【WS2008 R2】Active Directory Recycle Bin を使ってみる その2 ~ ldp.exe を使用した場合

  • Article

前回は Active Directory Recycle Bin の環境設定について書きました。

今回は実際に削除したオブジェクトを復旧してみたいと思いますが、流れを見やすくするために GUIツールである ldp.exe を使用したいと思います。

PowerShell を使用した方法は後ほど。

-----------------

1) テストユーザーを作成する

いま、以下のように user01 というアカウントをADに新規作成したとします。User01は Group01 にも所属しています。

image image

従来の Tombstone を使用した復旧であれば、上の図に表示されている属性はすべてクリアされてしまいますが、Active Directory Recycle Bin を使用することでこれらを失わずに復旧することができるはずです。

2) テストユーザーを削除する

せっかく作成したユーザーですが、削除してしまいましょう。削除の方法はなんでもかまいません。

3) lpd.exe を起動

メニューには無いので、「ファイル名を指定して実行」等から起動してください。

初めて使う場合には、画面は真っ白のはずです。

image

4) 「Retuen Deleted Object」をチェックインする

なんのことやら?ですよね。

規定では削除されたオブジェクトは表示されないため、ここで表示するように設定するわけです。

lpd.exe の [オプション]-[コントロール] を選択し、[次の規定の定義を読み込む] から [Retuen Deleted Object] を選択して[OK]をクリックしてください。

[アクティブコントロール] に 1.2.840.113556.1.4.417 が表示されればチェックイン完了です。

 image

ちなみに、Deleted 状態 から Recycled 状態に切り替わったオブジェクトを表示するには、[Return Recycled Object] を選択します。

Deleted 状態と Recycled 状態 については、以前投稿した こちらの図 を参照してください。

5) ADに接続する

[接続] から [接続] を選択し、表示された [接続] ダイアログボックスの [OK] をクリック。

規定では、ローカルホストの接続するので、特に何も指示する必要は無いのです。

image

6) バインドする

[接続] メニューから [バインド] を選択し、ADにバインドします。管理者アカウントでログオンしているでしょうから、規定値のままでOKです。

image

7) LDAPツリーを表示する

[表示] メニューから [ツリー] を選択します。

[ツリー表示] ボックスが出てくるので、ベースDNは空白のまま [OK] してください。規定で、ドメインツリーが表示されます。

image

8) CN=Deleted Objects を展開して削除されたオブジェクトを探す

ツリーの中から、CN=Deleted Objects を探して、展開してください。

Deletec Object コンテナ配下には、Deleted 状態のオブジェクトおよびRecycled状態のオブジェクトが格納されています。

(ただし、4) で retuen Recycled Object をチェックインしていない場合には Recycled状態のオブジェクトは表示されません)

配下に、CN=User01\0ADEL:xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxx というオブジェクトがあることがわかります。

これが削除された User01 です。これをダブルクリックすると、右側の詳細ペインに 削除されたUser01の主な属性が表示されます。

IsDeleted 属性が True に設定されていることに注目してください。

image

ちなみに、Recycled 状態となったオブジェクトは、IsDeleted = True に加えて、IsRecycled = Trueとなります。

User01 は、まだ Deleted 状態なので Recycled 属性に値が設定されておらず、ここには表示されていません。

また、lastKnownParent 属性の値にも注目しておきましょう。この値は、削除される直前のコンテナで、復旧時にはこの情報が必要となります。

9) オブジェクトを復旧する

Deleted 状態のオブジェクトを復旧するには2つの操作を行います。

  • IsDeleted 属性を削除する
  • DistinguishdName 属性を元に戻す

さっそく操作してみます。

初めての方には少々複雑な操作なので、混乱を招かないために、すこしずつ進みましょう。

まずは IsDeleted 属性を削除するための準備です。

① 削除された User01 を右クリックして、コンテキストメニューから [変更] を選択

② [エントリの編集] にある [属性] に 「IsDeleted」 と入力

③ [値] には何も入力しない

④ [操作] から [削除] を選択

⑤ [入力] をクリック

[エントリ一覧] に 「[Delete]IsDeleted」と表示されましたか?

次に、DistinguishedName を元に戻すための準備です。

⑥ [エントリの編集] にある [属性] に 「DistinguishedName」 と入力

⑦ [値] には、以前のDN を入力する。今回の場合は「CN=User01,CN=Users,DC=contoso-r2,DC=com」。

⑧ [操作] から [置換] を選択

⑨ [入力] をクリック

エントリ一覧に「[Replace]DistinguishedName:........]」が表示されましたか?

image

最後に、[同期]と[拡張]チェックボックスがチェックされていることを確認し、[実行] をクリックしてください。

右側の詳細ペインに、エラーが表示されなければ復旧は成功です。

image

復旧したユーザーを確認してみてください。

属性はすべて保持され、グループのメンバーシップも復活していることがわかります。

最初は操作に戸惑いますが、慣れたらなんてことありません。

ただ、問題は、OUごと削除してしまったとか、大量に削除してしまった場合ですね。

そんなときに、今回のような手作業を行っていたのでは体が持ちません、。

そんなときには PowerShell を使うことができます。これについては後ほど。