执行活动目录授权还原

AD的授权还原和主还原Ntbackup：备份与还原企业应用环境中，如果存在多台域控制器，标准还原就显的比较尴尬了。

事实上标准还原往往需要和授权还原以及主还原结合起来使用。

Windows Server 2003活动目录的还原方式有三种：1，正常还原（标准还原、非授权还原，非验证还原等称谓），在单个域控制器的环境中我们常常使用正常还原来进行灾难恢复。

如果结合正常，增量和差异等备份，我们可以保证活动目录数据库的完整性。

2，授权还原（强制性还原），应用于多个域控制器的环境中，但事实上企业的域环境不是我们想象的那么脆弱，所以授权还原在实际企业环境中，使用的机会非常小，但一旦误删除了域中的对象，授权还原的便排得上用场。

3，主还原（主要还原），也应用于多个域控制器的环境，但前提是域中所有的域控制器都出现故障了，当还原第1台域控制器时，这便是主还原的应用场景。

本节实验的环境如下图：授权还原的应用场景第四篇博文我们讨论了标准还原，这一节我们继续讨论授权还原和主还原。

首先我们要明白授权还原的应用场景：假如域内有2台域控制器，在域控制器server1（域中的第1台域控制器）上我们做过备份，但是突然今天不小心把server1上“北京分公司”这个OU或者“北京分公司”中的某个用户帐户“Terry”删除了，变动以后的数据会通过AD的复制功能复制到域控制器server2上，即在域控制器server2上“北京分公司”这个OU 或“Terry”账户也会被删除。

此时我们会想到，利用正常还原在server1进行还原，将“北京分公司”这个OU 或“Terry”账户恢复。

不错，我们确实可以在server1还原“北京分公司”这个OU 或“Terry”账户，可是我们虽然在server1上还原了“北京分公司”这个OU 或“Terry”账户，但在server2上“北京分公司”这个OU 或“Terry”账户已经被标记为“已删除”的对象，那么当下一次server1和server2之间执行AD复制的操作时，server1中被还原的“北京分公司”这个OU 或“Terry”账户会被再次删除，因为对于域控制器来说，server2上被标识为“已删除”的“北京分公司”这个OU 或“Terry”账户的版本号较高，而server1中刚刚还原的“北京分公司”这个OU 或“Terry”账户是旧的数据，其版本号较低。

08R2新功能之AD回收站对于绝大多数ADDS（活动目录域服务）及AD LDS（活动目录轻量型目录服务）的用户而言，经常会出现误操作进而删除AD中某些对象的情况，例如：OU，组，用户等。

处理这些被意外删除的对象，可以使用Ntdsutil Authoritative Restore命令将对象标记为权威（对象版本号相对最高），以确保在整个域中能顺利复制所还原的数据。

授权还原方案的缺点在于必须在目录服务还原模式下执行。

在DSRM（目录服务还原模式）过程中，被还原的DC（域控制器）必须保持脱机状态（停止正常的AD数据库的通信）。

因此，此时的DC 是无法处理来自任何客户端的请求的。

而且通过学习我们了解到在Windows 2003及Windows 2008中，不会立即以物理的方式彻底的删除那些已删除的AD中的对象。

相反，这些对象的DN（可分辨名称）会损坏，绝大多数对象的未链接值属性被清除。

对象的所有链接值属性被物理删除，并且对象被移动到对象的命名上下文中的特殊容器（称之为“已删除对象”）中。

该对象现在称为T ombstone（逻辑删除），对于一般目录操作不可见，逻辑删除的对象对一般目录操作不可见。

在逻辑删除的生存期间内可随时恢复逻辑删除，并使其再次成为活动的AD数据库中的对象。

逻辑删除对象的生存周期又被称之为“墓碑记录”。

在Windows 2003 SP1时为默认为60天，而在Windows 2003 SP2及Windows 2008中默认为180天。

可以使用逻辑删除用于恢复已删除的对象，而不需使DC或AD LDS实例脱机。

但需要注意的是，恢复项目的已物理删除的链接值属性，例如：用户帐户隶属于哪个组等，及已清除的未链接值属性不会恢复。

因此，企业管理员无法依靠逻辑删除恢复作为意外删除的最终解决方案。

AD回收站是Windows Server 2008 R2的新功能之一。

它构建于现有的逻辑删除恢复基础结构之上，帮助用户增强保存和恢复意外删除的AD中有关对象的能力。

第九章实验报告实验任务： (1)一、活动目录的授权还原 (1)二、转移操作主机角色 (1)三、占用操作主机角色 (1)实验要求： (1)1．完成以上实验配置 (1)2．要求截图 (1)实验操作过程： (2)一、活动目录的授权还原 (2)1．安装额外DC (2)2．建立测试用户和OU (2)3．备份系统数据状态 (2)3．恢复数据 (3)5．验证 (4)二、转移操作主机角色 (4)1．注册架构管理工具 (5)2．MMC添加管理单元 (5)3．更改域控制器 (5)4．转移架构主机角色 (5)5．转移域命名主机角色 (6)6．转移RID主机角色 (6)7．转移PDC主机角色 (7)8．转移基础结构主机角色 (8)三、占用操作主机角色 (8)1．占用域命名主机角色 (8)2．占用基础结构主机角色 (9)3．占用PDC主机角色 (9)4．占用RID主机角色 (10)5．占用架构主机角色 (10)6．验证 (11)实验任务：一、活动目录的授权还原二、转移操作主机角色三、占用操作主机角色实验要求：1．完成以上实验配置2．要求截图实验操作过程：一、活动目录的授权还原实验环境：1．两台DC，分别是DC1各DC2，DC2额外DC实验步骤：1．安装额外DC在DC2上安装额外DC，~略~2．建立测试用户和OU在第一台DC上新建用户“aa”、“bb”，新建OU“sales”和“market”，如图1-1所示：图1-1DC2同步数据后，结果如图1-2所示：图1-23．备份系统数据状态备份DC1的系统数据状态，然后删除上面新建的组，如图1-3所示：图1-33．恢复数据重启DC1→F8→进入“目录还原模式”还原系统数据状态，不要重启计算机，在命令行模式做授权恢复，只恢复OU“sales”和用户“aa”，其它不用恢复，输入以下命令：NtdsutilAuthoritative restoreRestore subtree ou=sales,dc=accp,dc=comRestore subtree cn=aa,cn=users,dc=accp,dc=com“sales”OU的恢复如图1-4所示：图1-4用户“aa”的恢复如图1-5所示：图1-55．验证查看Active Directory用户各计算机是否只还原了OU“sales”和用户“aa”，如图1-6所示：图1-6二、转移操作主机角色实验环境：1．两台DC，分别是DC1各DC2，DC2额外DC实验步骤：1．注册架构管理工具运行命令：regsvr32 schmmgmt.dll，结果如图1-1所示：图2-12．MMC添加管理单元运行MMC，并添加架构、用户和计算机等相关的管理单元，如图1-2所示：图2-23．更改域控制器右击“Active Directory架构”→更改域控制器→指定名称，修改成需要转移的域控制器，如图2-3所示：图2-34．转移架构主机角色在DC1上右击“Active Directory架构”→操作主机→更改，转移到上，如图2-4所示：图2-45．转移域命名主机角色在DC2上右击“Active Directory域和信息关系”→操作主机→更改，转移到上，如图2-5所示：图2-56．转移RID主机角色在DC2上右击“”→操作主机→RID→更改，转移到上，如图2-6所示：图2-67．转移PDC主机角色在DC2上右击“”→操作主机→PDC→更改，转移到上，如图2-7所示：8．转移基础结构主机角色在DC2上右击“”→操作主机→结构→更改，转移到上，如图2-8所示：图2-8三、占用操作主机角色1．占用域命名主机角色将DC2挂起，在DC1的命令行输入以下命令：NtdsutilRolesConnectionConnec to server Quit如图3-1所示：占用域命名主机角色，输入命令seize domain naming master，结果如图2-1所示：图3-22．占用基础结构主机角色在fsmo maintenance模式下输入命令seize infrastructure master，结果如图3-3所示：图3-33．占用PDC主机角色在fsmo maintenance模式下输入命令seize PDC，结果如图3-4所示图3-44．占用RID主机角色在fsmo maintenance模式下输入命令seize RID master，结果如图3-5所示图3-55．占用架构主机角色在fsmo maintenance模式下输入命令seize schema master，结果如图3-6所示：图3-66．验证打开挂起的DC2，手动同步数据，如图3-7所示：图3-7 查看操作主机状态，如图3-8所示：图3-8其它操作主机均同上图所示，状态为占用，图略！~~~~~~~~~~~~~~~~~~~~~end~~~~~~~~~~~~~~~~~~~~~。

Active Directory 备份与还原在域的环境中，要定期的备份AD数据库，当AD数据库出现问题时，可以通过备份的数据还原AD数据库。

备份文件和文件夹的用户必须具有特定权限和权利的用户才可以，如果是本地组中的管理员或Backup Operator，则只能备份本地计算机上本地组所适用的所有文件和文件夹。

同样，如果是域控制器上的管理员或备份操作员，可以备份本地、域中或具有双向信任关系的域中的所有计算机上的任何文件和文件夹。

活动目录的备份第一步：依次打开命令提示符，输入【Ntbackup】回车第二步：选择【高级模式】，显示备份工具界面，也可以下一步通过向导第四步：选择备份选项卡，选中需要备份的磁盘或者System Status。

选择保存的路径注：如果只想备份活动目录的话，那么只需要备份一下系统状态就可以了。

但在这里建立最好是将整个系统盘做一个完整的备份，以防止丢失一些其他的数据。

第五步：开始备份，在选择备份方式时，需要小心是使用【备份附加到媒体】还是使用【备份替换媒体】单击高级选项卡，这里可以选择你想备份的类型,第六步：单击开始备份数据的备份就完成了下面是任何还原AD数据库的第一步：进入目录服务还原模式。

重新启动计算机，在进入Windows Server 2003 的初始画面前，按F8键进入Window高级选项菜单界面。

通过键盘上的方向键选择【目录服务还原模式】第二步：进入还原向导操作。

运行【ntbackup】选择高级模式，选中要还原的数据第三步：点击【开始还原】完成重定向Active Directory 数据库活动目录的数据库包含了大量的核心信息，应该妥善保护。

为了安全起见，应该将这些文件从被攻击者熟知的默认文件位置转移到其他位置。

如果想进行更深入的保护，可以把AD数据库文件转移到一个有冗余或者镜像的卷，以便磁盘发生错误的时候可以恢复。

第一步：进入【目录服务还原模式】第二步：进入命令提示符：输入ntdsutil输入files输入info 查看目录信息再输入move db to c:\123 回车（选择数据库移动的盘符）完成后在输入move log to c:\123转移完成输入info 查看信息数据库文件已经在c盘符下的123文件夹内修改目录还原密码一般为了安全起见，还原目录数据库时需设置密码保护步骤如下：首先必须进入【目录服务还原模式】进入命令提示符，输入ntdsutil 回车输入set dsrm password 回车之后输入reset password on sesrver 【指域名】回车再输入新的密码，确认密码完成。

五主控:1.架构主机 schema master2.域命名主机 domain naming master3.相对标识号 (RID) 主机 RID master4.主域控制器仿真主机 (PDCE)5.基础结构主机 infrastructure master目录分区:目录分区分为①:架构目录分区②:配置目录分区③:域目录分区④:应用程序目录分区ADMT什么是ADMT？Active Directory Migration Tool (ADMT) 是一个允许您将用户、计算机和组从一个域迁移到另一个域的工具。

在涉及Exchange Server 的大多数应用情境中，可使用ADMT 将帐户从Windows NTServer 4.0 域迁移到Windows 2000 Server 域。

通常，这需要同时从Exchange Server v5.5 迁移到Exchange 2000 Server。

Windows Server 2003 中附带的ADMT 版本为2.0 (v2)。

它位于Windows Server 2003 CD 上(\\.\I386\ADMT)。

ADMT v2 的主要改进之一是它迁移用户密码的能力。

与Windows 2000 Server 上使用先前版本的ADMT 进行的迁移相比，迁移现在对于用户来说是一种更加无缝的体验。

如何运行ADMT？在工具安装完毕后，可通过单击管理工具，再单击Active Directory 迁移工具，来运行它的MMC（微软管理控制台）管理单元。

在管理单元中，右击Active Directory 迁移工具并选择用户帐户迁移向导选项。

注意：在对某些帐户执行成功迁移之前，某些选项可能无法使用。

单击初始屏幕上的下一步。

ADMT 提供了选项，允许测试迁移设置并且稍后再迁移或者立刻迁移。

选择所需的选项并单击下一步。

现在，您可以选择迁移工作要使用的域。

可用的域是由您的当前森林和现有的任何信任关系决定的。

第十一章活动目录的维护内容摘要本章重点介绍Windows2000活动目录数据的存储过程和维护方法。

重点包括：• 活动目录数据的备份和恢复• 活动目录数据的优化• 活动目录的维护程序考点提示• 活动目录的授权恢复和非授权恢复• 管理活动目录对象移动的程序：Movetree• Ntdsutil.exe的应用11．1 活动目录维护简介造成Windows2000活动目录故障的原因很多，后果也不完全相同，如系统不能启动，不能登录，网络访问和网络验证出现故障等。

当活动目录出现故障时，首先应查找可能引起故障的原因，然后根据掌握的资源情况，制定修复策略，对活动目录进行修复。

11．2 活动目录数据的维护Windows2000活动目录将数据存储在一个事物数据库和日志文件中，对活动目录数据进行维护可以在系统出现故障时，如硬盘损坏或者软件系统崩溃而导致数据丢失时，对数据进行有效的恢复。

活动目录数据维护的关键在于对活动目录数据库和日志文件进行有效的维护。

Windows2000服务器对活动目录数据提供如下的维护方法：• 备份和恢复。

使用Windows2000自带的备份工具可以对活动目录数据库进行备份和恢复。

活动目录数据库在Windows2000中是整个系统数据的一部分。

• 移动。

Windows2000服务器支持将活动目录数据库从一个地方移动到另一个地方，注意移动一个活动目录数据库文件后，原文件并不会自动删除，而是继续存在，这儿的移动和复制有一些相似。

• 碎片整理。

频繁的数据库访问会造成磁盘空间利用率下降。

碎片整理可以重新排列数据库中的数据，回收可以利用的磁盘空间。

11．2．1 活动目录数据的存储过程Windows2000活动目录使用可扩展的存储引擎(ESE)对数据进行存储。

ESE应用事务和日志的概念将数据存储在数据库和事务日志文件中。

所谓事务（Transaction），是指系统作为一个不可分割的整体进行处理的更改、添加、删除等操作的集合。