确定对象修改的域控

在域的multiple master环境中,任何的一台域控都可读写的,当然除了RODC外。在一个典型的域环境中,有N台域控,有M个站点,这里我们提一个有趣的问题,就是如果我们更改其中的一个对象属性,那么我们如何知道这个操作发生在哪个域控之上呢?

要回答这样的一个问题,我们可能先得解答另外的一个问题,那就是为什么要知道相应的操作发生在哪个域控上?这个很好理解,对于一些安全策略严格的环境,或是排错的环境,我们可能要去跟踪或是记录这样的一些信息,有助于我们去完成相应的安全目标或是排错任务。

好了,接下来的,就是我们如何知道对象属性的更改发生在哪一个域控上呢?看似一个复杂的问题,但我们要明白一点,这个信息记录在对象的meta信息之上的,微软提供了相应的工具,能让我们执行一键查询,搞定它,这个命令就是repadmin,我们要做的就是执行

repadmin /showobjectmeta dc1.contoso.com objectcn

其中dc1.contoso.com就是执行此操作的计算机当前站点有的域服务器,而objectcn,就是需要查询的对象的CN名,给个截图吧,看清楚明白点

在图中,通过起始DSA就可以看出相应的属性是由哪台域控做的更改。

事情发展到这里,是不是该团圆大结局了。现实不是粤语长片,还有一点波折。我们还得注意一个属性,就是当用户密码修改时,问题处理起来又有一些不一样了。

当用户的密码做了修改,同样是需要复制到其它服务器的,密码做修改时,它主要更改了以下的几个属性

 dBCSPwd
unicodePwd
ntPwdHistory
pwdLastSet
lmPwdHistory
supplementalCredentials

密码一旦做了修改,那么它是通过紧急复制这样一种机制首先复制到PDC,而PDC会把前五个属性的起始DSA更改为PDC自己,完成PDC的复制后,调转头来,PDC开始了正常的站点内和站点间的复制规则,把这些值复制给包括源更改域控在内的域中所有域控。所以我们要追踪密码更改或是重置发生在哪台域控上,得查看最后一个值。

本文出自 “I AM A VM” 博客,谢绝转载!

你可能感兴趣的:(对象,职场,休闲)