権限のある復元、ない復元

Active Directoryのオブジェクトを削除した（OU消してしまった）などの際の復元として、権限の有る無しの戻し方がある。

権限のある復元から考える。

ADは各DCでレプリカを持っている。そのためオブジェクトを削除した際に、単純に戻しても古い情報として戻した情報を削除されてしまう。

たぶん絵にするとこんな感じ。


では権限がない復元は？

通常の復元のことらしい。ADの機能を復旧させて、最新の情報は他のDCからレプリカされるようにする。

たとえばスキーマを破損した場合、
①スキーママスタで「権限がある復元」
②その他で「権限がない復元」
をすることで、破損したスキーマが他のDCに正しく伝播するようになる。

つまり、
「権限のある復元」→オブジェクトの削除を復元したい、
　　　　　　　　　　ドメインの再構築をしたいなど
　　　　　　　　　　過去に戻りたいとき。

「権限のない復元」→ADとして再構築したいとき。

こんな感じだろうか。

PSOの設定

PHANTASY STAR ONLINE のことではなくて。
Password Settings Objectのこと。

Windows Server 2003などではパスワードに関してグループポリシーで行えていたが、この場合だとドメイン全体にのみ適用となり、個別に強固な制限をかけれない。
Windows Server 2008では“きめ細かなパスワードポリシー”PSO(Password Settings Object)という仕組みでそれを解決。

これで複数のパスワードポリシーやアカウントロックポリシーを設定できるようになった。

利用の前提条件としてはドメイン機能レベルがWindows Server 2008でなくてはいけない

作成に利用するのはADSIエディタ（adsiedit.msc）。ldifdeでもできるそうな。

適用方法は「Active Direcotory ユーザとコンピュータ」にて利用したいオブジェクトのプロパティを開き、「属性エディタ」から当該の属性を追加する。

残念なことに、周りにドメイン機能レベルが2008のサーバがないので画面無し。

操作マスタの転送方法

GUIでやる場合は以下の通り。

ドメインに一つ必要な役割である3つが「Active Directory ユーザーとコンピュータ」で転送できて、他が特殊であると覚えておこう。

ADで標準で出てくるMMCは以下の三つで、ドメイン名付けに関係しそうなのは必然的に「Active Directory ドメインと信頼関係」。
- Active Directory ユーザーとコンピュータ
- Active Directory ドメインと信頼関係
- Active Directory サイトとサービス

スキーマは別途追加のMMCが必要だったと覚えておく。

役割	利用MMC
スキーマ マスタ	Active Directory スキーマ
ドメイン名前付けマスタ	Active Directory ドメインと信頼関係
RID マスタ	Active Directory ユーザーとコンピュータ
PDC エミュレータ マスタ	Active Directory ユーザーとコンピュータ
インフラストラクチャ マスタ	Active Directory ユーザーとコンピュータ

CUIはntdsutilで。詳細は割愛。