在企業中,域控制器的數據安全是極其重要的,爲了不讓根DC掛掉,我們還應考慮給根DC架設額外DC,以達到冗餘的特性,但是,我們知道額外DC的數據都來自根DC ,那麼當根DC的數據一旦被篡改或刪除了,若是沒有備份,是很難恢復的,所以我們應及時對根DC做好日常備份。
我們先對根DC的數據做一次備份:
開始—運行—ntbackup
讓我選擇備份的內容
選中SYSTEM STATE
先不要點完成,選中高級。
點擊完成,就開始備份了。
等備份完了,我們來假設一個場景:***來了,並刪除了根DC上所有的用戶信息。刪除OU綜合事務部。
這個時候,根DC會在15秒以後向額外DC發佈一個“變化通告”,額外DC進行同步複製,額外DC上備份的對象也被刪除。
值得注意的是,這個時候額外DC上的用戶(如張三)的版本號比原來增加了1,在用戶信息被***刪除之前,根DC和額外DC的版本號是一致的,也就是說,原根DC的版本號比現額外域的版本號少1。試想,假設我們將根DC上備份的數據還原之後,會出現什麼情況呢。很顯然,根DC和額外DC的版本號會發生衝突,那麼在域架構中,是以版本號高的域控制器爲準的,就算管理員進行了非授權還原,重啓後,額外DC還是會通告根DC,刪除所有對象!還原基本上是無效的!
那麼要解決上述問題,根DC必須在進行非授權還原以後同時進行授權還原!
什麼是“非授權還原”,什麼又是“授權還原”呢?
a.非授權還原
直接將備份的AD數據還原至當前AD狀態,該操作會覆蓋當前AD的數據庫
b. 授權還原
對特定的對象進行授權還原(自動在該對象的版本號上加100000)
注意:要執行授權還原,必須先執行非授權還原,但不要重啓,而直接執行授權還原。
好了,明白了這些,下面我就來進行數據還原了。
1.重啓根DC ,開機按F8進入“目錄還原模式”.(這個時候,AD是不工作的)
下面就要輸入“還原密碼”了,這個還原密碼就是當初我們在建立DC的時候輸入的密碼還原密碼,所以這個密碼就是在這個時候用到的,一定要記牢。
2.進入目錄模式之後,我們運行那個備份文件就可以進行非授權還原了。
選擇還原嚮導。
選擇System state
選擇高級
點擊完成,就可以進行還原了。
在完成之後,會提示是否重啓系統,一定要點擊“否”。
3.授權還原。
運行cmd,輸入命令ntdsutil
輸入:authoritation restore
選擇授權還原一個子樹目錄。還原被***刪除的那個OU
提示是否執行授權還原,點擊“是”。
前面說了,執行了授權還原,版本號會比原來增加10000
執行授權還原後,重啓。重啓後,被刪除的用戶又恢復了。
實驗結束。
PS: 如果根DC上備份後又修改過組策略, 在進行非授權還原後,組策略不會自動與後來修改過的組策略進行關聯,必須手動將修改過的組策略覆蓋至相應的原備份組策略的文件目錄。