やっちゃいました。Active Directory で間違えてユーザーアカウント・グループ・コンピューターを削除してしまいました。Active Directory 管理のユーザーやコンピュータなどは、オブジェクトを削除すると復元することができません。
間違ってオブジェクトを削除しても一定期間は復元するには、「ごみ箱」機能を有効にする必要があります。
今回は、ごみ箱機能を有効にし、誤って削除したユーザを復元する手順を確認します。
- 削除ユーザー・グループを復活させたい
- 削除コンピューターPCを復活させたい
- Active Directoryの「ごみ箱」について知りたい
最初からデフォルトで Active Directory の「ごみ箱」機能を有効にして欲しかった。
Windows 2008 Server から Active Directory に「ごみ箱」機能が加わりました。さらに、Windows 2012 Server では、ごみ箱に入ったオブジェクトを画面操作で簡単に削除オブジェクトを復活することができます。
「ごみ箱」機能を有効にしていないと復旧は大変なのでお気を付けください。
Active Directory 「ごみ箱」機能の有効化
AD 管理センターから「ごみ箱」を有効化
Active Directory のごみ箱機能を有効にするのはとても簡単です。サーバーの再起動も不要なので、好きなタイミングで構築することができます。
ドメインコントローラの「サーバマネージャー」から「Active Directory 管理センター」を起動させます。
「Active Directory 管理センター」を起動すると「ごみ箱の有効化」メニューがあるので実行したごみ箱機能の設定は完了です。
サーバーマネージャーの右上「ツール」から「Active Directory 管理センター」をクリックする
画面左でドメインを選択すると、右側に「ごみ箱の有効化」が表示されます
一旦、ごみ箱を有効化すると「無効化」に戻すことはできないようです
他のドメインコントローラーに複製されるので、ごみ箱の有効化作業は1回です
AD 管理センターを更新
Active Directory 管理センターは画面を切り替えて、データは最新化されません。更新ボタンをクリックし最新化してください。
- AD 管理センターの画面左から「更新」すると情報が反映されます
ごみ箱機能が有効化されると「ごみ箱の有効化」リンクがグレーアウトし、「Delete Objects」コンテナが追加されます。
ごみ箱に削除されたオブジェクトの有効期間
削除されたオブジェクトはごみ箱に180日(有効期限)保存されます。削除されたオブジェクトは有効期限が過ぎると自動的に削除されます。
正確に説明すると、削除されたオブジェクトは2段階(Deleted Object → Recycled Object)の状態遷移を経てデータが削除されます。
Active Directoryからオブジェクトを削除すると、Deleted Object(削除済みオブジェクト)という状態になり180日間状態が保持されます。
Deleted Object(削除済みオブジェクト)から180日経過すると、Recycled Object(リサイクル済み)という状態に変化して多くの属性が削除されます。
Recycled Object(リサイクル済み)から180日経過するとデータが削除されます。
Deleted Object(削除済みオブジェクト)は、有効期間内(180日)であれば、削除したオブジェクトを完全に復元することができますが、Recycled Object(リサイクル済み)はオブジェクトを復元することはできません。
Recycled Object(リサイクル済み)は、180日経過するとオブジェクトが削除されます。
「ごみ箱」機能の動作確認(GUI)
削除ユーザーアカウントの復旧
「Active Directory ユーザーとコンピューター」からユーザーアカウントを削除します。削除後に「Active Directory 管理センター」から削除オブジェクトを復活させます。
「Active Directory ユーザーとコンピューター」から対象のユーザーアカウントを右クリックし「削除」を行います
対象のユーザーアカウントが削除されました。ごみ箱が動作していないと、削除状態から復活するのは大変です
「Active Directory 管理センター」の「Delete Objects」に削除したユーザーアカウントがあるので復元を行います
無事に復元されました「Active Directory ユーザーとコンピューター」に対象のユーザーアカウントが表示されます
削除グループ(OU)の復元
「Active Directory ユーザーとコンピューター」からグループオブジェクトを削除します。削除後に「Active Directory 管理センター」から削除オブジェクトを復活させます。
「Active Directory ユーザーとコンピューター」から対象グループオブジェクトを右クリックし「削除」を行います
「Active Directory 管理センター」の「Delete Objects」に削除したグループオブジェクトがあるので復元を行います
削除コンピューター(PC)の復元
「Active Directory ユーザーとコンピューター」からコンピューターオブジェクトを削除します。削除後に「Active Directory 管理センター」から削除オブジェクトを復活させます。
「Active Directory ユーザーとコンピューター」から対象コンピューターオブジェクトを右クリックし「削除」を行います
「Active Directory 管理センター」の「Delete Objects」に削除したコンピューターオブジェクトがあるので復元を行います
PowerShell コマンドで削除済みオブジェクトを復元
削除済みオブジェクトの確認[Get-ADObject]
まずは、削除済みオブジェクトを確認します。Get-ADObject コマンドを実行して、削除済みオブジェクトを確認します。
Get-ADObject -filter {isDeleted -eq $true} –IncludeDeletedObjects管理者権限でPowerShellを実行します。
PS C:\Windows\system32> Get-ADObject -filter {isDeleted -eq $true} –IncludeDeletedObjects
Deleted : True
DistinguishedName : CN=Deleted Objects,DC=****,DC=***,DC=***
Name : Deleted Objects
ObjectClass : container
ObjectGUID : 5fbf1d17-e0d0-462c-****-************
Deleted : True
DistinguishedName : CN=山田 太郎\0ADEL:4b6bdbb4-ce32-4198-b9ef-eed37c72fe8f,CN=Deleted Objects,DC=****,DC=***,DC=***
Name : 山田 太郎
DEL:4b6bdbb4-ce32-4198-****-************
ObjectClass : user
ObjectGUID : 4b6bdbb4-ce32-4198-****-************PowerShellコマンドの出力結果から、復旧する対象オブジェクトの「ObjectGUID」を探し値を確認します。
削除済みオブジェクトの復元[Restore-ADObject]
削除済みオブジェクトの復元は、先ほど確認したオブジェクト GUID を元に復元を行います。Restore-ADObject コマンドを利用して、さきほど確認したオブジェクト GUID を指定して実行します。
Restore-ADObject [削除したオブジェクトの識別名]
管理者権限でPowerShellを実行します。
PS C:\Windows\system32> Restore-ADObject 4b6bdbb4-ce32-4198-****-************
これでオブジェクトの復旧が完了となります。
あとがき
Active Directory にはごみ箱機能を備わっています。しかし、デフォルト設定ではごみ箱機能が有効化されていません。
「Active Directory ユーザーとコンピューター」から間違えてオブジェクトを削除してしまうと復旧はできません。
ごみ箱機能を有効化してご削除からオブジェクトを簡単に復旧できるように設定を行いましょう。