Active Directory Domain Services でのオブジェクトの作成と削除

  • [アーティクル]

Active Directoryドメインサービスのオブジェクトをプログラムで作成および削除する手順は、使用するプログラミング技術によって異なります。 特定のプログラミング技術によるActive Directoryドメインサービスのオブジェクトの作成と削除の詳細については、次の表に示すトピックを参照してください。

プログラミング技術 詳細情報
Active Directory サービス インターフェイス オブジェクトの作成と削除
ライトウェイト ディレクトリ アクセス プロトコル ディレクトリエントリの変更
System.DirectoryServices オブジェクトの作成、削除、名前の変更、移動

 

オブジェクトの作成

一般に、オブジェクトの作成に必要な属性は cn そして オブジェクトクラス 属性. しかし、オブジェクトを作ったからといって、それが機能的なオブジェクトになるとは限らない。 ユーザーやグループなど、特定のタイプのオブジェクトには、それらを機能させるために追加で必要な属性があります。 特定のタイプのオブジェクトを作成する方法については、以下を参照してください。 ユーザーの作成 そして ドメイン内のグループの作成.

Windows Server 2003: のオブジェクトが ユーザー, グループ, または コンピュータ クラスがWWindows Server 2003以降で動作しているドメインコントローラー上に作成された場合、ドメインコントローラーは自動的に sAMAccountName 属性が指定されていない場合は、一意な文字列に変換します。

オブジェクトの削除

オブジェクトが削除されると、Active Directoryサーバーは以下のアクションを実行する:

  • について isDeleted 削除されたオブジェクトの TRUE. を持つオブジェクト isDeleted 属性値を と呼ばれています。 墓石.

  • 削除されたオブジェクトは、そのネーミング・コンテキストの Deleted Objects コンテナに移動される。 もし システムフラグ プロパティに 0x02000000 フラグが含まれている場合、そのオブジェクトは Deleted Objects コンテナに移動されません。 削除オブジェクト・コンテナへのバインディングとコンテナの内容の列挙の詳細については、以下を参照のこと。 削除されたオブジェクトの取得.

  • Deleted Objects コンテナはフラットであるため、すべてのオブジェクトは Deleted Objects コンテナ内で同じレベルに存在する。 したがって、削除されたオブジェクトの相対識別名は、削除されたオブジェクト・コンテナ内で一意になるように変更されます。 元の名前が75文字より長い場合、75文字に切り詰められます。 その後、新しい名前に以下のように追加される:

    1. 0x0A 文字
    2. 文字列 "DEL:"
    3. 一意の GUID の文字列形式 (「947e3228-70c9-​​4311-8b7a-e5c9b5bd4432」など)

    削除されたオブジェクト名の例は以下の通り:

    Jeff Smith\0ADEL:947e3228-70c9-4311-8b7a-e5c9b5bd4432

  • 削除されたオブジェクトのほとんどの属性値が削除されます。 以下の属性は自動的に保持される:

    • attributeID
    • attributeSyntax
    • distinguishedName
    • dN参照更新
    • フラットネーム
    • governsID
    • groupType
    • instanceType
    • lDAPDisplayName
    • legacyExchangeDN
    • mS-DS-CreatorSID
    • mSMQOwnerID
    • name
    • nCName
    • objectClass
    • objectGUID
    • オブジェクトシッド
    • oMSyntax
    • プロキシード・オブジェクト名
    • replPropertyMetaData
    • sAMAccountName
    • securityIdentifier
    • subClassOf
    • systemFlags
    • 信頼属性
    • トラスト・ディレクション
    • トラストパートナー
    • trustType
    • userAccountControl
    • uSNChanged
    • uSNCreated
    • whenCreated

    を持つその他の属性。 検索フラグ 属性値が0x00000008を含む場合も保持される。

    以下の属性値は、削除されたオブジェクトから常に削除されます:

    • objectCategory
    • samAccountType

  • The security descriptor is retained when the object is deleted. セキュリティ記述子は、オブジェクトが削除された時点でそのまま保持される。

  • 削除されたオブジェクトへのリンクおよびオブジェクトからのリンクはクリアされます。 これは、オブジェクトが削除された後にバックグラウンドで実行される。 すべてのリンクがクリアされる前に削除されたオブジェクトがリストアされた場合、エラーが発生します。

  • オブジェクトがWindows Server 2003ドメインコントローラー上で削除された場合 lastKnownParent 属性には、そのオブジェクトが削除されたときに含まれていたコンテナの識別名が設定されます。

削除されたオブジェクトは、"Deleted Objects "コンテナ内に一定期間残ります。 墓石の寿命. デフォルトでは、墓石の寿命は60日ですが、この値はシステム管理者が変更することができます。 墓碑銘の有効期限が切れると、オブジェクトはディレクトリサービスから永久に削除される。 削除操作を見逃さないためには、アプリケーションは墓石の寿命よりも頻繁に増分同期を実行しなければならない。

Windows Server 2003では、削除されたオブジェクトを復元する機能が追加された。 削除されたオブジェクトの復元についての詳細は、以下を参照してください。 削除されたオブジェクトの復元.

アイテムが削除されると、オブジェクトの属性は一切変更できなくなります。 Windows Server 2003では、セキュリティ・ディスクリプタ (「セキュリティ・ディスクリプタ」) を変更することが可能です。 ntSecurityDescriptor 属性)を削除されたオブジェクトに適用する。 これは、オブジェクトを復元する人が必須属性への書き込み権限を持っていない場合に、オブジェクトの復元を可能にするためです。 削除されたオブジェクトのセキュリティ記述子を更新するには、呼び出し元は通常の WRITE_DAC そして WRITE_OWNER アクセス. セキュリティ記述子が制限的であったとしても、管理者はまずオブジェクトの所有権を取ることができます。 SE_TAKE_OWNERSHIP_NAME 特権を設定し、セキュリティ記述子を修正する。 そのためには ldap_modify_ext_s 関数を LDAP_SERVER_SHOW_DELETED_OID コントロール. 修正リストには、次のような1つの属性置換が含まれていなければなりません。 ntSecurityDescriptor 属性.