我們上一篇文章中,已經介紹了非授權還原,爲了把授權還原的概念講清楚,所以將其分爲上下兩部分進行介紹:
下面我們來進行授權還原,這時候有個同學要問了,既然已經恢復了活動目錄(用非授權還原,爲什麼還要進行授權還原呢)下面我們來舉個例子進行說明,之後women
介紹一下墓碑時間:
授權還原
假如域內有2臺域控制器,在域控制器server1(域中的第1臺域控制器)上我們做過備份,但是突然今天不小心把server1上“北京分公司”這個OU或者“北京分公司”中的某個用戶帳戶“Terry”刪除了,變動以後的數據會通過AD的複製功能複製到域控制器server2上,即在域控制器server2上“北京分公司”這個OU 或“Terry”賬戶也會被刪除。此時我們會想到,利用正常還原在server1進行還原,將“北京分公司”這個OU 或“Terry”賬戶恢復。不錯,我們確實可以在server1還原“北京分公司”這個OU 或“Terry”賬戶,可是我們雖然在server1上還原了“北京分公司”這個OU 或“Terry”賬戶,但在server2上“北京分公司”這個OU 或“Terry”賬戶已經被標記爲“已刪除”的對象,那麼當下一次server1和server2之間執行AD複製的操作時,server1中被還原的“北京分公司”這個OU 或“Terry”賬戶會被再次刪除,因爲對於域控制器來說,server2上被標識爲“已刪除”的“北京分公司”這個OU 或“Terry”賬戶的版本號較高,而server1中剛剛還原的“北京分公司”這個OU 或“Terry”賬戶是舊的數據,其版本號較低。而域控制中當兩個對象有衝突時,版本號較高的對象會覆蓋掉版本號較低的對象。此時我們不僅需要在server1上執行正常還原,而且還需要接着執行授權還原,以便使server上剛剛被還原的舊“北京分公司”這個OU 或“Terry”賬戶的版本號增加,而且這個增加是從上一次備份當天到這次授權還原爲止,每天會增加100000次,這樣授權還原就會保障server1中還原的舊數據的本版號總比server2中被標記爲“已刪除”的對象的版本號高。這樣當server1和server2做AD複製時,就會還原舊的“北京分公司”這個OU 或“Terry”賬戶。呵呵,這段有點長,但我想我講明白了。
我們來接着上一步進行授權還原,當我們進行非授權還原之後,會提示我們進行重啓,此時不要重啓,接下來我們操作的就是授權還原,我們可以恢復指定的用戶:
在server1的“目錄服務還原模式”下,“開始”->“運行”->輸入cmd打開命令提示符窗口->輸入ntdsutil啓動ntdsutil.exe程序。如下圖
步驟6:我們輸入?號來獲取當前ntdsutil命令的幫助,這裏我們需要確認要恢復的數據庫文件,輸入命令Authoritative Instance NTDS,然後我們這裏需要Authoritative restore來授權還原數據庫(其實就是修改AD對象的版本號),所以接着輸入Authoritative restore命令,如下圖
步驟7:在“Authoritative restore:”提示符下,針對域中contoso.com內的“北京分公司”下的“研發部”OU執行授權還原。所以我們輸入:
Restore subtree OU=研發部,OU=北京分公司,DC=contoso,DC=com。
然後按“回車”,接會彈出授權還原確認對話框。整個過程如下圖
步驟8:開始授權還原“研發部”OU,過程如下圖
步驟9:我們接着還原“alice”用戶賬戶,在“Authoritative restore:”提示符下繼續輸入:Restore subtree CN=alice,OU=銷售部,OU=北京分公司,DC=contoso,DC=com。
然後按“回車”,接會彈出授權還原確認對話框。整個過程如下圖。
步驟10:開始授權還原“銷售部”OU下的“alice”用戶賬戶,過程如下圖
步驟11,分別在“Authoritative restore:”和“ntdsutil:”提示符下輸入quit退出授權還原,授權還原完成。接着重啓server1。
步驟12,重啓server1之後,server1和server2之間進行復制,需要花費一點時間。最終我們在server1和server2上看到了我們還原後的數據。
到此爲止,我們的授權還原也已經完成了;
更改TombstoneLifeTime時間
當一個對象被刪除的時候,它並不是立刻徹底消失了。事實上,此時對象只是成一個被標記爲“墓碑記錄”的記錄。當經過默認的TombstoneLifeTime(墓碑生存週期)180天后,這個記錄纔會從AD數據庫徹底刪除,所以默認情況,我們只能還原180天之內的記錄。但我們可以通過手動修改TombstoneLifeTime時間,來恢復指定時間的AD數據庫備份。(注意以前版本的操作系統中TombstoneLifeTime默認時間爲60天)
運行ADsiedit.msc,依次進行如下圖選擇設置
![clip_p_w_picpath002[6]](https://s1.51cto.com/attachment/201111/28/2025333_1322443547fH8S.jpg "clip_p_w_picpath002[6]")
![clip_p_w_picpath004[7]](https://s1.51cto.com/attachment/201111/28/2025333_1322443548Hvy5.jpg "clip_p_w_picpath004[7]")