使用卷影拷贝提取ntds.dit

一、简介

　　通常情况下，即使拥有管理员权限，也无法读取域控制器中的C:\Windows\NTDS\ntds.dit文件。使用windows本地卷影拷贝服务，就可以获得该文件的副本。

　　在活动目录中，所有的数据都保存在ntds.dit中。ntds.dit是一个二进制文件，存储位置为域控制器的%SystemRoot%\ntds\ntds.dit。ntds.dit中包含用户名、散列值、组、GPP、OU等与活动目录相关的信息。它和SAM文件一样，是被操作系统锁定的。在一般情况下系统运维人员会利用卷影拷贝服务（volume Shadow Copy Server，VSS）实现ntds.dit的拷贝，VSS本质上属快照（Snamshot）技术的一种，主要用于备份和恢复（即使目标文件被系统锁定）。

二、实验

1.通过ntdsutil.exe提取ntds.dit

创建快照

ntdsutil snapshot "activate instance ntds" create quit quit

挂载快照

ntdsutil snapshot "mount {da243bc6-2278-44b4-9155-ed8a2e1e36fc}" quit quit

复制ntds.dit

c