1. クラウドサービスのbit-drive TOP>
  2. Windows Server 2003 移行支援サイト>
  3. 連載コラム Windows Server活用のススメ
  4. 知らないと損!Active Directoryのごみ箱機能の利用
[連載コラム]

Windows Server活用のススメ

知らないと損!Active Directoryのごみ箱機能の利用

  • Active Directoryのごみ箱機能が登場
  • Active Directoryのごみ箱機能に関する注意点は?
  • Active Directoryのごみ箱機能を利用したオブジェクトの復元方法

前回のコラムでは、メーカーサポート終了が迫っているWindows Server 2003について取り上げました。

第二回は、新しいバージョンであるWindows Server 2012やWindows Server 2012 R2が提供している優れた機能、役立つ機能について紹介していきます。
今回は「Active Directoryのごみ箱」という、「知らないと損!」ともいえる機能について解説します。

Active Directoryのユーザーなどを誤って削除してしまうと

Active Directoryにはユーザー、グループ、コンピューターなど各種アカウントの「オブジェクト」が登録されていますが、これらを誤って削除してしまうとさまざまな問題が発生します。一般の利用者のユーザーアカウント程度であれば、誤って削除してもその利用者がログインできなくてシステムが利用できない程度の影響かもしれません。
しかし、アプリケーションを利用しているアカウントを誤って削除すると問題となります。

アプリケーションによっては、プログラムを動作させるための「サービスアカウント」として、Active Directoryのユーザーアカウントを割り当てることがあります。また、Active Directoryに特別な役割のコンピューターアカウントを登録して、アプリケーションの動作に利用することがあります。

例えば、メールサーバやデータベースサーバやファイルサーバなど重要なアプリケーションを高可用性対応にする、つまり、システムの停止時間を短くするための構成として、Windows Serverの「フェールオーバークラスタリング」機能を使って「クラスター化」することがありますが、この構成時には、Active Directoryには「CNO(クラスター名オブジェクト)」や「VCO(仮想コンピューターオブジェクト)」と呼ばれる特別なコンピューターオブジェクトが登録されます。
これらアプリケーションが使用しているアカウントを削除すると、そのアプリケーションが動作できなくなり、多くの利用者に影響を与えます。場合によっては企業にとっての経済的損失につながる恐れもあります。

例えば、クラスター環境でCNOやVCOを誤って削除してしまうと、クラスターが動作できなくなり、メールサーバやデータベースサーバも利用できなくなる、という大きな問題に発展します。
これらActive Directoryのオブジェクトは、誤って削除したからといって、同じ名前で再登録しても、それは全く別物とみなされてしまうため意味がありません。そのため、以前であれば、「Active Directoryのバックアップデータから復元する」、「特別なツールを駆使して復元を試みる」、など、かなり困難で煩雑な操作で復元する必要がありました。

このページの上部へ

Active Directoryからオブジェクトを削除したときの基本的な動き

ここで、Active Directoryからオブジェクトを削除した際に、基本としては内部的にどのような処理が行われているのかを簡単にご紹介しましょう。
Active Directoryのオブジェクトは、削除されてもすぐにActive Directoryデータベース上から消去されません。Active Directoryは、削除されたオブジェクトを以下の流れで処理します。

  1. オブジェクトのisDeleted属性を「True」に設定する
  2. オブジェクトを「Deleted Objects」と呼ばれる特殊なコンテナーに移動し、各種属性情報を削除する
  3. 一定の有効期限を過ぎたオブジェクトをデータベースから完全に消去する

つまり、誤って削除したオブジェクトであっても、特殊なツールを用いてisDeleted属性を削除することにより復元できる可能性もある、ということです。ただし、各種属性が削除されているため、完全に元の状態に戻すことができるとは限りません。例えば、ユーザーオブジェクトを削除した場合には、そのユーザーが所属していたグループ情報などが削除されてしまうため、グループが多数存在しているような環境では元の状態に戻すことは困難かもしれません。
その場合にはActive Directoryのバックアップデータから復元操作を行うことになりますが、その際にはドメインコントローラーを特別なモードで動作させなければならなくなり、その間はユーザー認証ができないなど業務に支障を与えることになります。また、かなりの作業負荷を要します。そして、そもそもバックアップデータが取得されていないのであれば、お手上げ、ということになります。

このページの上部へ

Active Directoryのごみ箱機能の登場

Windows Server 2008 R2では、「Active Directoryのごみ箱」という機能が追加されました。これは、その名の通りごみ箱から戻すように、Active Directoryから削除したオブジェクトを復元することができる機能です。ドメインコントローラーを稼働させたまま、誤って削除したオブジェクトを容易に復元することができます。

この機能を有効にすると、オブジェクトを削除した際の動きが一部変わります。具体的には、削除したオブジェクトが「Deleted Objects」コンテナーに移動しても、属性情報が削除されません。そのため、削除されたオブジェクトを、属性情報も含めて元に戻すことができます。例えば、削除したユーザーオブジェクトを復元すると、以前のグループの所属情報もそのまま復元される、ということです。

既定の状態の環境(「Active Directoryのごみ箱」が無効な環境)で、オブジェクトを削除 オブジェクトを削除 1.オブジェクトが「Deleted Objects」コンテナーに移動され、属性情報が削除される 一定期間 2.オブジェクトはActive Directoryデータベースから完全削除される 「Active Directoryのごみ箱」が有効な環境で、オブジェクトを削除 オブジェクトを削除 1.オブジェクトが「Deleted Objects」コンテナーに移動されるが、属性情報は削除されない 一定期間 2.オブジェクトの属性情報が削除される 3.オブジェクトはActive Directoryデータベースから完全削除される

「Active Directoryのごみ箱」が初めて実装されたWindows Server 2008 R2では、操作はPowerShellコマンドレットを使って行わなければなりませんでした。しかし、Windows Server 2012からは、GUIタイプの管理ツールである「Active Directory 管理センター」を使って、直感的かつ容易に操作を行うことができるようになりました。

このページの上部へ

Active Directoryのごみ箱機能に関する注意点

「Active Directoryのごみ箱」における最大の注意点は、管理者が事前に有効化しておかないと利用できない、ということでしょう。
まず、この機能を利用するには次のような要件を満たしている必要があります。

・フォレストの機能レベルが「Windows Server 2008 R2」以上であること

これはつまり、Active DirectoryフォレストのすべてのドメインコントローラーのOSがWindows Server 2008 R2以上であり、そして、フォレストの機能レベルもきちんと「Windows Server 2008 R2」以上に設定されている必要がある、ということです。

仮に、まったくの新規にWindows Server 2012 R2ドメインコントローラーのみのActive Directory環境を構築し、フォレストの機能レベルも「Windows Server 2012 R2」に設定していても、この「Active Directoryのごみ箱」は機能していません。必ず管理者が一度だけ、有効化の操作を行う必要があります。また、これが有効化されていない状態で、Active Directoryからオブジェクトを誤って削除してしまったからといって、あわてて有効化しても、時すでに遅しです。あくまでもこの機能が有効になったあとで削除されたオブジェクトに対してのみ有効だからです。
つまり、とても素晴らしい機能でありながら、使える環境であっても管理者が有効化しないと使えない、というものです。まさに、「知らないと損!使わないと損!」な機能と言えるでしょう。

このページの上部へ

Active Directoryのごみ箱機能の有効化

「Active Directoryのごみ箱」機能の有効化は、Windows Server 2012やWindows Server 2012 R2の「Active Directory管理センター」を使ってGUIで操作することができます(最初にこの機能が実装されたWindows Server 2008 R2では、有効化の操作もPowerShellコマンドレットで行う必要がありました)。
管理者でドメインコントローラーにサインインして、サーバーマネージャーなどから「Active Directory管理センター」を起動して、「Active Directory のごみ箱機能」を有効化します。

Active Directory 管理センター ごみ箱の有効化

このページの上部へ

Active Directoryのごみ箱機能を利用したオブジェクトの復元

Windows Server 2012やWindows Server 2012 R2の「Active Directory管理センター」を使うことにより、「Active Directoryのごみ箱」機能によるオブジェクトの復元をGUI操作で、容易に行うことができます。
「Deleted Objects」コンテナーから目的の削除済みオブジェクトを選択して、「復元」操作を行うだけです。

Active Directory 管理センター Deleted Objects 復元

このページの上部へ

まとめ

今回紹介した「Active Directoryのごみ箱」機能を有効化しておくことによるメリットは「いざ」というときにとても大きなものではないでしょうか。誤ったオブジェクトの削除など、操作ミスやトラブルはいつ起こるかわかりません。何が起こっても少しでも容易に、スムーズに対処できるよう、事前の準備を怠らないように心がけましょう。
「Active Directory管理センター」による「Active Directoryのごみ箱」機能の有効化や操作、また、有効化前の準備として、フォレストの機能レベルを上げる手順の詳細については、マイクロソフトの技術情報を参照してください。

Active Directory管理センターの強化概要

なお、いくらこの機能を有効化していたとしても、致命的な障害などによって Active Directoryデータベースが全破損、全喪失する可能性もありますから、バックアップはきちんと取得するようにしておきましょう。
最新のWindows Serverには、今回紹介した「Active Directoryのごみ箱」機能のような、「知らないと損!使わないと損!」な機能がいろいろとあります。次回からも、そういった、みなさんの業務に役立つような情報をお知らせしていきたいと考えています。

Windows Server活用のススメ 一覧へ

このページの上部へ

Windows Server最新書籍を抽選でプレゼント!

「Windows Server最新書籍プレゼント」は終了しました。
たくさんのご応募ありがとうございました。

標準テキスト Windows Server 2012 R2構築・運用・管理パーフェクトガイド

コラム執筆者 知北 直宏氏の標準テキスト Windows Server 2012 R2構築・運用・管理パーフェクトガイドを抽選で10名様にプレゼント!ベストセラー2008 R2の続編です。好評につき、第四弾!今回の締切は2015年7月31日です。お早めにご応募ください。
※当選は賞品の発送をもって代えさせていただきます。

このページの上部へ
アイティデザイン株式会社 代表取締役社長 知北 直宏

著者プロフィール

アイティデザイン株式会社 代表取締役社長 知北 直宏(ちきた なおひろ)
Microsoft MVP - Directory Services
マイクロソフトのサーバ製品を中心に、提案、設計、導入、そしてサポートまで、オールインワンで対応しているエンジニア。また、Windows NT時代から技術書籍を執筆。最近は、マイクロソフト主催イベントでの登壇や、マイクロソフトのホワイトペーパーの執筆なども行っている。
標準テキスト Windows Server 2008 R2構築・運用・管理パーフェクトガイド標準テキスト Windows Server 2012 R2構築・運用・管理パーフェクトガイド
主な著書:
標準テキスト Windows Server 2008 R2構築・運用・管理パーフェクトガイド
標準テキスト Windows Server 2012 R2構築・運用・管理パーフェクトガイド
  1. クラウドサービスのbit-drive TOP>
  2. Windows Server 2003 移行支援サイト>
  3. 連載コラム Windows Server活用のススメ
  4. 知らないと損!Active Directoryのごみ箱機能の利用