Active Directory

Question

LDAPを使用してActive Directoryから削除されたオブジェクトの詳細を取得する方法。

Answer 1

*この回答は、私の隣に座って、かなりよくADを知っている請負業者のRodney Andersonから来ています。彼はあなたに質問があれば彼に電子メールで連絡します（リンクが提供されています）

dsqueryを使用してください。

http://support.microsoft.com/kb/258310（LDAPクエリ）

...他の方法では、墓石（1行ですべて）に残っているほとんどの属性を取得することができるはず、次のコマンドを使用して、コマンドラインからDSQUERYです。このクエリは、必ずしもトゥームストーンに保存されているすべての属性を返すわけではないことに注意してください。重要なオブジェクトやリストの変更はハードコーディングされており、検索フラグの状態に関わらずトゥームストーンに残ります。これは私が使った解決策であり、ドメインのためにいくつかの調整が必要です。 （&（objectClass = AttributeSchema）（searchFlags：1.2.840.113556.1.4.803：= 8）） " -scopeサブツリー - dsquery * cn =スキーマ、cn =構成、dc = yourcomain、dc = com -filter" attrの名前

Answer 2

MSDNには、DirectorySearcherクラスを使用して、Active Directory内の墓石オブジェクトを見つけるのにnice articleがあります。

Answer 3

残念ながら、削除されたオブジェクトから利用できるデータはそれほど多くありません。私の経験から他のDCへの削除を複製できるだけの十分なデータが残っています。あなたはSystem.DriectoryServicesを通して利用可能なものを得ることができます。このうちのいくつかは、セキュリティと関連していて、古いアイテムを見て回ることを拒否したくないようです。

Answer 4

LDAPサーバを使用してActive Directoryから削除されたオブジェクトの詳細を取得する前に、管理制限について注意する必要があります。これらの管理制限は、InitRecvTimeout、MaxActiveQueries、MaxConnections、MaxConnIdleTime、MaxPageSize、MaxPoolThreads、 MaxQueryDuration、MaxValRange。

管理の限界を認識したら、ユーザー設定をデフォルトにすることができます。

これ以降、現在のポリシー設定を確認してください...コマンドプロンプトで「LDAP」と入力してEnterキーを押し、接続を入力してすべての接続が表示されたら、すべての接続が表示されていないことを確認します。すべてのユーザーがLDAPで削除されたことを知らせます。

Answer 5

削除したのリストを表示するたDirectorySearcherを使用することができますが、真

using(DirectorySearcher srch = new DirectorySearcher(de)) 
    { 
     //to return only deleted objects otherwise you can give any valid LDAP filter 
     srch.Filter = "isDeleted=TRUE"; 

     // Instruct the DirectorySearcher to return deleted objects 
     srch.Tombstone = true; 

     srch.FindAll(); 
     //... 


} 

Answer 6

に設定トゥームストーンのプロパティを持つオブジェクト削除されたオブジェクトはthis technet siteの表情を持っているオブジェクトを取得するために、別の容器に格納されています。

組み込み機能であり、Windows Server 2008以降のオペレーティングシステムが必要です。