この孤立したActive Directoryコンピューターオブジェクトを(できればPowerShellで)削除するにはどうすればよいですか?
PowerShell v2.0を搭載したWindows 7ワークステーションから作業していて、2008 R2 FLフォレストおよびドメインのLostAndFoundコンテナーから特定の(孤立した?)オブジェクトを Active Directoryのごみ箱 が有効になっていて、anythingで運がない.
重要なのは、このオブジェクトとthis object only(IsDeletedプロパティを持つすべてのオブジェクトを削除するのではなく、私が助けを見つけることができるすべてであるために)。
壊れた信頼関係を解決するために、コンピューターがドメインから切り離されたため(おそらくオブジェクトがごみ箱に移動し、次にLostAndFoundコンテナーに移動したため)、削除する必要があります。元の名前を返したい(PCの資産タグ番号に基づく)。次のエラーメッセージ(The specified account does not exist)により、正しい名前でコンピューターをドメインに再参加させようとして失敗しました
すでにドメイン上にある場合、正しい名前に変更しようとすると、次のエラーメッセージ(The account already exists)で失敗します。
そのため、実際のPCは現在間違った名前でそこに座っています。これを修正する必要があります。
ただし、このADオブジェクトを削除しようとすると、エラーが発生します:The specified account does not exist。オブジェクトの識別名には\(バックスラッシュ)文字が含まれていますが、これはLostAndFoundコンテナーにあるためだと思いますが、それが問題かどうか疑問に思います...そしてそれを修正する方法。私は自分のシェルをdomain adminとして実行しています。domain adminsグループが問題のオブジェクトのフルコントロールと所有権を持っていることを確認しましたが、これを理解できないようです。
問題のオブジェクト(やや編集済み):
Get-ADObject "CN=SomeComputer\0ADEL:90a13eaa-c7b0-4258-bebb-87b7aed39ec6,CN=LostAndFound,DC=MyEmployer,DC=prv" -IncludeDeletedObjects -Properties *
accountExpires : 9223372036854775807
CanonicalName : MyEmployer.prv/LostAndFound/SomeComputer
DEL:90a13eaa-c7b0-4258-bebb-87b7aed39ec6
CN : SomeComputer
DEL:90a13eaa-c7b0-4258-bebb-87b7aed39ec6
codePage : 0
countryCode : 0
Created : 12/7/2012 9:25:30 PM
createTimeStamp : 12/7/2012 9:25:30 PM
Deleted :
Description : HP6300
DisplayName :
DistinguishedName : CN=SomeComputer\0ADEL:90a13eaa-c7b0-4258-bebb-87b7aed39ec6,CN=LostAndFound,DC=MyEmployer,DC=
prv
dNSHostName : SomeComputer.MyEmployer.prv
dSCorePropagationData : {5/21/2014 1:40:31 PM, 12/31/1600 7:00:00 PM}
instanceType : 4
isCriticalSystemObject : False
isDeleted :
LastKnownParent : OU=Workstations,OU=Computers,OU=One of Our Sites,DC=MyEmployer,DC=prv
lastLogonTimestamp : 130451668084269817
localPolicyFlags : 0
memberOf : {CN=PCMilerComputers,DC=MyEmployer,DC=prv}
Modified : 5/21/2014 1:40:54 PM
modifyTimeStamp : 5/21/2014 1:40:54 PM
msDS-LastKnownRDN : SomeComputer
Name : SomeComputer
DEL:90a13eaa-c7b0-4258-bebb-87b7aed39ec6
nTSecurityDescriptor : System.DirectoryServices.ActiveDirectorySecurity
ObjectCategory :
ObjectClass : computer
ObjectGUID : 90a13eaa-c7b0-4258-bebb-87b7aed39ec6
objectSid : S-1-5-21-1708945318-605057401-313073093-5882480
operatingSystem : Windows 7 Enterprise
operatingSystemServicePack : Service Pack 1
operatingSystemVersion : 6.1 (7601)
primaryGroupID : 515
ProtectedFromAccidentalDeletion : False
pwdLastSet : 130451667147545072
sAMAccountName : SomeComputer$
sDRightsEffective : 15
servicePrincipalName : {Host/SomeComputer, Host/SomeComputer.MyEmployer.prv}
userAccountControl : 4096
userCertificate : [Not included]
uSNChanged : 54007434
uSNCreated : 5004556
whenChanged : 5/21/2014 1:40:44 PM
whenCreated : 12/7/2012 9:25:30 PM
私が試したものはどれも機能しないようで、たくさん試してみました。そのノートについて、私が試したことは以下の通りです。
まず、プレーンな1行のPowerShellコマンドレットを使用します。
Get-ADObject "CN=SomeComputer\0ADEL:90a13eaa-c7b0-4258-bebb-87b7aed39ec6,CN=LostAndFound,DC=MyEmployer,DC=prv" -IncludeDeletedObjects | Remove-ADObject
Confirm
Are you sure you want to perform this action?
Performing operation "Remove" on Target
"CN=SomeComputer\0ADEL:90a13eaa-c7b0-4258-bebb-87b7aed39ec6,CN=LostAndFound,DC=MyEmployer,DC=prv".
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): y
Remove-ADObject : The specified account does not exist
At line:1 char:145
+ Get-ADObject "CN=SomeComputer\0ADEL:90a13eaa-c7b0-4258-bebb-87b7aed39ec6,CN=LostAndFound,DC=MyEmployer,DC=prv" -IncludeDeletedObjects | Remove-ADObject <<<<
+ CategoryInfo : NotSpecified: (CN=SomeComputer\0ADE...MyEmployer,DC=prv:ADObject) [Remove-ADObject], ADException
+ FullyQualifiedErrorId : The specified account does not exist,Microsoft.ActiveDirectory.Management.Commands.RemoveADObject
次に、同じことを代わりにGUIDを参照してください。
Get-ADObject "90a13eaa-c7b0-4258-bebb-87b7aed39ec6" -IncludeDeletdObjects | Remove-ADObject
Confirm
Are you sure you want to perform this action?
Performing operation "Remove" on Target
"CN=SomeComputer\0ADEL:90a13eaa-c7b0-4258-bebb-87b7aed39ec6,CN=LostAndFound,DC=MyEmployer,DC=prv".
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): y
Remove-ADObject : The specified account does not exist
At line:1 char:94
+ Get-ADObject "90a13eaa-c7b0-4258-bebb-87b7aed39ec6" -IncludeDeletedObjects | Remove-ADObject <<<<
+ CategoryInfo : NotSpecified: (CN=SomeComputer\0ADE...MyEmployer,DC=prv:ADObject) [Remove-ADObject], ADException
+ FullyQualifiedErrorId : The specified account does not exist,Microsoft.ActiveDirectory.Management.Commands.RemoveADObject
次に、最初に値を変数に読み込みます。 (GUIDとDNの両方を試しましたが、同じエラーが発生するため、DNは1つしか表示されません)。
$blah = "90a13eaa-c7b0-4258-bebb-87b7aed39ec6"
Get-ADObject $blah -IncludeDeletedObjects | Remove-ADObject
Confirm
Are you sure you want to perform this action?
Performing operation "Remove" on Target
"CN=SomeComputer\0ADEL:90a13eaa-c7b0-4258-bebb-87b7aed39ec6,CN=LostAndFound,DC=MyEmployer,DC=prv".
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): y
Remove-ADObject : The specified account does not exist
At line:1 char:60
+ Get-ADObject $blah -IncludeDeletedObjects | Remove-ADObject <<<<
+ CategoryInfo : NotSpecified: (CN=SomeComputer\0ADE...MyEmployer,DC=prv:ADObject) [Remove-ADObject], ADException
+ FullyQualifiedErrorId : The specified account does not exist,Microsoft.ActiveDirectory.Management.Commands.RemoveADObject
次に、ネイティブで行う代わりに、 DSRMを呼び出す必要がある を使用することができると考えました。
dsrm "CN=SomeComputer\0ADEL:90a13eaa-c7b0-4258-bebb-87b7aed39ec6,CN=Lost
AndFound,DC=MyEmployer,DC=prv"
Are you sure you wish to delete CN=SomeComputer\0ADEL:90a13eaa-c7b0-4258-bebb-87b7aed39ec6,CN=LostAndFound,DC=MyEmployer,DC=prv
(Y/N)? y
dsrm failed:CN=SomeComputer\0ADEL:90a13eaa-c7b0-4258-bebb-87b7aed39ec6,CN=LostAndFound,DC=MyEmployer,DC=prv:The specified account does not exist.
それから私はそれを自動化できるように地獄に言った、私はちょうど右クリックして ADSIeditで削除する とする。
それで、最後に、私は私のプライドを飲み込んで、ここで尋ねます。 このくそったれのオブジェクトをどうやって取り除くのですか?それは明らかに存在し、その存在は問題を引き起こしていますが、Active Directoryからオブジェクトを削除しようとする私の試みはすべて、うそ、うそつき、およびエラーメッセージに遭遇します。
更新:
ServerFaultersとのコメント、提案、ディスカッションに基づいて、機能しなかった他のこと:
0がnullバイトを表すかのように、\0をエスケープします。
Get-ADObject "CN=SomeComputer`0ADEL:90a13eaa-c7b0-4258-bebb-87b7aed39ec6,CN=LostAndFound,DC=MyEmployer,DC=prv" -IncludeDeletedObjects | Remove-ADObject
Get-ADObject : No superior reference has been configured for the directory service. The directory service is therefore unable to issue referrals to objects outside this forest
At line:1 char:13
+ Get-ADObject <<<< "CN=SomeComputer`0ADEL:90a13eaa-c7b0-4258-bebb-87b7aed39ec6,CN=LostAndFound,DC=MyEmployer,DC=prv" -Includ
eDeletedObjects | Remove-ADObject
+ CategoryInfo : NotSpecified: (CN=SomeComputer ADEL...MyEmployer,DC=prv:ADObject) [Get-ADObject], ADException
+ FullyQualifiedErrorId : No superior reference has been configured for the directory service. The directory service is therefore unable to issue referrals to objects outside this forest,Microsoft.ActiveDirectory.Management.Commands.GetADObject
DOSの場合のように、\0A全体をキャリッジリターンまたは改行のようにエスケープします( `n、` r、 `n`r、` r`nで試行しました)。すべてが同じエラーを返したため、一度だけ表示されます。
Get-ADObject "SomeComputer`n`rDEL:90a13eaa-c7b0-4258-bebb-87b7aed39ec6,CN=LostAndFound,DC=MyEmployer,DC=prv" -IncludeDeletedObjects | Remove-ADObject
Get-ADObject : The object name has bad syntax
At line:1 char:13
+ Get-ADObject <<<< "CN=SomeComputer`n`rDEL:90a13eaa-c7b0-4258-bebb-87b7aed39ec6,CN=LostAndFound,DC=MyEmployer,DC=prv" -IncludeDeletedObjects | Remove-ADObject
+ CategoryInfo : NotSpecified: (CN=SomeComputer
DEL...MyEmployer,DC=prv:ADObject) [Get-ADObject], ADException
+ FullyQualifiedErrorId : The object name has bad syntax,Microsoft.ActiveDirectory.Management.Commands.GetADObject
\0Aをフォームフィードとしてエスケープする(ええ、少し必死になってしまいます)。
Get-ADObject "CN=SomeComputer`fDEL:90a13eaa-c7b0-4258-bebb-87b7aed39ec6,CN=LostAndFound,DC=MyEmployer,DC=prv" -IncludeDeletedObjects | Remove-ADObject
Get-ADObject : Directory object not found
At line:1 char:13
+ Get-ADObject <<<< "CN=SomeComputer`fDEL:90a13eaa-c7b0-4258-bebb-87b7aed39ec6,CN=LostAndFound,DC=MyEmployer,DC=prv" -IncludeDeletedObjects | Remove-ADObject
+ CategoryInfo : ObjectNotFound: (CN=SomeComputer♀DEL:...MyEmployer,DC=prv:ADObject) [Get-ADObject], ADIdentityNotFoundException
+ FullyQualifiedErrorId : Directory object not found,Microsoft.ActiveDirectory.Management.Commands.GetADObject
次に、\0A文字が問題であるかどうかを判断する必要があると考えたので、\0A文字列が含まれているADのごみ箱で気にしなかった別のオブジェクトを選択して、ブローしようとしました。それを離れて。出来た。
Get-ADObject -Filter { Name -Like '*DEL:*' } -IncludeDeletedObjects | Remove-ADObject
Confirm
Are you sure you want to perform this action?
Performing operation "Remove" on Target "CN=SomeServer-SomeJackass HP LaserJet 1320
PS\0ADEL:eddb23e7-b8d8-4d00-801f-22d82c169d66,CN=Deleted Objects,DC=MyEmployer,DC=prv".
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): y
Confirm
Are you sure you want to perform this action?
Performing operation "Remove" on Target "CN=SomeServer-SomeJackass HP LaserJet 1320 PCL
5e\0ADEL:6e72e78f-f110-492c-ad50-91107f6fbd6a,CN=Deleted Objects,DC=MyEmployer,DC=prv".
[Y] Yes [A] Yes to All [N] No [L] No to All [S] Suspend [?] Help (default is "Y"): y
私が話し合ったマイクロソフトサポートエンジニアと、彼が私にエスカレートしたマイクロソフトエンジニアとそのマネージャーによると、簡単に言うと、この呪われたオブジェクトを取り除く唯一の方法は、以前に信頼できる復元を行うことですLostAndFoundコンテナでのこのオブジェクトの外観。すべてのドメインコントローラーをLiveCDで起動し、ADデータベースを手動で編集することでも、自分でそれを取り除くことができると確信していますが、これら2つのオプション以外は、私はそれで立ち往生しています。
これがどのようにそしてなぜそうであるかに関して:
repadmin /showobjmetaをオブジェクトに対して(メタデータをのぞくために)実行し、オブジェクトのisDeletedバージョン(2)削除された後、予期せずに失敗または部分的に復元されたことが問題の原因です。オブジェクトが復元された後、変更が完全にレプリケートされる前に、オブジェクトが親OUとともに再び削除され、復元が失敗し、孤立したと見なされることが示唆され、おそらく私には思われます少なくとも一部のドメインコントローラでオブジェクトを作成し、LostAndFoundコンテナに配置します。
部分的な復元の結果、復元することはできません。 オブジェクトのSAMAccountTypeが空であるため のため、削除(または変更)できません。
SAMAccountType属性は、どのユーザーも変更できない値であり、変更しようとすると、次のエラーがスローされます。
Operation failed. Error code: 0x209a
Access to the attribute is not permitted because the attribute is owned by the Security Accounts Manager (SAM).
0000209A: SvcErr: DSID-031A1021, problem 5003
(WILL_NOT_PERFORM), data 0
状態が部分的に復元されているため、オブジェクトを復元してシステム(セキュリティアカウントマネージャー)にこの属性を設定させることはできません。また、その属性に有効な値がないと、オブジェクトを削除(または変更)できません。
しかし、これは私にとって単純に離れるにはあまりにも興味深いケースなので、しばらくの間ぶらついて、これを回避する方法を思い付くことができないかどうかを確認するか、少なくとも私の知識を広げますADはもう少し試みています。プリンターのトラブルシューティングに打ち勝つ...そして率直に言って、「WILL_NOT_PERFORM」と私に言っているコンピューターは私が抵抗できない挑戦であることがわかりました。
ああそう、あなたは演奏します、くそったれ!
この投稿 に基づいて、特定のドメインコントローラ上のオブジェクトを削除する必要がある場合があります。オブジェクトが特定のDCに限定されているかどうかを確認するには、-Serverパラメーターを指定してGet-ADObjectを実行してみてください。次に、Remove-ADObjectでも同じことを行います。
私はうまくいくかもしれないという考えを持っていますが、それは少し単純または普通ではないように見えるかもしれませんが、私が正しく覚えていれば、これは孤立したアカウントで過去に私にとってうまくいきました。正確なアカウント名を特定できる場合は、ユーザーアカウントであれ、PC /サーバーアカウントであれ、作業中のシステムが探しているのと同じタイプで同じ名前のアカウントを一時的に作成してみてください。つまり、基本的には空白部分を埋めているので、いわばシステムが求めているものを正確に提供します。
そのため、それがPC /サーバーアカウントである場合は、アカウントを作成する目的でのみ、探している正確な名前でドメインにマシンを再び参加させます。または、ユーザーアカウントの場合は、完全に同じ名前などでユーザーアカウントを再作成します。サーバーが新しく再作成されたアカウントを孤立したOUに再接続するようにするには、コマンドプロンプトでgpupdate/fコマンドを実行する必要がある場合があります。
次に、最初に削除したい孤立したOUを削除しようとします。 OUをクリーンアップしたら、このタスク用に作成したアカウントを削除できます。
これがあなたの乾杯に役立つことを願っています