Reading Time: 1 minutes
前回までのコラムでは、オブジェクトの作成や管理について解説しました。オブジェクトの管理をおこなう中で、誤ってオブジェクトを削除してしまうことは、よくある話です。今回のコラムでは、そのようなケースでのオブジェクトの復元について解説します。
■ オブジェクトのSIDとは
第7回のコラムでも少しだけ解説しましたが、ユーザーなどのオブジェクトは作成された時点で、作成の操作をおこなったドメインコントローラーからSIDと呼ばれる内部的な番号が割り当てられます。この番号はオブジェクト毎に固有であり、他のオブジェクトと重複することはありません。Active DirectoryおよびWindows OSでは、どのユーザーがサインインしたかのなどの識別だけでなく、アクセス許可や権限の設定にもSIDが使用されます。オブジェクトのSIDはシステムによって自動的に割り当てられる番号であるため、私たちが指定するものではありませんが、管理ツールから確認することは可能です。Active Directoryユーザーとコンピューターの管理ツールでオブジェクトのSIDを確認する場合は、[表示]メニューから[拡張機能]をオンにした上で、オブジェクトのプロパティを開き、[属性エディター]タブの[objectSid]という属性を参照します。
オブジェクトが存在し続ける限り、そのオブジェクトのSIDが変わることはありません。しかし、ユーザーなどのオブジェクトを削除し、誤った操作であることに気づいて慌てて同じユーザー名で再度作成したとしても、以前とは異なるSIDが割り当てられます。つまり、表面的な名前は同じでも、異なるユーザーとして扱われることになります。したがって、ユーザープロファイルも以前とは違うものとなり、アクセス許可や権限の設定も再度おこなう必要があります。
■ オブジェクトの復元方法
オブジェクトを誤って削除してしまった場合における復元方法は、Active Directoryのごみ箱という機能を有効にしているかどうかによって大きく異なります。Active Directoryのごみ箱という機能は、その名の通り、「Windowsのデスクトップ画面にあるごみ箱」に相当するActive Directoryの機能です。
・Active Directoryのごみ箱が無効な場合 → バックアップデータから復元後、Authoritative Restoreを実行
・Active Directoryのごみ箱が有効な場合 → Active Directory管理センターから復元を実行
Active Directoryのごみ箱という機能が有効かどうかは、Active Directory管理センターから確認することができます。フォレストの機能レベルがWindows Server 2008 R2以降に設定されている場合のみ、Active Directoryのごみ箱を有効にすることができますが、既定では無効です。
Active Directoryのごみ箱が無効の場合には、まず、いずれかのドメインコントローラーでオブジェクトが削除される前の時点のバックアップデータから復元をおこなう必要があります。しかし、通常の復元をおこなっただけでは、削除されたオブジェクトは結果的に復元されません。オブジェクトの削除をおこなうと、管理ツールからそのオブジェクトは見えなくなりますが、実はそのオブジェクトは多くの属性が削除された状態でDeleted Objectコンテナーに移動され、isDeletedと呼ばれる属性がtrueに設定された「廃棄状態」としてActive Directoryのデータベース内に一定期間残り続けます。したがって、通常の復元を実行したドメインコントローラーでは一時的にそのオブジェクトが復元されますが、他のドメインコントローラー内に存在する「廃棄状態」のオブジェクトが最新状態として扱われるため、レプリケーションによってそのオブジェクトは再び削除されます。そこで、通常の復元をおこなったあとにAuthoritative Restoreを実行し、バックアップから復元したオブジェクトが最新状態であるということを認識させてあげる必要があるのです。
Active Directoryのごみ箱が有効の場合は、削除されたオブジェクトは、すべての属性が保持された状態でDeleted Objectコンテナーに移動されます。そのため、誤って削除してしまった場合には、Active Directory管理センターを使用してDeleted Objectコンテナーにアクセスし、すべての属性を含めた状態でオブジェクトを復元することができます。したがって、誤ってオブジェクトを削除してしまった場合でも、Active Directoryのごみ箱機能が有効であればバックアップデータを用いずに簡単に復元することができます。
今回のコラムでは、オブジェクトの復元について解説しました。Active Directoryのごみ箱機能は、フォレストの機能レベルがWindows Server 2008 R2以降に設定されている場合に有効にできるため、要件を満たす環境であれば有効にしておくと良いでしょう。
株式会社ソフィアネットワークに勤務し、2009年よりマイクロソフト認定トレーナーとしてトレーニングの開催やコース開発に従事。前職である会計ソフトメーカー勤務時には、会計ソフトの導入サポート支援や業務別講習会講師を担当。これらの経歴も活かして、ユーザー視点や過去の経験談なども交えながらのトレーニングを提供。主にWindows OS、仮想化技術関連のマイクロソフト認定コースを中心に講師として活動しながら、近年の書籍の執筆などの活動も評価され、2017年からMicrosoft MVP for Enterprise Mobilityを受賞。
主な著作は『ひと目でわかるAzure Information Protection』 (日経BP)、『徹底攻略MCP問題集 Windows Server 2016』『徹底攻略MCP問題集 Windows 10』(インプレスジャパン)、『ひとり情シスのためのWindows Server逆引きデザインパターン』 (エクスナレッジ) など。
ゾーホー社員のつぶやき
こんにちは、ゾーホージャパンの前田です。今回は、削除されたオブジェクトの復元方法について学びました。Active Directory 管理センターでは、1度削除したユーザーを簡単に復元することができ、誤ってユーザーを削除してしまった際などにとても便利です。デフォルトで用意されているツールでも十分実用的かと思いますが、「オブジェクトの削除」・「オブジェクトの復元」・「復元の証跡管理」を1つの画面ですべて実現できたのなら、さらに利便性が高まるのではないでしょうか。ManageEngineが提供する「AD360」は、オブジェクトの削除・復元を含むActive Directoryの管理機能と、オブジェクトへの変更操作に対する監査機能を1つの製品として提供します。
図1 ユーザーの復元
図2 復元されたユーザーのレポート
■ AD360とは?
WebベースのGUIでユーザーアカウントの管理、パスワード管理のセルフサービス化、Active Directoryの変更監査、企業アプリケーションのシングルサインオンなど、IAMに関するすべての作業をシンプルかつ簡単に実現するActive Directory統合運用管理ソフトです。
AD360について詳しく知りたい、一度使ってみたいという方は、ぜひ以下のURLにアクセスください。
【AD360の製品ページ】
https://www.manageengine.jp/products/AD360/
【AD360のダウンロードページ】
https://www.manageengine.jp/products/AD360/download.html
▼▼ 過去記事はこちら ▼▼
第10回 CUIによるオブジェクト管理 【MicrosoftのMVP解説!Active Directoryのハウツー読本】
第11回 オブジェクトの監査管理【MicrosoftのMVP解説!Active Directoryのハウツー読本】
▼▼ 別シリーズのブログ記事もチェック! ▼▼
第1回 AzureADを利用する意味【MicrosoftのMVP解説!AzureADの虎の巻】
第2回 Azure ADを使って安全にクラウドサービスへアクセスする【MicrosoftのMVP解説!AzureADの虎の巻】
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。