Active Directoryドメイン サービス (AD DS) およびライトウェイト ディレクトリ サービス (AD LDS) のユーザーが、Active Directory オブジェクトを誤って削除してしまった場合、バックアップから廃棄済みオブジェクト (Tombstone) を復元することで、削除したActive Directoryオブジェクトを回復することが可能です。
復元するためには、バックアップ取得時からTombstone Lifetimeの期間内である必要がありますが、AD DS (2003まではActive Directory)を構築したOSのバージョンによっては「60日」であったり、「180日」であったりしました。
- Windows Server 2003 SP1適用以前のサーバーで構築した場合は、60日
- Windows Server 2003 SP1適用以降のサーバーで構築した場合は、180日
Windows Server 2012ではTombstone Lifetimeの値がどうなっているか気になったので、確認してみました。
確認した結果としては、Windows Server 2003 SP1適用以降 (2003 SP2、2008、2008 SP2、2008 R2、2008R2 SP1) と同様に「180日」でした。
[確認手順]
- AD DSがインストールされたサーバー上で、[サーバー マネージャー]を起動し、[ツール] – [ADSI エディター]を選択、起動します。
- 左ペインにある[ADSI エディター]を選択、右クリックし、[接続]を選択、クリックします。
- [識別名または名前付けコンテキストを選択または入力する]ダイアログボックス内に以下を入力、[OK]ボタンをクリックします。
CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<ドメイン名>
tedomain.localの場合は、「CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=tedomain,DC=local」と入力します。
- 左ペインに表示されている、3.で入力した識別名を選択、右クリックし、[プロパティ]を選択、クリックします。
- 属性で、「tombstoneLifetime」の値を確認します。
[補足]
PowerShellからGet-ADObjectコマンドレットを用いて確認することが可能です。
以下の例では、tedomain.localのtombstone Lifetimeを確認しています。
Import-Module -Name ActiveDirectory (Get-ADObject -Identity "CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=tedomain,DC=local" -Properties *).tombstoneLifetime
[参考]
- Active Directory のシステム状態のバックアップの有効期間について
http://support.microsoft.com/kb/216993/ja
