Подтвердить удаление вложенного дерева ad

Записки IT специалиста

Очистка метаданных контроллера домена в Active Directory

Довольно часто встречаются ситуации, когда контроллер домена оказывается удален без понижения роли, это может быть связано как с ошибками при понижении, так и с физическим выходом из строя, после чего в структуре Active Directiry остается информация (метаданные) несуществующего контроллера, что может приводить к различным ошибкам. Поэтому, если у вас произошла такая ситуация, следует обязательно выполнить очистку связанных с удаленным контроллером метаданных в базе Active Directory.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Для выполнения данной задачи могут быть использованы различные инструменты: оснастки MMC графической оболочки и утилиты командной строки, в данной статье мы рассмотрим оба способа.

Очистка метаданных с помощью средств графического интерфейса

Данный способ доступен начиная с Windows Server 2008 и предполагает использование оснасток MMC либо на самом сервере, либо на компьютере администратора с установленным пакетом RSAT. Для того, чтобы очистить метаданные запустите оснастку Active Directory — пользователи и компьютеры (dsa.msc) и подключитесь к любому работающему контроллеру домена, при запуске оснастки на самом контроллере это будет сделано автоматически.

Затем раскройте нужный домен и перейдите в контейнер Domain Controllers, выберите контроллер, метаданные которого нужно очистить и выполните для него команду Удалить (через меню правой кнопки мыши).

Подтверждаем удаление, в следующем окне с предупреждением установите флаг Все равно удалить этот контроллер домена. Он постоянно отключен, и его невозможно удалить с помощью мастера удаления и нажмите кнопку Удалить. Будьте внимательны, чтобы по ошибке не удалить действующий контроллер.

Если удаляемый контроллер содержал роли хозяев операций, то они будут переданы оставшимся контроллерам произвольным образом, о чем вы получите еще одно предупреждение. Таким образом вам не потребуется захватывать роли вручную.

После удаления контроллера откроем оснастку Active Directory сайты и службы (dssite.msc), перейдите в контейнер Servers и убедитесь, что контроллер домена, который вы удалили не содержит вложенных объектов NTDS, после чего сам объект контроллера следует удалить.

На этом очистка метаданных для удаленного контроллера домена завершена.

Очистка метаданных с помощью командной строки

Вы также можете очистить метаданные при помощи командной строки, для этого используется утилита ntdsutil, которая автоматически устанавливается на каждом контроллере домена, а также входит в состав пакета RSAT. Все последующие действия нужно выполнять, обладая правами Администратора домена.

Откроем командную строку и наберем в ней:

Все последующие действия будут производиться в контексте этой утилиты. Затем выполним для перехода в режим очистки метаданных:

Теперь соединимся с любым работающим контроллером домена:

В данном контексте наберите:

connect to server ServerName

и вернитесь в режим очистки метаданных:

Теперь перейдем в режим выбора цели:

Первым делом получим список доменов:

В полученном выводе находим номер нужного нам домена, если домен один, то это будет ноль и указываем его в следующей команде:

Где # — номер выбранного домена.

Аналогичным образом выберем и укажем сайт:

После чего получим список контроллеров в сайте и выберем нужный из них:

Будьте внимательны, не удалите работающий контроллер домена!

Выбрав необходимый контроллер, вернемся в режим очистки метаданных:

И удалим метаданные контроллера командой:

В окне предупреждения еще раз внимательно изучим всю информацию и подтвердим удаление.

После удаления откройте оснастку Active Directory сайты и службы (dssite.msc) и убедитесь, что удаленный контроллер не содержит вложенных объектов NTDS, после чего его следует удалить.

Также обратите внимание, что роли хозяев операций при этом способе перенесены не будут и их потребуется захватить вручную. Это можно сделать как при помощи ntdsutil, так и с помощью PowerShell.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Дополнительные материалы:

1. Службы каталогов. Часть 1 — Общие понятия
2. Службы каталогов. Часть 2 — Реализации служб каталогов
3. Службы каталогов. Часть 3 — Структура Active Directory
4. Active Directory — от теории к практике. Часть 1 — общие вопросы
5. Active Directory — от теории к практике. Часть 2 — разворачиваем доменную структуру
6. Active Directory — от теории к практике. Часть 3 — настройка DHCP
7. Active Directory — от теории к практике. Часть 4 — перенос учетных записей в домен
8. Настраиваем высокодоступный DHCP-сервер в Windows Server 2012
9. Быстрое развертывание Active Directory с отказоустойчивой конфигурацией DHCP
10. Синхронизация времени Active Directory с внешним источником
11. Обновление схемы Active Directory
12. Управление ролями FSMO при помощи Ntdsutil
13. Управление ролями FSMO с помощью PowerShell
14. Восстанавливаем доверительные отношения в домене
15. Очистка метаданных контроллера домена в Active Directory

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Или подпишись на наш Телеграм-канал:

Источник

Mike’s Technology and Finance Blog

Mike’s Technology and Finance Blog covers a number of different topics in finance and technology. Most technical posts provide architecture, development, implementation, troubleshooting techniques for different Enterprise IT systems that run on the Windows, UNIX, and Linux platforms. Some posts also include my personal opinions and rants.

Friday, December 9, 2011

Active Directory Leaf Object: Confirm Subtree Deletion?

I was working in an Active Directory forest at one time removing a user object and I found myself surprised when I saw the following prompt. I was perplexed because user objects (and most of the other objects besides the Organaizational Unit that can be created through the Active Directory Users and Computers snap-in) are typically leaf nodes in Active Directory.

«Object %s contains other objects. Are you sure you want to delete object %s and all of the objects it contains? If you cancel the running deletion, the objects deleted thus far will not be recovered. Warning: If you select Use Delete Subtree server control checkbox, all objects within the subtree, including all delete-protected objects, will be deleted, and the deletion cannot be canceled»

When I explored this further, I identified that the object created below the user object was related to a fingerprint reader used in this particular company. I will show three ways to explore these objects since they do not show up in the default view of Active Directory Users and Computers.

To start this scenario, I used ADSI Edit and added a node under my user object in a test domain.

Active Directory Users and Computers

Many Active Directory Administrators spend lots of time with this tool and it is one that typically has a few unexplored features. One of the features that is not often used is the «Users, Contacts, Groups, and Computers as containers» view option.

This allows the children of these objects to be viewed by expanding the tree in the left pane.

ADSI Edit

ADSI Edit, with it’s default view options can be used to explore these elements. By default, you can connect to the default naming context for the domain and navigate to the user object,

LDP

LDP is a useful tool for developing LDAP queries and finding lists of objects that conform to a specific set of parameters, such as department name or job title. The dsquery tool could also be used for this, but LDP is sometimes the better tool because it does not have the constraint of the fixed width of PowerShell or the command shell (cmd.exe). The only catch to using LDP is identifying the base distinguished name to search from. In this case, it is

To find the child objects under this dn, use a generic filter, such as (cn=*).

The resulting object is printed with the attributes identified in the search box.

Источник

«Confirm Subtree Deletion» when removing server from AD

I am trying to delete this server (RF2) from our AD. We have an SBS2008 domain. This server was part of the domain and somehow has remnants around. I’m just wanting to know what “contains other objects” is supposed to mean and if it’s a “standard” warning or one I should worry about.

Bigfoot

Popular Topics in Active Directory & GPO

If you show users and groups as containers, you can view the subtree. It’s usually shared printers, shared folders, or Exchange 2010 mobile devices associated with the user, which are safe to delete

5 Replies

If you show users and groups as containers, you can view the subtree. It’s usually shared printers, shared folders, or Exchange 2010 mobile devices associated with the user, which are safe to delete

OP Bigfoot

That’s a nice little trick I didn’t know about. I flipped that switch and selected the server but there isn’t anything on the right hand pane. I’m guessing it’s one of those warnings that come up wether or not there might be an issue. Thanks.

OP Bigfoot

What does the «Use Subtree server control» mean? Does it mean if there’s anything under RF2 that’s going to go poof or is it more than that? Just a little paranoid that I’m going to blow up my network. lol

If the server is no longer in service, I’d venture to say that you won’t do anything catastrophic. That being said, you should see things listed on the left pane of AD users and computers below the server object (should have a ‘+’ sign by it. You may have to click on it first. I just demoted a DC today and deleted it from AD and got the same message. It was running message queuing and that showed up on the left pane.

OP Bigfoot

Thanks gitrdone. I just puckered up and deleted it. So far the office is quiet. That’s a good sign. There wasn’t anything showing under the server or to the right hand side. Personally I think MS did it awhile back while they were messing around in my server and they just didn’t clean up all the remnants.

This topic has been locked by an administrator and is no longer open for commenting.

To continue this discussion, please ask a new question.

Источник

Подтвердить удаление вложенного дерева ad

When deleting an object (computer, user, etc) using Active Directory Users and Computers mmc snap-in you may get following warning:

Confirm Subtree Deletion
Object contains other objects. Are you sure you want to delete and all the objects it contains?

If you cancel the running deletion, the objects deleted thus far will not be recovered.
WARNING: if you select Use Delete Subtree server control check box, all objects within the subtree, including all delete-protected objects, will be deleted, and the deletion cannot be canceled.

As the warning suggests, there are other objects within the object you are trying to delete. In order to check what objects it contains, In Active Directory Users and Computers mmc snap-in select following options:

• View >User, Contacts, Groups, and Computers as containers
• View >Advanced Features (not always necessary, but some objects may not be visible if this option in not checked)

One thought on “Object contains other objects. Are you sure you want to delete. ”

Just got this message, it was due to BitLocker key being stored in AD. After deleting key you can delete the computer object without this error.

Источник