災(zāi)難恢復(fù)Active Directory用戶和組

1、災(zāi)難恢復(fù)：Active Directory用戶和組· 復(fù)制和對(duì)象鏈接結(jié)構(gòu) · 使用 NTDSUTIL 備份和還原 · 權(quán)威還原和非權(quán)威還原Active Directory 是 Windows 網(wǎng)絡(luò)中最為關(guān)鍵的服務(wù)之一，為了避免出現(xiàn)停機(jī)時(shí)間和損失生產(chǎn)力，對(duì)與 Active Directory 有關(guān)的問題制訂有效的災(zāi)難恢復(fù)計(jì)劃是至關(guān)重要的。因此需要建立一個(gè) Active Directory® 故障方案 - 意外刪除數(shù)據(jù) - 制定計(jì)劃。意外刪除對(duì)象是服務(wù)失敗最常見的根本原因之一。當(dāng)我參加研討會(huì)和會(huì)議時(shí)，我常常詢問有誰(shuí)曾經(jīng)因?yàn)橐馔鈩h除數(shù)據(jù)而導(dǎo)致 Active D

2、irectory 失敗。而每次幾乎所有人都舉手。要理解為何數(shù)據(jù)恢復(fù)是如此復(fù)雜，必須先理解以下內(nèi)容：Active Directory 如何恢復(fù)和復(fù)制對(duì)象、如何刪除對(duì)象以及權(quán)威還原和非權(quán)威還原的結(jié)構(gòu)。存儲(chǔ)對(duì)象Active Directory 是一個(gè)實(shí)施 X.500/LDAP 數(shù)據(jù)模型的專門的對(duì)象數(shù)據(jù)庫(kù)。數(shù)據(jù)存儲(chǔ)（稱為目錄信息樹或 DIT）基于可擴(kuò)展存儲(chǔ)引擎 (ESE)，這是一個(gè)索引順序訪問方法 (ISAM) 數(shù)據(jù)庫(kù)引擎。從概念上說(shuō)，Active Directory 將 DIT 存儲(chǔ)在兩張表中：數(shù)據(jù)表（包含實(shí)際的 Active Directory 對(duì)象和屬性）和鏈接表（包含對(duì)象之間的關(guān)系）。每個(gè) A

3、ctive Directory 對(duì)象存儲(chǔ)在數(shù)據(jù)表中單獨(dú)的一行，每個(gè)屬性一列。數(shù)據(jù)表包含存儲(chǔ)在域控制器 (DC) 上的所有副本的所有條目。在一個(gè)常規(guī) DC 上，數(shù)據(jù)表包含來(lái)自域 NC（命名上下文）、配置 NC 和架構(gòu) NC 的條目。在全局編錄上，數(shù)據(jù)表包含林中每個(gè)對(duì)象的條目。Active Directory 使用可分辨名稱標(biāo)記 (DNT)（一個(gè) 32 位的整數(shù)）來(lái)唯一標(biāo)識(shí)數(shù)據(jù)表中的每一行。用于內(nèi)部引用對(duì)象的 DNT 比其他標(biāo)識(shí)符如可分辨名稱 (DN) 和 objectGUID（一個(gè) 16 字節(jié)的二進(jìn)制結(jié)構(gòu)）都小得多。但是與 objectGUID 不同的是，DNT 是一個(gè)本地標(biāo)識(shí)符，并且在每個(gè) D

4、C 上都不同。Active Directory 如何鏈接對(duì)象Active Directory 管理 DIT 中對(duì)象間的兩類關(guān)系：父子關(guān)系（也稱為容器關(guān)系）和引用關(guān)系（也稱為鏈接關(guān)系）。為了實(shí)施父子關(guān)系，Active Directory 在數(shù)據(jù)表中存儲(chǔ)了一個(gè)稱為父可分辨名稱標(biāo)記（或 PDNT）的附加列。該列始終包含對(duì)象的父對(duì)象的 DNT。Active Directory 中的每個(gè)屬性均由 Active Directory 架構(gòu)容器中的 attributeSchema 對(duì)象定義。Active Directory 中的某些屬性定義為鏈接屬性，由 attributeSchema 對(duì)象的 linkID

5、屬性中的一個(gè)非零偶數(shù)值確定。鏈接屬性建立了目錄中對(duì)象間的關(guān)系，可以是單值或多值。組對(duì)象的成員屬性是多值鏈接屬性的一個(gè)例子 它建立了組對(duì)象及其成員對(duì)象之間的鏈接。即使看起來(lái)組的成員屬性包含成員的 DN（例如，通過(guò) Active Directory 用戶和計(jì)算機(jī)管理單元顯示），但這不是 Active Directory 存儲(chǔ)它們的方式。當(dāng)您將成員對(duì)象的 DN 添加到組的成員屬性時(shí)，Active Directory 存儲(chǔ)對(duì)象的 DNT 而并非其 DN。由于即使將對(duì)象重命名 DNT 也不會(huì)改變，因此可以重命名用戶對(duì)象，而且 Active Directory 不用對(duì)系統(tǒng)中所有的組排序以更新每個(gè)成員屬性的

6、 DN。這就是 Active Directory 如何在 DIT 內(nèi)維護(hù)引用完整性的原理。圖 1 所示為一個(gè)經(jīng)過(guò)大大簡(jiǎn)化的數(shù)據(jù)表和鏈接表如何彼此關(guān)聯(lián)的示意圖。這些表所示的三個(gè)用戶對(duì)象（Molly Clark、Alexander Tumanov 和 Makoto Yamagishi）都是 Senior Engineers 組的成員。這些鏈接稱為前向鏈接。類似地，Active Directory 還提供了后向鏈接屬性。這為從鏈接指向的對(duì)象返回到引用鏈接的對(duì)象提供了引用，意味著該對(duì)象具有前向鏈接。用戶和組的 memberOf 屬性是后向鏈接屬性的一個(gè)例子。屬性 Schema 對(duì)象描述了一個(gè)后向鏈接屬

7、性，該屬性具有 linkID 值，其值比相應(yīng)的前向鏈接屬性以偶數(shù)編號(hào)的 linkID 值大 1。 例如，Windows Server® 2003 R2 架構(gòu)中成員屬性的 linkID 值為 2，作為后向鏈接的 memberOf 屬性的 linkID 值為 3。有關(guān)詳細(xì)信息，圖 2 提供了一個(gè)默認(rèn)情況下 Windows Server 2003 R2 架構(gòu)中定義的鏈接屬性列表。后向鏈接屬性總是多值的，由 Active Directory 自動(dòng)維護(hù)。實(shí)際上，您不能直接修改后向鏈接屬性。盡管看起來(lái)可以通過(guò) Active Directory 用戶和計(jì)算機(jī) MMC 管理單元修改用戶或組的 mem

8、berOf 屬性，但該管理單元實(shí)際上修改的是相應(yīng)組的成員屬性，而 Active Directory 將在后臺(tái)更新 memberOf 屬性。這就是為什么無(wú)需有關(guān)用戶對(duì)象的權(quán)限即可添加用戶到組的原因；因?yàn)槟鷮?shí)際上修改的是組對(duì)象的成員屬性。因?yàn)槊總€(gè) DC 都在本地管理其后向鏈接屬性，所以永遠(yuǎn)不會(huì)復(fù)制對(duì)后向鏈接的更改。只復(fù)制對(duì)前向鏈接屬性的更改（如組的成員屬性）。在一個(gè)常規(guī) DC 上，數(shù)據(jù)表包含域?qū)ο蟮臈l目以及來(lái)自配置和架構(gòu)容器的對(duì)象條目。但一些組類型可能包含對(duì)位于其他域中對(duì)象的引用。Active Directory 如何存儲(chǔ)不在其數(shù)據(jù)表中的對(duì)象的 DNT？答案在于基礎(chǔ)結(jié)構(gòu)主機(jī) FSMO（靈活單主機(jī)操

9、作）角色所有者和稱為幻影對(duì)象的對(duì)象?；糜皩?duì)象當(dāng)將一個(gè)成員從一個(gè)域添加到其他域中的組時(shí)，Active Directory 在數(shù)據(jù)表中自動(dòng)創(chuàng)建一個(gè)稱為幻影的特殊對(duì)象，它包含新成員的 objectGUID、objectSid 和 DN。這提供了可存儲(chǔ)在組的成員屬性中的 DNT。如果域控制器是全局編錄，則將無(wú)需創(chuàng)建幻影，因?yàn)樵谄鋽?shù)據(jù)表中林中每個(gè)對(duì)象都已有一個(gè)條目。擁有基礎(chǔ)結(jié)構(gòu) FSMO 角色的 DC 定期根據(jù)全局編錄檢查其數(shù)據(jù)表中的條目，當(dāng)它發(fā)現(xiàn)有對(duì)象被移動(dòng)、重命名或刪除時(shí)，它將更新數(shù)據(jù)表中的幻影并將更改復(fù)制到域中的其他 DC。根據(jù)引用計(jì)數(shù)，基礎(chǔ)結(jié)構(gòu)主機(jī)還會(huì)刪除域中任何前向鏈接屬性都不再引用的幻影。幻

10、影允許 DC 管理指向林內(nèi)其他域中對(duì)象的引用，但前向鏈接屬性還可以引用林外的對(duì)象 例如受信任的域。在這種情況下，Active Directory 在域 NC 中的 CN=ForeignSecurityPrincipals 容器內(nèi)創(chuàng)建一個(gè)稱為外部安全主體 (FSP) 的對(duì)象。FSP 包含外部對(duì)象的安全標(biāo)識(shí)符 (SID) 和標(biāo)識(shí)外部域中對(duì)象的其他屬性，但沒有流程確保 FSP 保持最新。出于數(shù)據(jù)恢復(fù)的目的，我們將象對(duì)待其他任何 Active Directory 對(duì)象一樣對(duì)待 FSP。刪除對(duì)象在這里，我將焦點(diǎn)主要放在還原用戶及其組成員身份上。但是，同樣的原則也適用于恢復(fù)其他鏈接屬性。當(dāng) Active

11、Directory 刪除一個(gè)對(duì)象時(shí)，它并沒有從 DIT 物理刪除該對(duì)象。相反地，它將該對(duì)象的 isDeleted 屬性設(shè)置為 true 從而將其標(biāo)記為已刪除，這樣使得該對(duì)象對(duì)常規(guī)目錄操作不可見。按照架構(gòu)定義，Active Directory 刪除所有未指定要保存的屬性并將對(duì)象的相對(duì)可分辨名稱 (RDN) 更改為 <old RDN>0aDEL:<objectGUID>。然后，它將對(duì)象移動(dòng)到 NC 的 CN=Deleted Objects 容器。（配置 NC 中有一些對(duì)象類 Active Directory 不移動(dòng)到“已刪除對(duì)象”容器。）Active Directory 刪

12、除任意指向已刪除對(duì)象保留的其他對(duì)象的前向鏈接 這樣在鏈接表中降低了其引用計(jì)數(shù)。如果有其他對(duì)象包含指向現(xiàn)在已刪除對(duì)象的前向鏈接，Active Directory 同樣也會(huì)刪除這些鏈接。得到的對(duì)象稱為 tombstone。Active Directory 將此 tombstone 復(fù)制到其中做了同樣更改的其他 DC。請(qǐng)注意，Active Directory 不會(huì)復(fù)制對(duì)指向已刪除對(duì)象的前向鏈接所做的更改。每個(gè) DC 在本地進(jìn)行同等更改，因此不需要復(fù)制更改。我將在本文稍后的部分討論恢復(fù)組成員身份的后續(xù)結(jié)果。Active Directory 維護(hù) DIT 中邏輯上刪除的對(duì)象由 CN=Directory

13、Service,CN=Windows NT,CN=Services,CN=Configuration,DC=<root domain> 對(duì)象的 tombstoneLifetime 屬性決定。對(duì)每個(gè) DC 的垃圾收集流程將刪除比配置的 tombstone 生存期更老的 tombstone。默認(rèn)情況下，tombstone 生存期對(duì) Windows® 2000、Windows Server 2003 和 Windows Server 2003 R2 是 60 天，對(duì) Windows Server 2003 SP1 是 180 天。Tombstone 生存期對(duì)還原過(guò)程有著重大意義

14、。不能還原比 tombstone 生存期更老的備份。因?yàn)橐褎h除并從域中作為垃圾收集的對(duì)象不再有 tombstone，所以永遠(yuǎn)不會(huì)將刪除操作重新復(fù)制到還原的 DC。接下來(lái)，已刪除的對(duì)象將作為延遲對(duì)象保留在還原的 DC 中，而還原的 DC 將永遠(yuǎn)不能正確地與域中其他 DC 聚合。復(fù)制對(duì)象無(wú)論何時(shí)域控制器執(zhí)行任何類型的更新操作（例如添加對(duì)象或修改屬性）時(shí)，DC 都會(huì)為更新操作分配一個(gè)唯一的 64 位數(shù)字，稱為更新序列號(hào) (USN)。Active Directory 使用 USN 標(biāo)記更新的對(duì)象和屬性以幫助確定是否需要復(fù)制它們。Active Directory 逐個(gè)屬性地復(fù)制對(duì)象。也就是說(shuō)，如果修改一

15、個(gè)對(duì)象的屬性，Active Directory 將只復(fù)制該屬性，而非整個(gè)對(duì)象。要做到這一點(diǎn)，Active Directory 使用復(fù)制元數(shù)據(jù)跟蹤它對(duì)每個(gè)屬性所做的更改。一個(gè)屬性的復(fù)制元數(shù)據(jù)包括： · 本地 USN，標(biāo)識(shí)本地 DC 上的更改操作。 · 引起更改的 DC 的 invocationID（特別是 DC 相應(yīng)的 nTDSSettings 對(duì)象的 invocationID 屬性），標(biāo)識(shí)域控制器上 DIT 的特定生成。 · 源操作位于源 DC 上時(shí)的 USN。 · 時(shí)間戳，包含進(jìn)行源更改時(shí)的 DC 系統(tǒng)時(shí)間。 · 32 位版本序號(hào)，每次值更改

16、時(shí)遞增。當(dāng)目標(biāo) DC 從其源 DC 合作伙伴請(qǐng)求更改時(shí)，它將最近成功進(jìn)行復(fù)制更改的 USN 發(fā)送到源 DC，同時(shí)附帶包含最大源 USN 的最新向量。這些源 USN 是目標(biāo) DC 從每個(gè)具有所復(fù)制 NC 副本的 DC 上所見的最大源 USN 。源 DC 使用此信息以便只發(fā)送目標(biāo) DC 尚未看見的那些更新。當(dāng)目標(biāo) DC 處理傳入的屬性更新時(shí)，它將核對(duì)每個(gè)屬性的版本號(hào)。如果傳入屬性的版本號(hào)大于 DC 已有的該屬性版本，則 DC 將存儲(chǔ)該傳入值。如果傳入版本號(hào)等于 DC 已有的版本，則 DC 將比較時(shí)間戳并使用時(shí)間戳最新的屬性。如果時(shí)間戳相同，目標(biāo) DC 將選擇具有最大 invocationID 的值

17、。這樣可以確保每個(gè) DC 最終為每個(gè)復(fù)制的屬性確定相同的值。鏈接值復(fù)制在 Windows 2000 中，Active Directory 復(fù)制多值屬性的方式與復(fù)制單值屬性相同。這對(duì)那些多值成員屬性可能在不同 DC 上經(jīng)常更改的大型動(dòng)態(tài)組對(duì)象可能帶來(lái)問題。如果一位管理員添加用戶到一個(gè) DC 上的組，而另一位管理員在復(fù)制延遲窗口內(nèi)添加其他用戶到另一個(gè) DC 上的組，則 Active Directory 將選擇后一個(gè)添加并完全丟失前一個(gè)添加。Microsoft 在 Windows Server 2003 中使用一個(gè)稱為鏈接值復(fù)制 (LVR) 的進(jìn)程處理此問題。憑借 Windows Server 20

18、03 林的功能級(jí)別或過(guò)渡林的功能級(jí)別，Active Directory 分別復(fù)制多值前向鏈接屬性的單個(gè)值，每個(gè)值擁有其自己的復(fù)制元數(shù)據(jù)。這有效解決了在 Windows 2000 中發(fā)現(xiàn)的問題，即在不同 DC 上幾乎同步的組成員身份更新可能導(dǎo)致數(shù)據(jù)丟失。但是，有一點(diǎn)需要指出。提升林的功能級(jí)別不會(huì)自動(dòng)使用新的復(fù)制元數(shù)據(jù)修復(fù)現(xiàn)有的多值鏈接屬性。只有那些在提升林的功能級(jí)別之后添加的值才有新的元數(shù)據(jù)。這對(duì)恢復(fù)組成員身份具有重大影響，您很快就會(huì)看到。備份Windows 包括非常基本的 NTBACKUP 實(shí)用程序，可以使用它來(lái)執(zhí)行 DC 的系統(tǒng)狀態(tài)備份。域控制器的系統(tǒng)狀態(tài)包括其注冊(cè)表、SYSVOL、Acti

19、ve Directory DIT 文件和關(guān)鍵系統(tǒng)文件。大多數(shù)第三方備份實(shí)用程序也有備份和還原 DC 系統(tǒng)狀態(tài)的功能。要執(zhí)行對(duì)磁盤文件的系統(tǒng)狀態(tài)備份，請(qǐng)使用以下命令：NTBACKUP backup systemstate /F “<filename>”此處，<filename> 是要?jiǎng)?chuàng)建的備份文件的名稱，應(yīng)使用 .bkf 擴(kuò)展名。執(zhí)行非權(quán)威還原從備份還原已刪除的 Active Directory 對(duì)象分為兩步：首先，重新啟動(dòng) DC 進(jìn)入目錄服務(wù)還原模式 (DSRM)，然后使用 Windows NTBACKUP 實(shí)用程序或同等的第三方產(chǎn)品從系統(tǒng)狀態(tài)備份還原整個(gè) Active

20、 Directory DIT。此過(guò)程將覆蓋整個(gè) DIT。有兩種方法可以啟動(dòng) DC 進(jìn)入 DSRM：如果對(duì) DC 的系統(tǒng)控制臺(tái)有訪問權(quán)限，關(guān)閉并重新啟動(dòng) DC，當(dāng)提示時(shí)按 F8 引出 Windows 啟動(dòng)菜單。從菜單中選擇“目錄服務(wù)還原”然后輸入 DSRM 密碼。如果遠(yuǎn)程管理該服務(wù)器，則不能訪問 Windows 啟動(dòng)菜單。替代方法是，通過(guò)從“我的電腦”選擇“屬性”，單擊“高級(jí)”選項(xiàng)卡，然后按“啟動(dòng)和恢復(fù)”下方的“設(shè)置”按鈕，更改系統(tǒng)啟動(dòng)選項(xiàng)。按“系統(tǒng)”啟動(dòng)區(qū)中的“編輯”按鈕編輯 boot.ini 文件，然后添加開關(guān) /SAFEBOOT:DSREPAIR 到行尾，如圖 3 所示。（有關(guān) boot.

21、ini 開關(guān)的詳細(xì)信息，請(qǐng)參閱 sysinternals/information/bootini.mspx。）圖 3 設(shè)置 DSRM 的啟動(dòng)選項(xiàng) (單擊該圖像獲得較小視圖) 圖 3 設(shè)置 DSRM 的啟動(dòng)選項(xiàng) (單擊該圖像獲得較大視圖) 重新啟動(dòng)服務(wù)器時(shí)，它將在 DSRM 中出現(xiàn)。請(qǐng)記住，當(dāng)您要以正常模式重新啟動(dòng) DC 時(shí)，必須從 boot.ini 刪除 /SAFEBOOT 開關(guān)。一旦使用 DSRM 密碼登錄后，就可以再次使用 NTBACKUP 命令還原系統(tǒng)狀態(tài)備份而無(wú)需指定任何參數(shù)。（不能從命令行使用 NTBACKUP 還原。）當(dāng)向?qū)С霈F(xiàn)時(shí)，選擇“還原文件和設(shè)置”，然后單

22、擊“下一步”。然后選擇備份文件并選中“系統(tǒng)狀態(tài)”框，如圖 4 所示。圖 4 使用“備份或還原向?qū)А边€原系統(tǒng)狀態(tài) (單擊該圖像獲得較小視圖) 圖 4 使用“備份或還原向?qū)А边€原系統(tǒng)狀態(tài) (單擊該圖像獲得較大視圖) 如果想在此時(shí)啟動(dòng) DC 返回正常模式，Active Directory 復(fù)制進(jìn)程將把還原的域控制器帶回與域中其他 DC 的同步當(dāng)中，所有還原的數(shù)據(jù)也將被當(dāng)前數(shù)據(jù)覆蓋。顯然，這不是您的目標(biāo)。相反地，您需要一種方法將被還原的對(duì)象強(qiáng)制復(fù)制到域中的其他域控制器。執(zhí)行權(quán)威還原NTDSUTIL 還會(huì)在備份日期和還原日期之間的每天將每個(gè)屬性的版本號(hào)增加 100,000。除非屬性在

23、一天內(nèi)更新的次數(shù)超過(guò) 100,000 次（極不可能出現(xiàn)的情形），還原屬性的版本號(hào)將遠(yuǎn)大于其他 DC 所持有的版本號(hào)，而權(quán)威還原的對(duì)象將復(fù)制到其他 DC。其他從備份非權(quán)威還原的對(duì)象將最終被其他域控制器的現(xiàn)有數(shù)據(jù)覆蓋。當(dāng)完成非權(quán)威還原后，但重新啟動(dòng)進(jìn)入正常模式之前，使用 NTDSUTIL 程序執(zhí)行要恢復(fù)對(duì)象的權(quán)威還原。無(wú)論名稱如何，權(quán)威還原一個(gè)對(duì)象并不會(huì)“還原”該對(duì)象，它只是確保 Active Directory 將對(duì)象復(fù)制到其他 DC。要做到這一點(diǎn)，NTDSUTIL 將下一個(gè)可用的 USN 分配給對(duì)象屬性的本地 USN。這導(dǎo)致在下一次同步時(shí)將對(duì)象發(fā)送到復(fù)制伙伴。要還原單個(gè)對(duì)象，請(qǐng)確保 DC 以

24、DSRM 模式啟動(dòng)，并按照如下步驟操作：1. 打開命令窗口，鍵入： ntdsutil2. 在 ntdsutil 提示符下鍵入： authoritative restore3. 在權(quán)威還原提示符下鍵入： restore object “<DN of object to be restored>”例如，如果想從 DRNET 域中的 Eng OU 還原 Molly Clark 帳戶，需要輸入： restore object “CN=Molly Clark,OU=Eng,DC=DRNET,DC=com”如果想權(quán)威還原整個(gè)目錄子樹（例如一個(gè) OU），則需要如下輸入： restore subt

25、ree “OU=Eng,DC=DRNET,DC=com”（NTDSUTIL 還提供了一個(gè)還原數(shù)據(jù)庫(kù)命令用于權(quán)威還原整個(gè)域以及配置 NC 和架構(gòu) NC。還原整個(gè)域充滿了危險(xiǎn)，并且我不建議您使用該選項(xiàng)。如果需要還原整個(gè)域，應(yīng)該還原一個(gè)域控制器，然后再次提升域中的其他 DC，如“規(guī)劃 Active Directory 林恢復(fù)”中所述。 4. 當(dāng)提示時(shí)，確認(rèn)權(quán)威還原應(yīng)增加各對(duì)象及其屬性的版本號(hào)。 5. 退出 ntdsutil（需要鍵入 quit 兩次）。 6. 重新啟動(dòng) DC 進(jìn)入正常 Active Directory 模式。下一次當(dāng) DC 與其伙伴進(jìn)行復(fù)制時(shí)，將復(fù)制您還原的用戶。但是還原用戶對(duì)象只解

26、決了問題的一半。當(dāng)引入諸如組及其成員之間的對(duì)象鏈接時(shí)，情況變得更復(fù)雜。在還原期間和還原后可能要面對(duì)一些基礎(chǔ)問題，在下面的幾節(jié)我將繼續(xù)介紹。首先讓我們回顧一下當(dāng)刪除具有后向鏈接的對(duì)象時(shí)發(fā)生的情形。假設(shè)您刪除了一個(gè)用戶對(duì)象，它是一個(gè)組或多個(gè)組的成員。每個(gè)具有該用戶對(duì)象副本的域控制器會(huì)將其轉(zhuǎn)換為一個(gè) tombstone 并從鏈接表中刪除所有引用，因而也從用戶域中的所有組成員身份刪除了該用戶對(duì)象。（請(qǐng)記住，從組成員身份刪除用戶不是復(fù)制的更改，因?yàn)槊總€(gè) DC 都在本地更新了組成員身份。組成員屬性的版本號(hào)和本地 USN 保持不變。）短時(shí)間之后，將從其他域的鏈接表中刪除幻影對(duì)象，再一次不更新組成員屬性的復(fù)制

27、元數(shù)據(jù)。當(dāng)非權(quán)威還原用戶域中域控制器上的 DIT 時(shí)，將恢復(fù)用戶對(duì)象以及域中組內(nèi)的所有組成員身份，因此還原的 DC 是本身一致的。當(dāng)使用 NTDSUTIL 實(shí)用程序權(quán)威還原用戶時(shí)，用戶對(duì)象復(fù)制到域中所有其他 DC。但是因?yàn)橛蛑挟?dāng)前組的復(fù)制元數(shù)據(jù)未改變，還原的 DC 上組的成員屬性與其他 DC 上組的成員屬性不一致。通常情況下沒有可以使之聚合的方法。因此，將不會(huì)在域中其他 DC 上還原用戶的成員身份。問題：域內(nèi)的組成員身份未還原權(quán)威還原用戶對(duì)象不恢復(fù)用戶的組成員身份。為什么？因?yàn)槌蓡T身份關(guān)系使用組對(duì)象的成員屬性（前向鏈接）而非用戶的 memberOf 屬性（后向鏈接）進(jìn)行存儲(chǔ)和復(fù)制。問題是如何查

28、找用戶舊的組成員身份以及在得知其身份后如何正確恢復(fù)它們。Microsoft 對(duì)恢復(fù)用戶組成員身份的進(jìn)程逐漸進(jìn)行改良，因此您所使用的技術(shù)取決于運(yùn)行的 Active Directory 版本。下一節(jié)主要適用于 Windows 2000 Active Directory。確定用戶舊的組成員身份非常簡(jiǎn)單：只需在還原的 DC 上檢查后向鏈接屬性 在這種情況下，是用戶對(duì)象的 memberOf 屬性。memberOf 屬性將包含用戶域中本地組和全局組的所有成員身份?？梢允褂?Active Directory 用戶和計(jì)算機(jī) MMC 管理單元 (ADUC) 或使用 LDIFDE 實(shí)用程序（該程序隨 Window

29、s Server 附帶）列出還原用戶的組成員身份。以下 LDIFDE 命令行將列出 Molly Clark 所屬的 DRNET 域中的組，將結(jié)果存儲(chǔ)在 output.ldf 文件中：C:> ldifde r “(distinguishedName=CN=Molly Clark,OU=Engineering,DC=DRNET,DC=Local)” l memberOf p Base f output.ldf請(qǐng)注意，必須使用任何 LDAP 工具啟動(dòng) DC 進(jìn)入正常模式，并且再次重申，必須禁用入站復(fù)制；否則還原的數(shù)據(jù)將被覆蓋。禁用入站復(fù)制最簡(jiǎn)單的方式是使用 REPADMIN 命令：REPADM

30、IN /options <dcname>+DISABLE_INBOUND_REPL此處，<dcname> 是正在向其還原的 DC 名稱。完成后不要忘記使用 DISABLE_INBOUND_REPL 重新啟用復(fù)制。如果只要恢復(fù)幾個(gè)用戶，方法很簡(jiǎn)單，只需使用 ADUC 手動(dòng)將用戶添加回組。如果要恢復(fù)的用戶數(shù)量較多，可以使用一些工具使某些過(guò)程自動(dòng)化。Microsoft GROUPADD 實(shí)用程序（可從 Microsoft 產(chǎn)品支持服務(wù)獲得）可以接受您創(chuàng)建用來(lái)列出用戶舊的組成員身份的 LDIF 文件，并依次生成一個(gè)重新創(chuàng)建這些成員身份的 LDIF 文件。例如，可以使用此 GRO

31、UPADD 命令處理我們?cè)谇拔氖纠袨?Molly Clark 創(chuàng)建的 LDIF 文件：C:> groupadd /after_restore output.ldf此命令將以名稱 groupadd_<domain>.ldf（其中 <domain> 是將更新其組的域的完全限定域名）為 Molly Clark 在其中具有組成員身份的每個(gè)域創(chuàng)建一個(gè)新的 LDIF 文件。可以使用如下命令導(dǎo)入上面創(chuàng)建的 LDIF 文件：C:> ldifde i k f groupadd_.ldf對(duì)于 Windows Server 2003，Microsoft 改進(jìn)了 NTDSUTIL

32、，利用成員屬性中出現(xiàn)的其他元數(shù)據(jù)支持鏈接值復(fù)制 (LVR)。如果還原的用戶對(duì)象曾經(jīng)是域中任何組的成員，而用戶的組成員身份使用 LVR 元數(shù)據(jù)存儲(chǔ)，則 NTDSUTIL 將增加成員屬性相應(yīng)值的版本號(hào)，從而引起還原的成員身份復(fù)制。Windows Server 2003 SP1 的 NTDSUTIL 版本集成了 GROUPADD 功能，可以在執(zhí)行用戶對(duì)象的權(quán)威還原時(shí)自動(dòng)創(chuàng)建 LDIF 文件。圖 5 所示為一個(gè) NTDSUTIL 新版本，圖 6 所示為自動(dòng)創(chuàng)建的 LDIF 文件的內(nèi)容。圖 5 內(nèi)置 GROUPADD 功能的新 NTDSUTIL (單擊該圖像獲得較小視圖) 圖 5 內(nèi)

33、置 GROUPADD 功能的新 NTDSUTIL (單擊該圖像獲得較大視圖) 如果要還原一個(gè)包含很多用戶和組的整個(gè) OU，手動(dòng)將用戶添加回其所在的組是很麻煩的?；謴?fù)還原的組成員身份的另一個(gè)方法是權(quán)威還原組本身。但是權(quán)威還原組有兩個(gè)問題。第一個(gè)問題是相當(dāng)明顯的：如果還原組，該組中的成員身份將恢復(fù)到其在備份時(shí)的狀態(tài)。這意味著自從上一次備份以來(lái)所做的所有更改都必須重新應(yīng)用于該組。第二個(gè)問題有些微妙，必須按 Active Directory 復(fù)制的方式處理。在權(quán)威還原用戶和組后，無(wú)法確保它們復(fù)制的順序。如果一個(gè)組對(duì)象在還原的用戶對(duì)象之前復(fù)制到 DC，則復(fù)制的域控制器將自動(dòng)從組刪除該用戶引用，因?yàn)樵撚脩?/p>

34、對(duì)象尚未存在于該 DC 上。當(dāng)稍后用戶對(duì)象復(fù)制時(shí)，不會(huì)將其添加到組。解決此問題最簡(jiǎn)單的方法是再對(duì)組執(zhí)行一次權(quán)威還原。執(zhí)行首次權(quán)威還原后，重新啟動(dòng)進(jìn)入正常模式并確保復(fù)制正確進(jìn)行。然后重新啟動(dòng)返回到 DSRM 并運(yùn)行 NTDSUTIL 執(zhí)行用戶所屬組的權(quán)威還原。這是為了確保當(dāng)啟動(dòng)返回到正常模式時(shí)，用戶對(duì)象將在引用它的組對(duì)象復(fù)制之前完成復(fù)制。問題：其他域內(nèi)的組成員身份未還原“此用戶屬于哪個(gè)組”問題實(shí)際上比我介紹的更困難。要還原的用戶可能同時(shí)是本地域和其他域中通用組的成員，而進(jìn)行非權(quán)威還原時(shí)，不會(huì)還原那些組成員身份。因此您如何得知用戶屬于其他域中的什么組呢？答案就在全局編錄中。除自身域的數(shù)據(jù)外，全局編

35、錄還包含林中其他域數(shù)據(jù)的只讀副本。要利用全局編錄的林范圍數(shù)據(jù)，必須對(duì)全局編錄執(zhí)行非權(quán)威還原，這意味著您必須以備份全局編錄開始?，F(xiàn)在，當(dāng)您運(yùn)行 LDIFDE 標(biāo)識(shí)用戶的組成員身份時(shí)，就可以從其他域中找出用戶的通用組成員身份。當(dāng)您列出要恢復(fù)的用戶的組成員身份時(shí)，連接到全局編錄端口 3268 而不是默認(rèn)的 389，然后指定林的根域作為搜索基準(zhǔn)。LDIFDE 將顯示恢復(fù)的用戶的組成員身份，包括其在林中所有域內(nèi)的通用組中的成員身份。以下是操作方法：C:> ldifde r “(distinguishedName=CN=Don Clark,OU=Engineering,DC=DRNET,DC=Loc

36、al)” -t 3268 l memberOf p Base f output.ldf如果在全局編錄上運(yùn)行 GROUPADD 或新的 NTDSUTIL，將會(huì)生成一個(gè)用戶域的 LDIF 文件，并為還原用戶所屬通用組所在的每個(gè)域生成一個(gè) LDIF 文件。當(dāng)導(dǎo)入這些 LDIF 文件時(shí)，將還原該用戶所有的組成員身份。好了，差不多了 接著討論下一個(gè)問題。問題：恢復(fù)其他域中的域本地組成員身份在 Windows Active Directory 環(huán)境中有三種組。全局組只能包含同一個(gè)域中的成員，但可以用作其自身域和林中其他域的域本地組內(nèi)的成員。全局組的成員屬性不出現(xiàn)在全局編錄中，但這不是問題，因?yàn)槿纸M只能包

37、含來(lái)自其自身域的成員。通用組可以包含來(lái)自任何域的成員，可以用作林中其他通用組的成員以及用作其自身域和林中其他域的域本地組的成員。通用組的成員屬性復(fù)制到全局編錄。域本地組可以包含來(lái)自林中任意域的成員，但不能用作其他域中組的成員。更重要的是，域本地組的成員屬性和全局組的成員屬性一樣，不出現(xiàn)在全局編錄中。結(jié)果導(dǎo)致恢復(fù)其他域中域本地組的用戶成員身份很困難。在 Windows Server 2003 SP1 之前，恢復(fù)外部域中域本地組成員身份的唯一方式是在每個(gè)域中還原 DC，手動(dòng)搜索包含該還原用戶的所有域本地組的域數(shù)據(jù)，然后將用戶添加回標(biāo)識(shí)的組。在一個(gè)擁有眾多域的大型環(huán)境中，這樣會(huì)耗時(shí)太多。Window

38、s Server 2003 SP1 版本的 NTDSUTIL 可以幫助處理。當(dāng)在域控制器上運(yùn)行 NTDSUTIL 時(shí)，該實(shí)用程序創(chuàng)建一個(gè)包含還原的用戶對(duì)象的 DN 和 GUID 的文本文件。然后，對(duì)于每個(gè)外部域，可以非權(quán)威還原單個(gè) DC，將該文本文件復(fù)制到 DC，然后運(yùn)行 NTDSUTIL 生成特定于域的新 LDIF 文件，將恢復(fù)的用戶添加回其所屬的域本地組。要做到這一點(diǎn)，請(qǐng)?jiān)诿總€(gè)外部域的 DC 上執(zhí)行以下步驟： 1. 啟動(dòng)外部域中的 DC 進(jìn)入 DSRM。 2. 使用 NTBACKUP 還原包含還原用戶的組成員身份的 DIT 副本。 3. 將 NTDSUTIL 創(chuàng)建的 .txt 文件復(fù)制到當(dāng)

39、前 DC。 4. 打開命令窗口，鍵入 ntdsutil。 5. 鍵入 authoritative restore。 6. 鍵入 create LDIF file(s) from <file name>（其中，<file name> 是文本文件的名稱）。 7. 鍵入 quit 兩次以退出 ntdsutil。 8. 重新啟動(dòng) DC 進(jìn)入正常 Active Directory 模式。 9. 鍵入 ldifde i f <ldif filename>（其中，<ldif filename> 是剛才創(chuàng)建的 LDIF 文件的名稱）?，F(xiàn)在，您已經(jīng)還原了所有刪除用

40、戶的組成員身份。循序漸進(jìn)恢復(fù) Active Directory 用戶及其組成員身份（尤其是在一個(gè)多域環(huán)境中）是很復(fù)雜的。正確恢復(fù)組成員身份所需的具體步驟取決于運(yùn)行的 Windows 版本。如果運(yùn)行的是 Windows 2003 SP1，則需要采取如下步驟： 1. 啟動(dòng) GC 進(jìn)入 DSRM 并使用包含刪除用戶的備份執(zhí)行系統(tǒng)狀態(tài)還原。 2. 使用 NTDSUTIL 執(zhí)行已刪除用戶的權(quán)威還原。NTDSUTIL 將創(chuàng)建一個(gè)包含還原對(duì)象 DN 和 GUID 的文本文件以及一個(gè)或多個(gè) LDIF 文件來(lái)還原用戶的組成員身份。 3. 使用 LDIFDE i f <LDIF filename>（其中，<LDIF filename> 是步驟 2 中創(chuàng)建的 LDIF 文件的名稱）將組成員身份導(dǎo)入當(dāng)前域和其他域。 4. 重新啟動(dòng)全局編錄進(jìn)入正常模式。 5. 在每個(gè)外部域的 DC 上，啟動(dòng)進(jìn)入 DSRM 并使用包含還原用戶的組成員身份的備份執(zhí)行系統(tǒng)狀態(tài)還原。 6. 使用創(chuàng)建 ldif 文件命令運(yùn)行 NTDSUTIL。 7. 重新啟動(dòng) DC 進(jìn)入正常