삭제된 Active Directory 개체 복원

   

삭제된 Active Directory 개체 복원

업데이트 날짜: 2009년 1월

적용 대상: Windows Server 2008 R2

이 단계에서는 Active Directory 휴지통을 사용하여 다음 작업을 완료하는 지침을 제공합니다.

         삭제된 개체 컨테이너 표시

         Ldp.exe를 사용하여 삭제된 Active Directory 개체 복원

         Get-ADObject 및 Restore-ADObject cmdlet을 사용하여 삭제된 Active Directory 개체 복원

         삭제된 여러 Active Directory 개체 복원

   

[삭제된 개체 컨테이너 표시]

Active Directory 개체는 삭제되면 삭제된 개체 컨테이너에 배치됩니다. 기본적으로 CN=Deleted Objects 컨테이너는 표시되지 않으며, 삭제된 개체 컨테이너를 표시하려면 AD DS(Active Directory 도메인 서비스)의 Ldp.exe 관리 도구를 사용해야 합니다.

이 절차를 수행하려면 최소한 Domain Admins 그룹의 구성원이거나 이와 동등한 자격이 있어야 합니다. http://go.microsoft.com/fwlink/?LinkId=83477에서 적절한 계정 및 그룹 구성원 자격 이용에 관한 자세한 내용을 검토하십시오.

[삭제된 개체 컨테이너를 표시하려면]

         Ldp.exe를 열려면 시작, 실행을 차례로 클릭한 다음 ldp.exe를 입력합니다.

         옵션 메뉴에서 컨트롤을 클릭합니다.

3.       컨트롤 대화 상자에서 미리 정의된 컨트롤 로드 풀다운 메뉴를 확장하고 Return deleted objects를 클릭한 다음 확인을 클릭합니다.

4.       삭제된 개체 컨테이너가 표시되는지 확인하려면 다음을 수행합니다.

1.       AD DS 환경의 포리스트 루트 도메인을 호스팅하는 서버에 연결하고 바인딩하려면 연결에서 연결을 클릭한 다음 바인딩을 클릭합니다.

2.       보기, 트리를 차례로 클릭하고 BaseDN에서 DC=<내 도메인>,DC=<com>을 입력합니다. 여기서 <내 도메인> 및 <com>은 사용자 AD DS 환경의 해당 포리스트 루트 도메인 이름을 나타냅니다.

3.       콘솔 트리에서 루트 DN(고유 이름)을 두 번 클릭하고 CN=Deleted Objects, DC=<내 도메인>,DC=<com> 컨테이너를 찾습니다. 여기서 <내 도메인> 및 <com>은 사용자 AD DS 환경의 해당 포리스트 루트 도메인 이름을 나타냅니다.

   

[Ldp.exe를 사용하여 삭제된 Active Directory 개체 복원]

Ldp.exe를 사용하여 삭제된 단일 Active Directory 개체를 복원할 수 있습니다.

이 절차를 수행하려면 최소한 Domain Admins 그룹의 구성원이거나 이와 동등한 자격이 있어야 합니다. http://go.microsoft.com/fwlink/?LinkId=83477에서 적절한 계정 및 그룹 구성원 자격 이용에 관한 자세한 내용을 검토하십시오.

Ldp.exe를 사용하여 삭제된 Active Directory 개체를 복원하려면

1.       Ldp.exe를 열려면 시작, 실행을 차례로 클릭한 다음 ldp.exe를 입력합니다.

2.       AD DS 환경의 포리스트 루트 도메인을 호스팅하는 서버에 연결하고 바인딩하려면 연결에서 연결을 클릭한 다음 바인딩을 클릭합니다.

3.       콘솔 트리에서 CN=Deleted Objects 컨테이너로 이동합니다.

4.       복원하려는 삭제된 Active Directory 개체를 찾아 마우스 오른쪽 단추로 클릭하고 수정을 클릭합니다.

5.       수정 대화 상자에서 다음을 수행합니다.

1.       항목 편집 특성에 isDeleted를 입력합니다.

2.       값 상자를 비워 둡니다.

3.       작업에서 삭제, 입력을 차례로 클릭합니다.

4.       항목 편집 특성에 distinguishedName을 입력합니다.

5.       값에 이 Active Directory 개체의 원래 DN(고유이름)을 입력합니다.

6.       작업에서 바꾸기를 클릭합니다.

7.       확장 확인란이 선택되어 있는지 확인하고 입력, 실행을 차례로 클릭합니다.

   

   

참고

연결된 값 특성이 있는 Active Directory 개체를 삭제 또는 복구하는 경우 연결된 특성의 값에 대한 참조 무결성을 유지하기 위해 AD DS에서 개체의 연결된 값 테이블을 처리해야 합니다. Active Directory 개체를 삭제하거나 복구하면 개체의 연결된 값 테이블이 수정되므로 연결된 값 테이블 처리가 진행 중인 동안 개체를 삭제하거나 복구하려고 할 경우 작업이 차단됩니다. 예를 들어 수백만 명의 사용자가 있는 그룹 개체와 같이 연결된 값 특성이 많은 개체를 삭제한 후 바로 Active Directory 휴지통을 사용하여 복구하는 경우 또는 연결 값 테이블을 처리하는 내내 개체 복구가 차단됩니다. Ldp.exe를 사용하여 복구하는 경우 "오류 0x2093. 개체를 삭제 중이기 때문에 작업을 계속할 수 없습니다."라는 오류 메시지가 나타날 수 있습니다.

   

[Get-ADObject 및 Restore-ADObject cmdlet을 사용하여 삭제된 Active Directory 개체 복원]

   

Get-ADObject 및 Restore-ADObject Windows PowerShell용 Active Directory 모듈 cmdlet을 사용하여 삭제된 Active Directory 개체를 복원할 수 있습니다. Get-ADObject cmdlet을 사용하여 삭제된 개체를 검색한 다음 파이프라인을 통해 해당 개체를 Restore-ADObject cmdlet에 전달하는 것이 좋습니다.

   

Get-ADObject 및 Restore-ADObject cmdlet을 사용하여 삭제된 단일 Active Directory 개체를 복원하려면

1.       시작, 관리 도구를 차례로 클릭한 다음 Windows PowerShell용 Active Directory 모듈을 마우스 오른쪽 단추로 클릭하고 관리자 권한으로 실행을 클릭합니다.

2.       Active Directory module for Windows PowerShell 명령 프롬프트에 다음 명령을 입력한 후 Enter 키를 누릅니다.

Get-ADObject -Filter {String} -IncludeDeletedObjects | Restore-ADObject

예를 들어 표시 이름이 Mary이고 실수로 삭제된 사용자 개체를 복원하려는 경우 다음 명령을 입력한 후 Enter 키를 누릅니다.

Get-ADObject -Filter {displayName -eq "Mary"} -IncludeDeletedObjects | Restore-ADObject

Get-ADObject 및 Restore-ADObject cmdlet에 대한 자세한 내용을 보려면 Active Directory module for Windows PowerShell 명령 프롬프트에 Get-Help Get-ADObject 또는 Get-Help Restore-ADObject를 입력하고 Enter 키를 누릅니다.

   

삭제된 여러 Active Directory 개체 복원

다음과 같은 경우를 고려할 수 있습니다. Contoso.com의 관리자가 중첩된 OU(조직 구성 단위)를 실수로 삭제했는데 이 OU의 이름은 Finance_Department이고 재무 부서 직원의 사용자 계정을 포함하고 있습니다. 그런 다음 관리자가 또 다른 OU를 삭제했고, 이 OU의 이름은 Admins이며 재무 부서 산하 행정 비서의 사용자 계정을 포함하고 있습니다. Brian과 Mary는 Finance_Department OU의 사용자 계정이고 Tom은 Admins OU의 사용자 계정이라 할 때 다음 그림은 Finance_Department OU를 보여 줍니다.

Finance_Department OU가 삭제되면 해당 모든 개체, 즉 총 5개의 개체가 삭제된 개체 컨테이너로 이동하고 개체의 고유 이름이 알아보지 못하도록 변경됩니다. 삭제된 개체 컨테이너에는 논리적으로 삭제된 모든 개체가 단일 계층 구조의 직계 자식으로 표시됩니다. 중첩된 OU를 원래 상태로 복원하려면 Get-ADObject Active Directory 모듈 cmdlet을 사용하여 한 번에 한 계층 수준씩 삭제된 개체를 검색한 후 파이프라인을 통해 해당 개체를 Restore-ADObject cmdlet에 전달하는 것이 좋습니다. 관리자가 Finance_Department OU의 원래 계층 구조를 잘 모르는 경우 먼저 Get-ADOBject cmdlet을 사용하여 여러 단계의 조사를 거쳐야 합니다.

         예를 들어 관리자는 다음과 같이 ldapFilter 매개 변수에 msDS-lastKnownRDN 특성을 사용하고 Mary의 lastKnownParent 특성이 반환되도록 명령을 작성하여 Get-ADOBject cmdlet으로 사용자 계정 Mary를 검색하기로 결정합니다.

   

Get-ADObject -SearchBase "CN=Deleted Objects,DC=contoso,DC=com" -ldapFilter:"(msDs-lastKnownRDN=Mary)" –IncludeDeletedObjects –Properties lastKnownParent

   

관리자는 Get-ADObject cmdlet을 사용하여 반환된 출력을 통해 Mary의 lastKnownParent 값이 Finance_Department임을 확인합니다. 또한 Finance_Department OU의 고유 이름이 알아보지 못하도록 변경되었으며 이는 Finance_Department OU 개체 자체가 삭제되었다는 것을 의미합니다. 예를 들어 알아보지 못하도록 변경된 고유 이름은 OU=Finance_Department\0ADEL:e954edda-db8c-41be-bbbd-599bef5a5f2a,CN=Deleted Objects,DC=contoso,DC=com과 같습니다.

         따라서 관리자는 다음 명령을 사용하여 삭제된 개체 컨테이너에서 lastKnownParent 값이 Finance_Department인 모든 개체를 검색하기로 합니다.

   

Get-ADObject –SearchBase "CN=Deleted Objects,DC=contoso,DC=com" -Filter {lastKnownParent -eq 'OU=Finance_Department\\0ADEL:e954edda-db8c-41be-bbbd-599bef5a5f2a,CN=Deleted Objects,DC=contoso,DC=com'} -IncludeDeletedObjects -Properties lastKnownParent | ft

참고

Get-ADObject cmdlet에 알아보지 못하도록 변경된 고유 이름을 사용할 때는 백슬래시(\)를 하나 더 사용하여 백슬래시(\)를 이스케이프해야 합니다.

관리자는 Get-ADObject cmdlet을 사용하여 반환된 출력을 통해 Admins가 OU 자체임을 확인합니다.

         관리자는 또한 다음 명령을 사용하여 lastKnownParent 특성이 Admins인 삭제된 모든 개체를 검색합니다.

   

Get-ADObject –SearchBase "CN=Deleted Objects,DC=contoso,DC=com" -Filter {lastKnownParent -eq 'OU=Admins\\0ADEL:6b405c87-027c-4135-95af-36c31002be5a,CN=Deleted Objects,DC=contoso,DC=com'} -IncludeDeletedObjects -Properties lastKnownParent | ft

참고

Get-ADObject cmdlet에 알아보지 못하도록 변경된 고유 이름을 사용할 때는 백슬래시(\)를 하나 더 사용하여 백슬래시(\)를 이스케이프해야 합니다.

관리자는 Get-ADObject cmdlet을 사용하여 반환된 출력을 통해 사용자 계정이 Tom임을 확인합니다.

         Windows Server 2008 R2에서는 삭제된 중첩된 개체를 계층 구조의 최상위 수준부터 활성 부모로 복원해야 합니다. 따라서 Finance_Department OU 개체를 먼저 복원해야 합니다. 앞선 조사 단계에서 사용한 lastKnownParent 특성은 개체의 직계 부모만 가리키고 그 다음 부모 개체도 삭제되었는지 여부는 나타내지 않기 때문에 관리자는 다음 명령을 실행하여 Finance_Department의 lastKnownParent 값이 실제로 활성 OU인지 확인해 볼 수 있습니다.

   

Get-ADObject -SearchBase "CN=Deleted Objects,DC=contoso,DC=com" -ldapFilter:"(msDs-lastKnownRDN=Finance_Department)" –IncludeDeletedObjects –Properties lastKnownParent

   

이로써 관리자는 조사를 마치고 Finance_Department OU를 원래 계층 구조 및 상태로 복원할 준비가 되었습니다.

   

   

중요

삭제된 개체를 활성 부모로 복원해야 하기 때문에 계층 구조 최상위 수준부터 개체를 복원하는 것이 중요합니다.

관리자는 Finance_Department OU를 복원하기 위해 다음 절차를 수행할 수 있습니다.

Finance_Department OU를 복원하려면

         시작, 관리 도구를 차례로 클릭한 다음 Windows PowerShell용 Active Directory 모듈을 마우스 오른쪽 단추로 클릭하고 관리자 권한으로 실행을 클릭합니다.

         Windows PowerShell용 Active Directory 모듈 프롬프트에서 다음 명령을 실행하여 Finance_Department OU를 복원합니다.

Get-ADObject -ldapFilter:"(msDS-LastKnownRDN=Finance_Department)" –IncludeDeletedObjects | Restore-ADObject

3.       Windows PowerShell용 Active Directory 모듈 프롬프트에서 다음 명령을 실행하여 사용자 계정 Brian 및 Mary와 Admins OU(위의 단계에서 OU=Finance_Department,DC=contoso,DC=com으로 고유 이름이 복원된 Finance_Department OU의 직계 자식)를 복원합니다.

Get-ADObject -SearchBase "CN=Deleted Objects,DC=contoso,DC=com" -Filter {lastKnownParent -eq "OU=Finance_Department,DC=contoso,DC=com"} -IncludeDeletedObjects | Restore-ADObject

4.       Windows PowerShell용 Active Directory 모듈 프롬프트에서 다음 명령을 실행하여 사용자 계정 Tom(위의 단계에서 OU=Admins,OU=Finance_Department,DC=contoso,DC=com으로 고유 이름이 복원된 Admins OU의 직계 자식)을 복원합니다.

Get-ADObject -SearchBase "CN=Deleted Objects,DC=contoso,DC=com" -Filter {lastKnownParent -eq "OU=Admins,OU=Finance_Department,DC=contoso,DC=com"} -IncludeDeletedObjects | Restore-ADObject

Get-ADObject 및 Restore-ADObject cmdlet에 대한 자세한 내용을 보려면 Windows PowerShell용 Active Directory 모듈 명령 프롬프트에서 Get-Help Get-ADObject 또는 Get-Help Restore-ADObject를 입력하십시오.

삭제된 Active Directory 개체 트리를 복원하는 데 사용할 수 있는 Windows PowerShell 예제 스크립트는 부록 B: 삭제된 여러 Active Directory 개체 복원(예제 스크립트)를 참조하십시오.

   

Pasted from <http://technet.microsoft.com/ko-kr/library/dd379509(WS.10).aspx>