの存続期間 (msDS-削除済みオブジェクトの有効期間)

注: これら2つのパラメータの値を大きくすると、Active Directoryのパフォーマンスに影響を与える可能性があります。

PowerShell で現在のトゥームストーンの有効期間を確認する方法

次のコマンドセットを使用して、Elevated PowerShell で現在のトゥームストーンの有効期間を確認します:

Import-Module ActiveDirectory

$ADForestconfigurationNamingContext = (Get-ADRootDSE).configurationNamingContext

$DirectoryServicesConfigPartition = Get-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,$ADForestconfigurationNamingContext" -Partition $ADForestconfigurationNamingContext -Properties *

$TombstoneLifetime = $DirectoryServicesConfigPartition.tombstoneLifetime

Write-Output "Active Directory’s Tombstone Lifetime is set to $TombstoneLifetime days `r "

How to view AD Recycle Bin tombstone lifetime in PowerShell

  1. 開く ADSI編集 Windows Server 2019 に標準でプリインストールされているツールです。

このツールは次の場所にあります

C:ProgramDataMicrosoftWindowsStart MenuProgramsAdministrative Tools

または、次のパスを使用します:

%SystemRoot%system32adsiedit.msc

クリックできます Start そして入力してください ASDI Edit ツールを素早く実行するには。

How to open ADSi Edit in Windows

  1. 右クリック ADSI Edit ウィンドウ内でクリックして Connect to コンテキストメニューで。

Connecting to an Active Directory domain controller in ADSI Edit

  1. その 接続設定 ウィンドウで、以下のパラメータを設定してください:
  • 名前: Configuration
  • 接続ポイント: Select a well known Naming Context > Configuration
  • コンピュータ: Default

ヒット OK これらの設定を適用するには。

ADSI connection settings

  1. Active Directory の構成パラメータを含むツリーが、メインウィンドウに表示されるようになりました。 ADSI編集 ツール。
  2. 移動 Configuration > CN=Configuration > CN=Services > CN=Windows NT > CN=Directory Service
  3. 右クリック CN=Directory Service そして、コンテキストメニューで、[クリック] Properties.

Opening properties for Directory Service

  1. 物件一覧をスクロールして、 tombstoneLifetime. 以前確認したように、デフォルト値は 180 日。
  2. ダブルクリック tombstoneLifetime 設定値を編集するには。

How to change Tombstone Lifetime

  1. 新しい値を入力してください。例えば、 365 そしてクリック OK 設定を保存するには。

Changing tombstoneLifetime

注: 値をnullに設定した場合 <not set>, すると、トゥームストーンの有効期間は自動的に 60 この期間は、NULL値に関するシステム設定にハードコーディングされているため、日数として指定されます。

  1. 新しい値が設定されました。

Tombstone Lifetime is changed

  1. クリック OK 設定を保存して、 Properties ウィンドウ。

前述した一連のコマンドを使用することで、PowerShell でその値が設定されていることを確認できます。

Checking a new Tombstone Lifetime value in PowerShell

PowerShell でトゥームストーン期間を編集する方法

PowerShell を管理者として開きます。

管理者権限で PowerShell を起動し、一連のコマンドを実行して新しいトゥームストーンの有効期間を設定します:

Import-Module ActiveDirectory

$ADForestconfigurationNamingContext = (Get-ADRootDSE).configurationNamingContext

Set-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,$ADForestconfigurationNamingContext" -Partition $ADForestconfigurationNamingContext -Replace @{tombstonelifetime='366'}

前のセクションで説明した適切なコマンドセットを使用して、更新されたトゥームストーンの有効期間を確認してください。

How to change tombstone lifetime for AD recovery in PowerShell

削除済みオブジェクトの有効期間を変更する方法

その msDS-削除済みオブジェクトの有効期間 この属性は、削除されたオブジェクトの存続期間を決定します。このパラメータは、 ASDI 編集 "tombstone lifetime"パラメータを編集したときと同じように、このツールを使用します。

次の場所へ移動します:

Configuration > CN=Configuration,DC=ID,DC=TEST > CN=Services > CN = Windows NT > CN=Directory Service

その CN=Directory Service、次の場所を探してください msDS-deletedObjectLifetime 属性を指定し、その値を編集します。値はnullに設定されます デフォルトでは。これは、削除されたオブジェクトの存続期間がトゥームストーンの存続期間と等しくなることを意味します。

設定可能な最小値は 2 (つまり、2日間)。

How to change the Deleted Object lifetime

ネイティブのAD復旧ツールの限界

ネイティブのADリカバリツールや手法を使用する際の制限事項をまとめてみましょう:

  • コマンドの実行や、提供されているユーティリティのGUIで必要なパラメータを設定するなど、手作業がかなり必要となります。
  • 検索と復旧のプロセスには時間がかかることがあります。
  • 復元後、ユーザーのパスワードは保持されません。各ユーザーのパスワードを再設定する必要があります。
  • 復元されたオブジェクトに対して、一部のオブジェクトや属性を手動で追加する必要があります。
  • Active Directory のごみ箱機能は、AD オブジェクトの復元プロセスを改善し、ほとんどのオブジェクト属性を復元します。ただし、オブジェクトが削除される前にこの機能が有効になっていない場合、この機能は役に立ちません。
  • Active Directory ごみ箱を有効にすると、ディレクトリ情報ツリー (DIT) のサイズが大きくなります。
  • 削除から経過した時間がトゥームストーンの有効期間を超えている場合、削除されたActive Directoryオブジェクトを復元することはできません。

幸いなことに、Active Directoryのバックアップを利用すれば、ADリサイクル ビンにおける時間制限を回避することができます。

バックアップからADオブジェクトを復元する

バックアップから削除されたActive Directoryオブジェクトを復元することは、最も信頼性の高い方法であり、ADごみ箱が有効になっているかどうかに関係なく、削除されたADオブジェクトを復元することができます。このバックアップ方法では、物理サーバーまたは仮想マシン上で稼働しているActive Directory、あるいはドメインコントローラー全体をバックアップします。

ここでは、ユニバーサルデータ保護ソリューションを使用して、バックアップから削除されたActive Directoryオブジェクトを復元する方法について説明します。 NAKIVO Backup & Replication:

  • Active Directory ドメイン コントローラーのバックアップはすでに完了しています。この例では、ドメイン コントローラーは VMware vSphere 上の仮想マシン (VM) にインストールされており、VM 全体をバックアップしました。
  • この投稿の前の例と同様、オペレーティングシステムはWindows Server 2019です。
  • ドメイン名は domain1.local この例では、ドメインの設定の残りの部分は前の例と同一です。

要件

削除されたADオブジェクトを復元するサーバーの要件は、次のとおりです:

  • "Visual Studio 2015 用 Visual C++ 再配布可能パッケージ"がインストールされている必要があります。 vc_redist.x86.exe (v.2015) のインストーラーは、Microsoft の Web サイトから入手できます。
  • iSCSI イニシエーター サービスを開始する必要があります。
  • TCPポート5000を開く必要があります。
  • "Active Directory Module for PowerShell"がインストールされている必要があります。

ADオブジェクトの削除

組織単位を削除しましょう ユニット1 当ドメイン内では、 domain1.localこの組織単位には、3人のユーザーが所属しています: ユーザー1, ユーザー2 そして ユーザー3.

Deleting users in Active Directory

バックアップから削除されたADオブジェクトを復元する

NAKIVOバックアップソリューションのWebインターフェースを開きます。

Active Directoryドメインコントローラーのバックアップが含まれるVMware vSphere VMバックアップジョブを選択します。

クリックします Recover > Microsoft Active Directory objects.

Starting to recover deleted AD objects

Microsoft AD サーバーのオブジェクト復元ウィザードが開きます。

  1. Backup. 選択したバックアップから必要な仮想マシンを選択します。次に、復元ポイントを選択します。今回のケースでは、バックアップにはADサーバーが動作する仮想マシンが1台含まれています(仮想マシンの名前は ブログ-Win19-DC) そして、最新の復旧ポイントを選択します。

クリック Next 各ステップで続行するには。

Selecting a backup and recovery point from which to recover Active Directory objects

  1. Recovery Server. リカバリサーバーの設定を選択します:
  • Recovery Server: 削除されたADオブジェクトを復元する先として、リカバリサーバーを選択してください。これらのオブジェクトは、同じVMに復元されます。リストを展開し、インベントリからサーバーまたはVMを選択できます。
  • Server hostname or IP: 選択したVMまたはサーバーのホスト名またはIPアドレスを入力してください。
  • Username: ドメイン管理者、またはドメイン内で適切な権限を持つその他のユーザーのユーザー名を入力してください。この例では、ユーザー名は domain1管理者
  • Password: 定義済みのユーザーのパスワードを入力してください。

Selecting a recovery server for AD recovery

クリック Test Connectionテストに合格した場合は、[クリック] Next.

Configuring recovery server settings and testing the connection

注: (AD オブジェクトを復元する)ターゲットの Windows Server マシンで、iSCSI イニシエーター サービスが実行されていることを確認してください。そうしないと、次のエラーが発生します: リカバリサーバーで"iSCSI イニシエーター"サービスが実行されていませんこの場合、接続テストは失敗します。

"コンピュータの管理"ウィンドウで、Microsoft iSCSI イニシエーター サービスを開始できます(Computer Management > Services and Applications > Services).

How to start the iSCSI initiator service in Windows

別の方法として、PowerShell からサービスを開始することもできます:

  1. iSCSI イニシエーターサービスの状態を確認します:

Get-Service -Name MSiSCSI

  1. iSCSI サービスを起動します:

Start-Service msiscsi

  1. サービスの起動タイプを"自動"に設定します:

Set-Service -Name MSiSCSI -StartupType Automatic

  1. iSCSI イニシエーター サービスが起動しているか確認してください:

Get-Service -Name MSiSCSI

How to start the iSCSI initiator service in PowerShell

  1. Objects. 復元したいADオブジェクトを選択します。高度な自動化機能により、複数のオブジェクトを一度に復元することが可能です。ここでは、削除されたADアカウントを復元します。
左ペインで、バックアップに含まれる Active Directory オブジェクトのツリーを参照します。親オブジェクトを選択したら、右ペインで復元するオブジェクトを選択します。この例では、 ユニット1 そして、3人のユーザーを選択し(ユーザー1, ユーザー2 そして ユーザー3) この組織単位内にあり、復旧の対象となります。

Select and restore deleted AD users

注: 以下をご覧ください リカバリポイントを読み込めません iSCSI サービスが起動していない場合は、メッセージが表示されます。Linux マシン(たとえば、バックアップリポジトリや Transporter がインストールされているマシン)で iSCSI サービスを起動するには、次のコマンドを実行します:

/etc/init.d/iscsid start

  1. Optionsこの手順で、ADの復旧オプションを選択してください。利用可能なすべてのオプションを以下に示します。
  • Recovery type:
  • 元の場所に復元する
  • エクスポート
  • Recovery of user object:
  • ユーザーが無効化されます
  • 次回ログイン時にパスワードを変更する必要があります
  • Overwrite behavior:
  • 該当するアイテムが存在する場合、復元したアイテムの名前を変更する
  • 該当する項目が存在する場合は、その項目をスキップする
  • 該当するアイテムが存在する場合は、元のアイテムを上書きします

このAD復元例では、以下のスクリーンショットにあるように、アイテムを元の場所に復元し、オプションを選択しています。

Options to recover deleted AD objects

クリック Recover、通知を読み、クリックして Proceed.

Restoring AD objects – a notification about attributes

  1. FinishActive Directory オブジェクトの復元が開始されました。復元処理が完了するまでお待ちください。

この方法を使用してADオブジェクトの復元プロセスが完了したら、次を開くことができます Active Directory のユーザーとコンピュータ Windows Server 2019 上で、削除された AD 組織単位(ユニット1) が子オブジェクトとともに復元されました。

下のスクリーンショットにあるように、 ユニット1 復元されました。グループへの所属状況を含む、これらのアカウントの属性のほとんどは保持されています。あとはパスワードをリセットし、これらのユーザーアカウントを有効にするだけです。

AD recovery has finished – checking the data of the recovered users

バックアップからの高度なAD復旧

高度なActive Directoryの復旧が必要となり、高度にカスタマイズされた設定でバックアップから削除されたActive Directoryオブジェクトを復元しなければならない場合があります。例えば、バックアップからADオブジェクトをカスタムサーバーにエクスポートし、パラメータを編集した上で、必要な場所にインポートすることができます。

NAKIVOのユニバーサルデータ保護ソリューションなら、このようなタスクを実行できます。具体例を見てみましょう。

バックアップからADオブジェクトをエクスポートする

Webインターフェースでのワークフローの最初のステップは、この記事の前節で説明した内容と同じです。ここでは、オブジェクト復元ウィザードの3番目のステップに直接進みましょう。高度なAD復元ワークフローの違いは、このステップから始まります。

  1. Objects. この例では、復元する他のActive Directoryオブジェクトを選択してみましょう。削除されたADユーザーを復元したいと考えています。検索してみましょう ユーザー そして選択してください ユーザー10. ここでは、複数のADオブジェクトを選択できます。 ユーザー バックアップから復元するディレクトリ。

Active Directory restore deleted users (selecting users to restore)

  1. Options. 復元したい選択済みのActive Directoryオブジェクトをエクスポートします。オブジェクトはリカバリサーバーのローカルフォルダにエクスポートし、この手順での設定はすべて以下の通りです。
  • Recovery type: エクスポート
  • Export location: リカバリサーバー上のローカルフォルダ
  • Local path: C:TempAD-Recovery
  • Overwrite behavior: 復元されたアイテムがすでに存在する場合、そのアイテムの名前を変更する

クリック Recover そして Proceed 続きを読む。

AD recovery options for export and confirmation to proceed

リカバリジョブが完了し、選択した Active Directory オブジェクトが保存先にエクスポートされるまでお待ちください。

エクスポート処理が完了すると、Active Directory オブジェクトが C:TempAD-Recovery フォルダ。各ADオブジェクトは、個別のLDIFファイルとしてエクスポートされます。

Selected AD objects are exported to LDIF files for recovery

LDIFファイルは、エクスポートされたActive Directoryオブジェクトに関する情報が含まれた、編集可能なテキストファイルです。削除されたADユーザーを復元してみましょう。具体的には、 ユーザー10 当社の場合です。LDIFファイルの内容例は、以下のスクリーンショットでご確認いただけます。

The contents of the LDIF file

Ldifde これは、Active Directory オブジェクトをエクスポートおよびインポートできる、Windows Server の標準ユーティリティです。 .LDIF ファイル。ただし、このツールを使用するには、認証局(CA)サーバーの役割をインストールするなど、いくつかの要件を満たす必要があります。

ADオブジェクトの復元に向けたWindows Serverの準備

作業を開始する前に、Active Directory サーバーに CA ロールが割り当てられていることを確認してください。これは、安全な LDAP 接続に必要です。このロールは、 Server Manager ~を使用することで Add roles and features ウィザード。このロールを追加する手順は標準的なものなので、ここでは追加の主な手順にのみ焦点を当てます。

を選択し、 Active Directory Certificate Services の横にあるチェックボックス Server Roles ~のステップ 役割と機能を追加する ウィザード。

Installing AD Certificate Services restore deleted AD objects and import them with ldifde

選択 Certification Authority ~の中で Role Services step.

Installing Certification Authority to recover deleted AD objects

ウィザードのすべての手順を完了したら、インストールされたロールのデプロイ後の設定を行う必要があります。

Active Directory Certificate Services post-deployment configuration

AD CS 構成ウィザードの標準的な手順に従ってください:

  1. 認証情報。ドメイン管理者の認証情報を入力してください(この例では"domain1administrator")。
  2. ロール サービス。認証機関が選択されていることを確認してください。
  3. セットアップの種類。"エンタープライズCA"を選択します。
  4. CAの種類。ルートCAを選択してください。
  5. 秘密鍵。"新しい秘密鍵を作成"を選択します。
  6. 暗号化。デフォルト設定のまま使用できます。
  7. CA名。ドメインに対してCA名が正しいことを確認してください。
  8. 有効期間。期間を設定してください(例:5年)。
  9. 証明書データベース。デフォルト設定を使用します。

Active Directory Certificate Services are installed to recover deleted AD objects with ldifde

AD CS 構成ウィザードの完了後、変更を有効にするには、Windows サーバーを再起動してください。

ADの復旧を完了する

これで、Windows PowerShell のコマンドラインツール"Ldifde"を使用して、Active Directory から削除されたオブジェクトをインポートすることで復元できるようになりました。ご記憶の通り、これらは以前にバックアップからエクスポートしておいたものです。

  1. PowerShell を管理者として開きます。
  2. 復元されたアイテムのLDIFファイルが保存されているディレクトリに移動します:

cd C:TempAD-Recovery

  1. LDIFファイルからADオブジェクトをインポートして復元するためのコマンドは、次のとおりです:

ldifde -i -t 636 -f filename.ldif -k -j logfolder

どこ filename.ldif はldifファイルへのパスであり、 ログフォルダ は、プロセスログが保存されるフォルダーへのパスです。 -t 636 このオプションは、ADサーバーとのセキュアな接続に使用されるTCPポート636を指します。今回のケースでは、削除されたADオブジェクトをインポートして復元するコマンドは次のとおりです:

ldifde -i -t 636 -f NakivoExport-domain1.local.Users.user10.ldif -k -j C:TempAD-RecoveryLog

現在、復旧作業を行っています ユーザー10インポートが成功した場合のPowerShellコンソールの出力例を、以下のスクリーンショットに示します。

Restoring AD objects by using ldifde import in PowerShell

注: もし ldifde Active Directory オブジェクトを手動でエクスポートするツールを使用する際は、フィルターを活用してください。管理者がすべての AD オブジェクトの属性をインポートできるわけではありません。一部の属性は保護されており、これらの属性をインポートする権限はシステムにのみ付与されています。この場合、次のようなエラーメッセージが表示されることがあります。 この属性は、セキュリティアカウントマネージャー(SAM)が所有しています), 問題 5003 (WILL_NOT_PERFORM) など、LDIFファイルからオブジェクトをインポートしようとする際に発生します。

ユーザーやグループなどのオブジェクトをすべての属性を含めてエクスポートした場合、次のような一部の属性を手動で削除する必要がある場合があります。 オブジェクトGUID, objectSid, sAMAccountType、および.LDIFファイル内のその他の項目については、インポートする前に該当する行を削除してください。そうしないと、そのオブジェクトを ldifde ツール。

このツールのエクスポート/インポート機能を使用する際は、以下の点に留意してください。 ldifde 専用のバックアップソリューションがなくても利用できるバックアップおよび復旧ツールです。Active Directory サーバー全体や仮想マシンを保護し、AD オブジェクトの完全復旧や細粒度復旧を迅速かつ容易に行えるようにするには、専用のバックアップソリューションを利用することをお勧めします。

結論

Active Directoryおよびその中に含まれるすべてのオブジェクトを含むデータやアプリケーションを確実に保護するには、適切なデータバックアップを定期的に実施し、合理的な保存ポリシーに基づいてバックアップを保管することが重要です。この場合、専用のバックアップソリューションが役立ちます。 NAKIVO Backup & Replication アプリケーションを意識した汎用的なデータ保護ソリューションであり、Active Directory を含むファイルやオブジェクトの完全復元およびきめ細かな復旧をサポートします。

試してみてください NAKIVO Backup & Replication

試してみてください NAKIVO Backup & Replication

無料トライアルをご利用いただき、本ソリューションのデータ保護機能をすべてお試しください。15日間無料です。機能や容量の制限は一切ありません。クレジットカードも不要です。

無料でお試しください

People also read

Picture
AWS EC2 データ保護のための EC2 インスタンスのスナップショット作成方法
Picture
USBメモリからESXiを実行する方法
Picture
VMware ESXi ホストの初期設定