AD Administrative Snap-ins AndTools
常用AD管理組件和工具
一、活動目錄的管理插件有如下:
Active Directory Users and Computers
Active Directory Domains and Trusts
Active Directory Sites and Services
Active Directory Schema
Active Directory Service Interfaces (ADSI)
二、活動目錄修改及查詢命令
dsadd命令(創建活動目錄對象):用於在AD中創建OU、用戶、組、聯繫人等對象,但是不能對AD中的對象進行修改,下面逐一進行介紹。
1、創建組織單位:
命令格式:dsadd ou<OUDN> [-desc 描述] [{-s 服務器|-d 域}] [-u 用戶名] [-p {密碼|*}] [-q] [{-uc|-uoc|-uci}]
注意:OU名稱應爲要創建的OU的LDAP絕對路徑(DN,Distinguished Name),如果DN中包含空格,應該在路徑兩端使用雙引號。
例如要在yjx.com域中建立一個名爲finance的OU,可以執行以下命令:
C:\>dsadd ou ou=finance,dc=yjx,dc=com-desc "財務部"
2、創建域用戶帳戶
命令格式:dsadduser <UserDN> [-samid <SAMName>] -pwd {<Password>|*} –upn UPN
例如要在yjx.com域中建立一個名爲mike的用戶帳戶,該用戶將位於sales OU中,其顯示名稱爲“mike yang”,則可以執行以下命令:
C:\>dsadd usercn=mike,ou=sales,dc=yjx,dc=com -samid mike -pwd benet3.0 -display “mike yang”
3、創建計算機帳戶
命令格式:dsaddcomputer <ComputerDN>
要在yjx.com域中的sales OU中建立一個名爲client-2的計算機帳戶,可以執行以下命令:
C:\>dsadd computercn=client-2,ou=sales,dc=yjx,dc=com
要在yjx.com域中的sales OU中建立一個名爲client-3的計算機帳戶,並設置計算機賬戶的描述信息爲“測試工作站”,可以執行以下命令:
C:\>dsadd computercn=client-3,ou=sales,dc=yjx,dc=com -desc 測試工作站
4、創建聯繫人
命令格式:dsaddcontact <ContactDN> [-fn <FirstName>] [-mi <Initial>] [-ln<LastName>] [-display <DisplayName>] [-desc <Description>]
要在yjx.com域中的sales OU中建立一個名爲楊建新的聯繫人,執行以下命令:
C:\>dsadd contact cn=楊建新,ou=sales,dc=yjx,dc=com -fnjianxin -ln yang -display 楊建新
dsmod命令(修改活動目錄對象):用於修改AD對象的屬性,可以對OU、用戶、組、聯繫人等對象進行修改。
C:\>dsmod user /?
描述: 修改目錄中現有的用戶。
語法: dsmod user <UserDN ...> [-upn <UPN>] [-fn <FirstName>]
[-mi <Initial>] [-ln <LastName>] [-display <DisplayName>]
[-fnp <first name phonetic>] [-lnp <last name phonetic>]
[-displayp <display name phonetic>]
[-empid <EmployeeID>] [-pwd {<Password> | *}]
[-desc <Description>] [-office <Office>] [-tel <Phone#>]
[-email <Email>] [-hometel <HomePhone#>] [-pager <Pager#>]
[-mobile <CellPhone#>] [-fax <Fax#>] [-iptel <IPPhone#>]
[-webpg <WebPage>] [-title <Title>] [-dept <Department>]
[-company <Company>] [-mgr <Manager>] [-hmdir <HomeDir>]
[-hmdrv <DriveLtr>:] [-profile <ProfilePath>]
[-loscr <ScriptPath>] [-mustchpwd {yes | no}]
[-canchpwd {yes | no}] [-reversiblepwd {yes | no}]
[-pwdneverexpires {yes | no}]
[-acctexpires <NumDays>] [-disabled {yes | no}]
[{-s <Server> | -d <Domain>}] [-u <UserName>]
[-p {<Password> | *}] [-c] [-q] [{-uc | -uco | -uci}]]
幾個具體用法如下:
重置用戶帳戶的密碼
dsmod user UserDN -pwd 新密碼 [-mustchpwd {yes | no}] 下次登錄時修改此密碼
啓用或禁用賬戶
dsmod user UserDN 可分辨名稱 -disabled {yes|no} yes 禁用 no 啓用
修改計算機帳戶屬性的格式爲:
dsmod computer ComputerDN ...[-descDescription] [-loc Location] [-disabled {yes | no}] [-reset] [{-s Server | -dDomain}] [-u UserName] [-p {Password | *}] [-c] [-q] [{-uc | -uco | -uci}]
重設計算機帳戶
dsmod computer ComputerDN -reset
啓用或禁用計算機帳戶
dsmod computer ComputerDN 可分辨名稱 -disabled {yes|no} yes 禁止登錄 no 允許登錄
將計算機帳戶添加到組中
dsmod group GroupDN -addmbr ComputerDN
要創建一個sales全局組,並將用戶mike加入到該組中,可以執行以下命令:
C:\>dsadd groupcn=sales,ou=sales,dc=yjx,dc=com -desc 銷售部
dsadd 成功:cn=sales,ou=sales,dc=yjx,dc=com
C:\>dsmod groupcn=sales,ou=sales,dc=yjx,dc=com -addmbr cn=mike,ou=sales,dc=yjx,dc=com
dsmod 成功:cn=sales,ou=sales,dc=yjx,dc=com
dsget命令(查看活動目錄對象的屬性):用於查看AD對象的各個屬性,基本用法如下:
l dsget computer - 顯示目錄中計算機的屬性。
l dsget contact - 顯示目錄中聯繫人的屬性。
l dsget subnet - 顯示目錄中子網的屬性。
l dsget group - 顯示目錄中組的屬性。
l dsget ou - 顯示目錄中組織單位的屬性。
l dsget server - 顯示目錄中服務器的屬性。
l dsget site - 顯示目錄中站點的屬性。
l dsget user - 顯示目錄中用戶的屬性。
l dsget quota - 顯示目錄中配額的屬性。
l dsget partition - 顯示目錄中分區的屬性。
以下命令分別用來查看用戶的基本信息、SID、顯示名稱以及所屬的組:
C:\>dsget user cn=mike,ou=sales,dc=yjx,dc=com
dn desc samid
cn=mike,ou=sales,dc=yjx,dc=com mike
dsget 成功
C:\>dsget usercn=mike,ou=sales,dc=yjx,dc=com -sid
sid
S-1-5-21-91321346-2733940933-1992975926-1120
dsget 成功
C:\>dsget user cn=mike,ou=sales,dc=yjx,dc=com-display
display
mike yang
dsget 成功
C:\>dsget usercn=mike,ou=sales,dc=yjx,dc=com -memberof
"CN=sales,OU=sales,DC=yjx,DC=com"
"CN=DomainUsers,CN=Users,DC=yjx,DC=com"
其他命令(dsquery、dsmove、dsrm)
其他的活動目錄操作命令還包括dsquery、dsmove、dsrm等,分別用於活動目錄對象的查詢、移動和刪除。
要查找sales OU中的所有用戶,可以執行以下命令:
C:\>dsquery user ou=sales,dc=yjx,dc=com-name *
"CN=mike,OU=sales,DC=yjx,DC=com"
"CN=user1,OU=sales,DC=yjx,DC=com"
"CN=user2,OU=sales,DC=yjx,DC=com"
要查找sales OU中已經3個星期不活動的用戶,可以執行以下命令:
C:\>dsquery user ou=sales,dc=yjx,dc=com-inactive 3
要將mike用戶移動到finance OU中,可以執行以下命令:
C:\>dsmovecn=mike,ou=sales,dc=yjx,dc=com -newparent ou=finance,dc=yjx,dc=com
dsmove 成功:cn=mike,ou=sales,dc=yjx,dc=com
要刪除sales OU中的用戶user1,可以執行以下命令:
C:\>dsrm cn=user1,ou=sales,dc=yjx,dc=com
您確認要刪除cn=user1,ou=sales,dc=yjx,dc=com 嗎(Y/N)? y
dsrm 成功:cn=user1,ou=sales,dc=yjx,dc=com
三、批量導入導出命令(csvde、ldifde)
使用csvde和ldifde命令可以批量導入活動目錄對象,也可以將活動目錄的內容導出,從而節省創建活動目錄對象的時間。其中csvde命令使用.csv文件格式,即使用逗號分隔符的文本文檔。
csvde命令用來添加AD用戶帳號(或其他對象),但不能更改、刪除對象,其的基本語法:
csvde [-i] [-f FileName][-s ServerName] [-c String1 String2] [-v] [-j Path][-t PortNumber] [-d BaseDN] [-r LDAPFilter] [-p Scope][-l LDAPAttributeList] [-o LDAPAttributeList] [-g] [-m] [-n] [-k] [-a UserDistinguishedName Password][-b UserName Domain Password]
-i:指定導入模式。如果未指定導入模式,則默認模式爲導出。
-f FileName
標識導入或導出文件名。
-s ServerName
指定域控制器執行導入或導出操作。
-v
設置詳細模式。
-j Path
設置日誌文件位置。默認路徑爲當前路徑。
-d BaseDN
爲數據導出設置搜索基礎的可分辨名稱。
-k
在導入操作期間忽略錯誤並繼續處理。以下是已忽略錯誤的完整列表:
對象已存在。
約束衝突。
屬性或值已存在。
-a UserDistinguishedName Password
將該命令設置成使用提供的UserDistinguishedName 和 Password 來運行。默認情況下,將使用當前登錄到網絡的用戶的憑據運行該命令。
-b UserName Domain Password
將該命令設置爲作爲UserName Domain Password 運行。默認情況下,將使用當前登錄到網絡的用戶的憑據運行該命令。
例如,要導出sales OU中的對象,並指定日誌路徑爲c:\,可以執行以下命令:
C:\>csvde -f c:\sales.csv -dou=sales,dc=yjx,dc=com -j c:\
連接到“(null)”
用 SSPI 作爲當前用戶登錄
將目錄導出到文件c:\sales.csv
搜索項目...
寫出項目
.........
導出完畢。後續處理正在進行...
導出了 9 個項目
命令已成功完成
導出結果如下:
從圖中可以瞭解到該csv文件的格式,第一行爲標題行,列出了對象的各個屬性名稱,從第二行開始位各個對象的屬性值,屬性值一定要與標題行中的屬性名稱對應。
如果要使用csvde命令批量建立幾個用戶:hellen、linda、ruthy,可以用記事本程序編寫內容如下所示:
DN,objectClass,sAMAccountName,displayName
"CN=HELLEN,OU=SALES,DC=yjx,DC=com",USER,HELLEN,恩倫
"CN=LINDA,OU=SALES,DC=yjx,DC=com",USER,LINDA,林達
"CN=RUTHY,OU=SALES,DC=yjx,DC=com",USER,RUTHY,魯西
然後運行以下命令:
C:\>csvde -i -f c:\sales.csv -j c:\ -k
連接到“(null)”
用 SSPI 作爲當前用戶登錄
從“c:\sales.csv”文件導入目錄
加載條目....
成功地修改了 3 個條目。
命令已成功完成
注意:導入後的用戶帳戶的是禁用狀態,由於csvde導入方式建立用戶帳戶無法爲用戶設置密碼屬性,而不設置密碼的話則會違反密碼複雜性策略,因此無法將用戶狀態設置爲啓用。
ldifde命令可以完成AD對象的導入導出,增加、刪除,並且提供更多的功能。但是ldifde命令使用的文本文件格式與csvde有所不同。其基本格式爲:
ldifde [-i] [-f FileName] [-s ServerName][-c String1 String2] [-v] [-j Path] [-t PortNumber][-d BaseDN] [-r LDAPFilter] [-p Scope][-l LDAPAttributeList] [-o LDAPAttributeList] [-g] [-m] [-n] [-k][-a UserDistinguishedName Password][-b UserName Domain Password] [-?]
其常用選項的功能爲:
l -i 打開 Import 模式 (默認爲 Export)
l -ffilename 輸入或輸出文件名
l -s servername 要綁定到的服務器名稱(默認爲登錄域的 DC)
l -c FromDN ToDN 從 FromDN 到 ToDN 發生的取代
l -v 打開 Verbose 模式
l -j 日誌文件的位置
l -t 端口號(默認爲 389)
l -u 使用 Unicode 格式
l -? 幫助
例如要在sales OU中建立三個用戶帳戶:user1、user2、user3,需要先建立一個文本文件。我們在c:\下建立文件users.txt,內容如下:
dn: CN=user1,OU=Sales,DC=yjx,DC=com
changetype: add
objectclass:user
samaccountName:user1
displayName:user1
dn: CN=user2,OU=Sales,DC=yjx,DC=com
changetype: add
objectclass:user
samaccountName:user2
displayName:user2
dn: CN=user3,OU=Sales,DC=yjx,DC=com
changetype: add
objectclass:user
samaccountName:user3
displayName:user3
文本文件建立完成後,執行命令如下:
C:\>ldifde -i -f c:\users.txt -k -j c:\
連接到“dc1.yjx.com”
用 SSPI 作爲當前用戶登錄
從“c:\users.txt”文件導入目錄
加載條目....
成功地修改了 3 個條目。
命令已成功完成
四、活動目錄維護工具(ntdsutil)
活動目錄數據庫文件組成
在對活動目錄數據進行維護之前,先複習一下活動目錄數據庫文件的組成。
活動目錄創建時默認的數據庫及事務日誌的存放路徑是C:\Windows\NTDS,我們打開域控制器的資源管理器,定位到C:\Windows\NTDS目錄下,文件列表如下圖所示。其中的NTDS.DIT是活動目錄的數據庫文件,EDB.LOG是事務日誌文件,事務日誌文件記錄了數據庫內容的變更,非常重要。默認的事務日誌文件大小隻有10M,如果事務日誌文件已經記錄滿了,系統就會自動地生成edb00001.log用以繼續存儲事務日誌,如果edb00001.log也存滿了,就會接下來生成edb00002.log,以此類推。順便提一下,在生產環境下,我們應該把數據庫文件和事務文件分開存儲,這樣既可以提高性能,也可以增加數據安全性。
EDB.CHK是事務日誌的檢查點文件,記錄了硬盤上的活動目錄和內存中活動目錄在內容上的差異,一般此文件用於活動目錄的初始化或還原。Edbres00001.jrs和Edbres00002.jrs是系統保留的事務日誌文件,這兩個文件一共佔用了20M空間,主要目的就是爲了給活動目錄的事務日誌預留20M空間,避免當硬盤空間用完後無法正常關機。
Ntdsutil命令基本用法
ntdsutil是一個用於活動目錄數據庫維護的交互式工具,可以完成活動目錄數據庫文件的壓縮、移動,授權還原,操作主機角色的轉移和佔用以及恢復目錄服務還原模式密碼等。在Windows Server 2008中,還可以用來製作活動目錄的安裝媒體(存儲活動目錄數據庫內容,可以複製到U盤、CD、DVD等媒介,用於在其他服務器上安裝額外域控)。關於操作主機角色的操作以及活動目錄的授權還原,教材已經有詳細描述,此處不再贅述。
在命令行界面中輸入ntdsutil命令,可以進入該工具的交互式操作界面。輸入?可以獲取該工具的幫助信息,如下所示:
C:\>ntdsutil
ntdsutil: ?
? - 顯示這個幫助信息
Activate Instance%s - 設置“NTDS”或特定的 AD LDS 實例
作爲活動實例。
Authoritativerestore - 授權還原 DIT 數據庫
Change Service Account %s1 %s2 - 將 AD DS/LDS 服務帳戶更改爲
用戶名爲 %s1,密碼爲 %s2。
使用“NULL”表示空密碼,* 表示
從控制檯輸入密碼。
ConfigurableSettings - 管理可配置的設置
DSBehavior - 查看和修改 ADDS/LDS 行爲
Files - 管理 AD DS/LDS 數據庫文件
Group Membership uation -評估給定用戶或
組的令牌中的 SID。
Help - 顯示這個幫助信息
IFM - IFM 媒體創建
LDAP policies - 管理 LDAP 協議策略
LDAP Port%d - 爲 AD LDS 實例配置 LDAP 端口。
ListInstances - 列出該計算機上安裝的
所有 AD LDS 實例。
LocalRoles - 本地 RODC 角色管理
Metadatacleanup - 清理不使用的服務器的對象
Partitionmanagement - 管理目錄分區
Popupsoff - 禁用彈出
Popupson -啓用彈出
Quit - 退出實用工具
Roles - 管理 NTDS 角色所有者令牌
Security accountmanagement - 管理安全帳戶數據庫 - 複製
SID 清理
Semantic databaseanalysis - 語法檢查器
Set DSRM Password - 重置目錄服務還原模式
Administrator
帳戶密碼
Snapshot - 快照管理
SSL Port%d - 爲 AD LDS 實例配置 SSL 端口。
ntdsutil:
從前面的幫助內容可以看到ntdsutil工具的功能非常多,但是好在幫助信息很完整,大部分操作都可以通過幫助信息的指導來完成。
修改目錄服務還原模式密碼
要恢復當前域控制器的目錄服務還原模式密碼,可以根據提示輸入命令“Set DSRM Password”,然後繼續輸入?來獲取幫助信息,並根據提示進行操作。具體操作如下:
ntdsutil: set dsrm password
重置 DSRM 管理員密碼: ?
? - 顯示這個幫助信息
Help - 顯示這個幫助信息
Quit - 返回到上一個菜單
Reset Password on server%s - 在指定 AD DC/LDS 實例上重置目錄服務還原模式 Administrator 帳戶密碼。本地計算機使用 NULL。
Sync from domain account%s - 從該 ActiveDirectory 域的指定用戶名 %s 到本地計算機的目錄服務還原模式 Administrator 帳戶執行一次密碼同步。
注意: 如果目標 AD DC/LDS 實例當前處於目錄服務還原模式,則您不能使用 ntdsutil 重置或同步此密碼。
重置 DSRM 管理員密碼: reset password on serverdc1.yjx.com
請鍵入 DS 還原模式 Administrator 帳戶的密碼: ********
請確認新密碼:********
密碼設置成功。
重置 DSRM 管理員密碼: quit
ntdsutil:
維護活動目錄數據庫文件
要對活動目錄的數據庫文件進行操作,可以在ntdsutil工具中輸入命令files。但是要執行這個操作,需要進入目錄服務還原模式。重新啓動域控制器,並且在啓動時及時按下F8鍵,啓動完成後使用目錄服務還原模式密碼登錄到系統上。
當活動目錄數據庫文件尺寸變得很大時,可以通過壓縮數據庫文件獲得更多的磁盤空間。而且在壓縮數據庫文件時,會執行數據庫中活動目錄對象的重新組織,從而減少數據庫文件中的碎片。關於活動目錄數據庫中碎片的產生,與磁盤碎片的產生原理基本一致。對於碎片的整理,分爲聯機碎片整理和脫機碎片整理兩種情況。聯機整理的好處是不必關閉目錄服務,可以在目錄服務正常運行時執行,默認情況下每12小時會自動進行1次聯機整理。脫機碎片整理需要進入目錄服務還原模式,會影響目錄服務的正常運行,但是會獲得更好的整理效果,可以通過壓縮數據庫來完成脫機碎片整理。
注意:爲了保證更好的安全性,建議在壓縮數據庫文件之前對活動目錄進行備份。
以下爲執行數據庫文件壓縮的操作命令:
ntdsutil: activate instance ntds
活動實例設置爲“ntds”。
ntdsutil: files
file maintenance: compact to c:\
正在啓動碎片整理模式...
源數據庫: C:\Windows\NTDS\ntds.dit
目標數據庫: c:\ntds.dit
Defragmentation Status (% complete)
0 10 20 30 40 50 60 70 80 90 100
|--------|-------|-------|------|-------|-------|-------|-------|-------|------|
....................................................................................................
建議您立即執行該數據庫的完整備份。如果您先恢復備份,然後
才進行碎片整理,則會將數據庫回滾到備份時其所處的狀態。
壓縮成功。您需要執行下列操作:
複製 "c:\ntds.dit" "C:\Windows\NTDS\ntds.dit"
並刪除舊的日誌文件:
del C:\Windows\NTDS\*.log
壓縮完成後,輸入兩次quit命令退出ntdsutil。根據前面的提示使用壓縮後的活動目錄數據庫文件覆蓋原有的c:\windows\ntds\ntds.dit文件,並刪除c:\windows\ntds目錄中所有的日誌文件。完成這些操作後,正常重新啓動計算機即可。
有時出於某些原因還可以移動活動目錄數據庫文件及其日誌文件,操作步驟類似於前面對數據庫文件的壓縮。在ntdsutil工具的files模式下,使用以下命令可以完成數據庫文件以及日誌文件的移動:
file maintenance:move db to f:\ntds
file maintenance: move logs to f:\ntds
製作安裝媒體
在當前域控制器上製作安裝媒體,可以用於其他域控制器的安裝。要製作安裝媒體,可以運行ntdsutil命令,並在激活實例後進入ifm模式。具體操作如下:
ntdsutil: activate instance ntds
活動實例設置爲“ntds”。
ntdsutil: ifm
ifm: create full c:\dcmedia
正在創建快照...
成功生成快照集{ac585818-3f68-493c-bcf3-7c17a37d9ff9}。
快照{b34b9aa0-af0d-4e39-9b80-f01e76ee2541} 已作爲 C:\$SNAP_200910181130_VOLUMEC
$\ 裝載
已裝載快照{b34b9aa0-af0d-4e39-9b80-f01e76ee2541}。
正在啓動碎片整理模式...
源數據庫:C:\$SNAP_200910181130_VOLUMEC$\Windows\NTDS\ntds.dit
目標數據庫: c:\dcmedia\ActiveDirectory\ntds.dit
Defragmentation Status (% complete)
0 10 20 30 40 50 60 70 80 90 100
|--------|-------|-------|------|-------|-------|-------|-------|-------|------|
....................................................................................................
正在複製註冊表文件...
正在複製c:\dcmedia\registry\SYSTEM
正在複製c:\dcmedia\registry\SECURITY
快照{b34b9aa0-af0d-4e39-9b80-f01e76ee2541} 已卸載。
在 c:\dcmedia 中成功創建 IFM 媒體。
ifm: quit
ntdsutil: quit
上述命令“createfull c:\dcmedia”中full的意思是建立可寫域控的安裝媒體,如果製作的安裝媒體用來安裝RODC,將full替換爲rodc即可。完成以上操作後,可以將c:\dcmedia目錄中的所有數據複製到U盤、CD、DVD等各種存儲媒介中。
其他命令待續。。。
Active Directory的還原
AD的修理和恢復
1、AD的維護和修復,都是通過一個命令行工具--NTDSUTIL來實現的。修復命令爲:
ntdsutil
repair
2、AD的恢復
恢復模式:AD有兩種恢復模式--授權恢復和非授權恢復,其區別在於:
1)授權恢復:當其他的域控制器包含了無效的複製和數據時,可以採用授權恢復方式,這種情況下,你可以手工指定你要恢復整個數據庫或某個分支,並指定本地的恢復操作是權威的。所謂的權威,就是當發生目錄複製時,以本地數據爲準。授權恢復要修改AD的升級序號,這樣它的序號就高於其他的DC了,從而使本地的恢復數據能複製給其他的DC。
2)非授權恢復:大多數的恢復操作都是非授權的。當你發現一臺DC的數據有問題,而確信其他的DC數據是正常的,就可以使用非授權恢復。恢復完成後,DC會重新比較升級序號並參與正常的複製。也就是說,通過非授權恢復的數據可能在複製中被再次改寫。
注意點:
如果你沒有達到以下要求,恢復操作必定失敗
*服務器名趁應和備份時一樣
*系統文件夾所在驅動器應與備份時相同
*目錄保存路徑應和備份時相同
3、恢復的操作
1)非授權恢復:啓動DC,進入”目錄恢復模式“,執行備份的還原操作。
2)授權恢復:在執行完非授權恢復後,繼續以下操作:
*ntdsutil
authoritativerestore
restoredatabase
該命令將授權還原整個數據庫,如果只想還原某個分支,可以用:
restoresubtree ou=eng,dc=mycompany,dc=com
系統提示是否正確,回答YES。
quit退出。
注意:在恢復完成後,系統會自動的提示是否需要重新啓動服務器,授權恢復一定要選擇”NO“,否則一旦服務器重新啓動,本次授權恢復就會變成非授權恢復了。另外,需要注意的是,授權恢復一同還原了SYSVOL文件目錄,當計算機帳戶沒有禁用時,系統會每7天查詢確認一次計算機密碼,授權恢復同樣也還原了這一信任密碼,有可能會導致計算機信任關係丟失,這也需要注意。
4、AD的災難性恢復處理
1)重新安裝恢復AD
還原AD的最簡單方法是重新安裝操作系統,重新提升DC。這樣就產生了一個新的DC,但要考慮一個問題,如果原DC的數據已經損壞,我們將無法使用DCPROMO命令刪除該DC上的AD數據,這樣就可能導致AD數據的不同步性,而且更糟糕的是,在AD用戶和計算機的管理單元裏,你也不能刪除DC對象。這是你只能從”AD站點和服務“裏先刪除該服務器,才能刪除該DC。如果你不幸的需要新的DC和原來的DC一樣的名字,那麼你必須先使用NTDSUTIL命令刪除AD裏的對象信息後,才能建立新的DC。具體操作如下:
ntdsutil
metadatacleanup
connections
connectto server <good dc>
quit
selectoperation target
listsite
selectsite <ID>
listdomains
selectdomain <ID>
listservers in site
selectserver <bad dc>
removeselected server
以上命令,就可以刪除壞掉的DC信息。更詳細的資料,請參考NTDSUTIL的幫助,執行NTDSUTIL ?即可閱讀幫助信息。
注意:在刪除原DC之前,應確認原DC上不包含任何角色,如果有,請使用NTDSUTIL命令奪取角色,方法如下:
ntdsutil
roles
Seizedomain naming master - 在已連接的服務器上改寫域角色
Seizeinfrastructure master - 在已連接的服務器上改寫結構角色
SeizePDC - 在已連接的服務器上改寫 PDC 角色
SeizeRID master - 在已連接的服務器上改寫 RID 角色
Seizeschema master - 在已連接的服務器上改寫架構角色
被奪取角色的DC在沒有重新安裝操作系統前,不能重新連入網絡!!
2)從備份中還原AD
從備份文件恢復AD是非常適合的。但要注意使用的還原模式,如果因恢復錯誤操作的信息,應記得使用授權恢復模式。
注意點:
*過期的備份:前面我們提到,AD的備份不能還原60天前的數據,如果你需要還原60天的備份,需要按KB216993要求修改全局標記時間後才能還原。其的位置在AD裏的
CN=DirectoryService,CN=Windows NT,CN=Services,CN=Configuration,DC=COMPANY,DC=COM,名稱爲:tombstoneLifetime,該操作需要直接編輯AD數據,可使用ADSI,LDP等工具。
注意:請慎重操作!
*不同硬件下還原:通常情況,不建議你將AD的備份還原到不同的硬件上,除非你確認新機器和原機器的硬件基本一直,並使用同樣的硬件抽象層文件(HAL)。
*遠程備份和還原:在BOOT.INI文件後,可以加上/safeboot:dsrepair命令選項,引導遠程機器進入恢復模式。
結語
本文簡單的描述了活動目錄的整體概念和基本理論,並重點闡述了AD的備份和恢復技巧和操作,以及災難性的恢復手段。
附錄:NTDSUTIL的幫助
ntdsutil:?
?- 打印這個幫助信息
Authoritativerestore - 權威性的恢復 DIT 數據庫
Domainmanagement - 準備新域創建
Files- 管理 NTDS 數據庫文件
Help- 打印這個幫助信息
IPDenyList - 管理 LDAP IP 否認列表
LDAPpolicies - 管理 LDAP 協議策略
Metadatacleanup - 清理不使用的服務器的對象
Popups%s - 用“on”或“off”啓用或禁用彈出
Quit- 退出實用程序
Roles- 管理 NTDS 角色所有者令牌
Securityaccount management - 管理安全帳戶數據庫 - 複製 SID 清理
Semanticdatabase analysis - 語法檢查器
dcdiag:用於測試域控制器狀態的分析工具
例如dcdiag /v(檢測活動目錄的狀態,並且打印出詳細的分析報告)
dcdiag /test:dns(用於測試DNS的狀態)
adprep:用於更新現有AD架構與屬性擴展工具
2000域升級到2003
adprep /forestprep
adprep /domainprep
nslookup:用於查詢域名系統的命令行工具
nslookup -d www.microsoft.com
打印出解析microsoft域名地址的全過程,及DNS記錄生命週期。
replmon:圖形界面的AD複製工具
運行,輸入repmlon
GPResult:查看組策略結果工具
C:\Documents and Settings\Administrator>GPResult
Microsoft (R) Windows (R) 操作系統組策略結果工具 v2.0
版權所有 (C) Microsoft Corp。1981-2001
創建於 2007-12-1,18:09:28
JASON\admin 的 RSOP 數據,位於 JASON 上:登錄模式
--------------------------------------------------
OS 類型: Microsoft(R) Windows(R) Server 2003, Enterpris
OS 配置: 獨立服務器
OS 版本: 5.2.3790
終端服務器模式: 遠程管理
站點名稱: 暫缺
漫遊配置文件:
本地配置文件: C:\Documents andSettings\Administrator
使用慢速鏈接?: 否
計算機設置
-----------
上一次應用組策略的時間: 於2007-12-1,17:49:31
應用的組策略來源於: 暫缺
組策略慢速鏈接閥值: 500 kbps
域名:
域類型: WindowsNT 4
已應用的組策略對象
-------------------
Local Group Policy
此計算機是下列安全組的一部分
----------------------------
BUILTIN\Administrators
Everyone
NT AUTHORITY\Authenticated Users
用戶設置
---------
上一次應用組策略的時間: 於2007-12-1,17:39:35
應用的組策略來源於: 暫缺
組策略慢速鏈接閥值: 500 kbps
域名: JASON
域類型: <本地計算機>
已應用的組策略對象
-------------------
暫缺
下列組策略對象被篩選排除,因此沒有應用
---------------------------------------
Local Group Policy
正在篩選: 沒有應用(空)
用戶是下列安全組的一部分
------------------------
None
Everyone
BUILTIN\Administrators
BUILTIN\Users
NT AUTHORITY\INTERACTIVE
NT AUTHORITY\Authenticated Users
This Organization
LOCAL
NTLM Authentication
set logon server:查看當前用戶登錄的那臺服務器。如果用戶是域用戶,將顯示出用戶所登錄到的域控制器。