Active Directory授权还原
额外域控制器有很多好处,例如可以平衡用户对AD的访问压力,有利于避免唯一的域控制器损坏所导致域的崩溃。域内所有的域控制器都有一个内容相同的Active Directory,而且Active Directory的内容是动态平衡的,也就是说任何一个域控制器修改了Active Directory,其他的域控制器都会把这个Active Directory的变化复制过去。
如果域中有多个域控制器,但他们所拥有的Active Directory内容不一致,那么应该以哪个域控制器的Active Directory内容为准?有的朋友可能会疑惑,怎么会出现这种情况呢?其实假如有个域控制器由于更换硬件导致有几天时间没有在线,而其他的域控制器在这段时间对Active Directory进行了修改,那么当这个域控制器重新上线时就会出现我们所提到的这种情形。
当域控制器们发现彼此的Active Directory的内容不一致,他们就需要分析一下Active Directory的优先级,从而决定以哪个域控制器的Active Directory内容为准。Active Directory的优先级比较主要考虑三方面因素,分别是:
1 版本号
2 时间
3 GUID
版本号指的是Active Directory对象的修改次数,版本号高者优先。例如域中有两个域控制器A和B,A域控制器上的用户administrator口令被修改了4次,最后被改为12345;B域控制器上的用户administrator口令被修改了5次,最后被改为123456。那么A和B发现他们的Active Directory中administrator口令不一致,这时A和B会分析版本号,发现版本号分别是4和5,这时A就会把B的Active Directory内容复制到本机的Active Direcotry中。经过这么一轮复制后,A和B的Active Directory内容就达到了新的平衡,他们Active Directory中所有对象的版本号也都完全一致了。
如果A和B两个域控制器都是对administrator口令修改了4次,那么版本号就是相同的。这种情况下两个域控制器就要比较时间因素,看哪个域控制器完成修改的时间靠后,时间靠后者优先。这里我们顺便提及一下,Active Directory中时间是个非常重要的因素,域内计算机的时间误差不能超过5分钟,而且Active Directory还有一个墓碑时间的限制,这些我们以后再详细加以说明。
如果A和B两个域控制器的版本号和时间都完全一致,这时就要比较两个域控制器的GUID了,显然这完全是个随机的结果。一般情况下时间完全相同的非常罕见,因此GUID这个因素只是一个备选方案。
说了这么多的Active Directory优先级原理,我们引入一个具体的例子让大家加深理解。如下图所示,域中有两个域控制器DC1和DC2。现在域中有一个用户张建国,我们在DC2上对Active Directory已经进行了备份。现在我们在DC1上不小心把张建国误删除了,显然DC2会很快把Active Directory中的张建国也删除,以便和DC1的Active Directory保持一致。那么我们应该怎么做才能把张建国给恢复回来呢?
很多朋友会很自然地想到利用DC2上的Active Directory备份来解决这个问题,既然备份中有张建国,那么把备份还原回来不就OK了吗?这个问题没这么简单,如果域中只有一个域控制器,那么用备份还原是成立的。但现在域中有两个域控制器,我们就要好好考虑一下了。DC2从备份还原后,DC1和DC2的Active Directory内容就不一样了,那么DC1和DC2的Active Directory哪个优先级更高呢?哦,不对,似乎是DC1的版本号更高一些!那我们就可以从理论上得出结论,DC2从备份还原之后,Active Directory中已经拥有了张建国的用户账号,但DC2和DC1比较了Active Directory之后,DC2认为DC1的Active Directory比自己的优先级高,因此DC2会把DC1的Active Directory复制过来,这样一来,刚被还原的张建国肯定会被重新删除掉!
难道我们对此就无能为力了吗?不是的,在DC2从备份还原Active Directory之后,我们可以利用一个工具NTDSUTIL.EXE来修改Active Directory对象的版本号,让DC2的版本号大于DC1的版本号,这样我们就可以利用游戏规则顺利地达到目的了。这种还原方式我们称为授权还原,下面我们通过一个实例为大家演示一下具体过程。
现在的场景是DC2已经对Active Directory进行了备份,备份中包含了域用户张建国。在备份之后我们误删除了张建国,现在我们在DC2上开始利用备份进行主要还原。首先在DC2上重启计算机,BIOS自检后按下F8,如下图所示,选择进入目录服务还原模式。目录服务还原模式可以把Active Directory挂起,适合我们从备份还原Active Directory。
进入目录服务还原模式后,我们从附件中启动备份工具,如下图所示,选择下一步继续。
选择还原文件和设置。
选择从备份还原Active Directory。
点击确定开始Active Directory的还原。
如下图所示,还原结束后,千万别选择重启计算机,我们还没有修改Active Directory的版本号呢,确保选择“否”。
还原结束后在Firenze的命令提示符下运行NTDSUTIL,如下图所示。
运行了NTDSUTIL后,我们可以输入?来获取当前环境下的可执行命令帮助,如下图所示,我们运行Authoritative restore来修改AD对象的版本号。
如下图所示,我们可以简单地运行restore database,这样整个AD内所有对象的版本号都将加到最大,版本号加到最大是什么含义呢?微软规定,AD对象的版本号每天最多可以增加10万。在本例中我们不需要把AD中所有对象的版本号都增加到最大,只要修改张建国的版本号就可以了。因此我们可以使用Restore Object命令只针对张建国的版本号进行修改,那如何在AD中表示张建国呢?按照目录对象的命名规范,张建国隶属于ADTEST.COM域中的人事部组织单位,那我们描述张建国就应该使用cn=张建国,ou=人事部,dc=adtest,dc=com。如下图所示,我们输入修改指令后观察一下运行的效果。
系统询问是否执行授权还原,我们选择“是”。
如下图所示,授权还原成功完成,用quit命令退出NTDSUTIL。
授权还原结束后我们重启DC2,如下图所示,DC2的AD中已经重新拥有了用户张建国,修改版本号成功了。
转载于:https://blog.51cto.com/sunsrv/865189
Active Directory授权还原相关推荐
- 如何在 Active Directory 中还原已删除的用户帐户及其组成员身份
http://support.microsoft.com/kb/840001/zh-cn 转载于:https://blog.51cto.com/weili163/411980
- Active Directory系列之五:Active Directory的主要还原
Active Directory的授权还原 在上篇博文中我们介绍了如何在域中部署额外域控制器,额外域控制器有很多好处,例如可以平衡用户对AD的访问压力,有利于避免唯一的域控制器损坏所导致域的崩溃.从上 ...
- Active Directory网域
Active Directory网域 3.1Windows网络的管理方式 3.1.1工作组模式 工作组由一组用网络连接在一起的计算机组成,他们将计算机内的资源共享给用户访问.工作组网络也被称为&quo ...
- active directory教程入门
转贴自http://gnaw0725.blogbus.com/logs/17762337.html#cmt active directory教程入门.对于刚接触活动目录的朋友们来说, 寻找一份适合ac ...
- Active Directory 对象授权还原
对于还原对象,如果未启用回收站,在多DC得环境下,会出现刚恢复的对象,过一会有被自动删除了,那是因为该DC 1.执行对系统状态的备份,具体步骤参考:Active Directory 备份 2.删除&q ...
- 转载:AD的授权还原和主还原:深入浅出Active Directory系列(六)
自:http://www.it2bug.com/htm/doc/w001/ad/p1/f3.htm 企业应用环境中,如果存在多台域控制器,标准还原就显的比较尴尬了.事实上标准还原往往需要和授权还原以及 ...
- Active Directory备份与还原
Active Directory备份与还原 吴玉章 在之前的博文中和大家介绍了如何搭建活动目录域服务,但是大家要知道一个一个企业的AD中可能盛放着上千条用户信息,一旦域控制器出现错误可能会直接导致整个 ...
- AD的备份与标准还原:深入浅出Active Directory系列(四)
大家常常听说过数据库的备份和还原,比如Sql Server ,Oracel等数据库的备份和还原.OK,我们这一节讨论Active Directory数据库的备份和还原. Act ...
- USG 授权认证为Active Directory的问题总结
一.试验环境 IP地址 备注 Win server 2019 2.2.2.2 AWS上的一台Active Directory域主机 USG6300 1.1.1.1 华为USG 防火墙 以上IP地址1. ...
最新文章
- 优雅地处理重复请求(并发请求)——附Java实现
- 问题集锦(21-25)
- 入选2021全球青年领袖榜单,蚂蚁何征宇的技术人生
- android自定义弹出对话框,使用FlyDialog实现自定义Android弹窗对话框
- Java笔记06-Map集合
- json在线解析工具大集合
- 制作linux usb安裝,如何在Linux上安装和使用Etcher来制作Linux临场USB
- APPLE苹果电子设备模型样机|展示你的专业设计最佳选择
- 企业信息化必看,跨国集团采购部门的报表系统是怎样的
- Julia 语言可重用性高竟源于缺陷和不完美?
- iOS 协议 委托 代理 delegate
- 204. Count Primes 1
- 我自己对于Netty的疑问
- 某热门单击手游lua解密.md
- EasyStreamClient对接海康流媒体V4.X——SDK对接关键函数记录
- 调试svo 中遇到的问题
- 新坑 GAN神经网络
- 阿里巴巴 面试 java_阿里巴巴面试经验
- Python之自制二维码
- c语言赋值运算与除法运算顺序,C语言运算符的优先级和结合律
热门文章
- Ananagrams Uva 156
- vivo C/C++工程师 HR视频面试问题总结20180807
- ubuntu上有个小项目 ,需要调用xx.sh脚本, 出现无法识别 某些环境变量的解决办法,仅供参考
- python 使用 os的 popen(‘命令’) 如果命令行输出中 有中文乱码, 提示 'gbk' 无法解析的错误 解决办法
- Python内置数据类型之Dict
- 百度、华为、京东、B站最新面试题汇集,实战篇
- laravel数据库相关操作说明
- 被未知进程占用端口的解决办法
- (poj)1064 Cable master 二分+精度
- 关于meta便签详解