AD Administrative Snap-ins And Tools
AD Administrative Snap-ins AndTools
常用AD管理组件和工具
一、活动目录的管理插件有如下:
Active Directory Users and Computers
Active Directory Domains and Trusts
Active Directory Sites and Services
Active Directory Schema
Active Directory Service Interfaces (ADSI)
二、活动目录修改及查询命令
dsadd命令(创建活动目录对象):用于在AD中创建OU、用户、组、联系人等对象,但是不能对AD中的对象进行修改,下面逐一进行介绍。
1、创建组织单位:
命令格式:dsadd ou<OUDN> [-desc 描述] [{-s 服务器|-d 域}] [-u 用户名] [-p {密码|*}] [-q] [{-uc|-uoc|-uci}]
注意:OU名称应为要创建的OU的LDAP绝对路径(DN,Distinguished Name),如果DN中包含空格,应该在路径两端使用双引号。
例如要在yjx.com域中建立一个名为finance的OU,可以执行以下命令:
C:\>dsadd ou ou=finance,dc=yjx,dc=com-desc "财务部"
2、创建域用户帐户
命令格式:dsadduser <UserDN> [-samid <SAMName>] -pwd {<Password>|*} �Cupn UPN
例如要在yjx.com域中建立一个名为mike的用户帐户,该用户将位于sales OU中,其显示名称为“mike yang”,则可以执行以下命令:
C:\>dsadd usercn=mike,ou=sales,dc=yjx,dc=com -samid mike -pwd benet3.0 -display “mike yang”
3、创建计算机帐户
命令格式:dsaddcomputer <ComputerDN>
要在yjx.com域中的sales OU中建立一个名为client-2的计算机帐户,可以执行以下命令:
C:\>dsadd computercn=client-2,ou=sales,dc=yjx,dc=com
要在yjx.com域中的sales OU中建立一个名为client-3的计算机帐户,并设置计算机账户的描述信息为“测试工作站”,可以执行以下命令:
C:\>dsadd computercn=client-3,ou=sales,dc=yjx,dc=com -desc 测试工作站
4、创建联系人
命令格式:dsaddcontact <ContactDN> [-fn <FirstName>] [-mi <Initial>] [-ln<LastName>] [-display <DisplayName>] [-desc <Description>]
要在yjx.com域中的sales OU中建立一个名为杨建新的联系人,执行以下命令:
C:\>dsadd contact cn=杨建新,ou=sales,dc=yjx,dc=com -fnjianxin -ln yang -display 杨建新
dsmod命令(修改活动目录对象):用于修改AD对象的属性,可以对OU、用户、组、联系人等对象进行修改。
C:\>dsmod user /?
描述: 修改目录中现有的用户。
语法: dsmod user <UserDN ...> [-upn <UPN>] [-fn <FirstName>]
[-mi <Initial>] [-ln <LastName>] [-display <DisplayName>]
[-fnp <first name phonetic>] [-lnp <last name phonetic>]
[-displayp <display name phonetic>]
[-empid <EmployeeID>] [-pwd {<Password> | *}]
[-desc <Description>] [-office <Office>] [-tel <Phone#>]
[-email <Email>] [-hometel <HomePhone#>] [-pager <Pager#>]
[-mobile <CellPhone#>] [-fax <Fax#>] [-iptel <IPPhone#>]
[-webpg <WebPage>] [-title <Title>] [-dept <Department>]
[-company <Company>] [-mgr <Manager>] [-hmdir <HomeDir>]
[-hmdrv <DriveLtr>:] [-profile <ProfilePath>]
[-loscr <ScriptPath>] [-mustchpwd {yes | no}]
[-canchpwd {yes | no}] [-reversiblepwd {yes | no}]
[-pwdneverexpires {yes | no}]
[-acctexpires <NumDays>] [-disabled {yes | no}]
[{-s <Server> | -d <Domain>}] [-u <UserName>]
[-p {<Password> | *}] [-c] [-q] [{-uc | -uco | -uci}]]
几个具体用法如下:
重置用户帐户的密码
dsmod user UserDN -pwd 新密码 [-mustchpwd {yes | no}] 下次登录时修改此密码
启用或禁用账户
dsmod user UserDN 可分辨名称 -disabled {yes|no} yes 禁用 no 启用
修改计算机帐户属性的格式为:
dsmod computer ComputerDN ...[-descDescription] [-loc Location] [-disabled {yes | no}] [-reset] [{-s Server | -dDomain}] [-u UserName] [-p {Password | *}] [-c] [-q] [{-uc | -uco | -uci}]
重设计算机帐户
dsmod computer ComputerDN -reset
启用或禁用计算机帐户
dsmod computer ComputerDN 可分辨名称 -disabled {yes|no} yes 禁止登录 no 允许登录
将计算机帐户添加到组中
dsmod group GroupDN -addmbr ComputerDN
要创建一个sales全局组,并将用户mike加入到该组中,可以执行以下命令:
C:\>dsadd groupcn=sales,ou=sales,dc=yjx,dc=com -desc 销售部
dsadd 成功:cn=sales,ou=sales,dc=yjx,dc=com
C:\>dsmod groupcn=sales,ou=sales,dc=yjx,dc=com -addmbr cn=mike,ou=sales,dc=yjx,dc=com
dsmod 成功:cn=sales,ou=sales,dc=yjx,dc=com
dsget命令(查看活动目录对象的属性):用于查看AD对象的各个属性,基本用法如下:
l dsget computer - 显示目录中计算机的属性。
l dsget contact - 显示目录中联系人的属性。
l dsget subnet - 显示目录中子网的属性。
l dsget group - 显示目录中组的属性。
l dsget ou - 显示目录中组织单位的属性。
l dsget server - 显示目录中服务器的属性。
l dsget site - 显示目录中站点的属性。
l dsget user - 显示目录中用户的属性。
l dsget quota - 显示目录中配额的属性。
l dsget partition - 显示目录中分区的属性。
以下命令分别用来查看用户的基本信息、SID、显示名称以及所属的组:
C:\>dsget user cn=mike,ou=sales,dc=yjx,dc=com
dn desc samid
cn=mike,ou=sales,dc=yjx,dc=com mike
dsget 成功
C:\>dsget usercn=mike,ou=sales,dc=yjx,dc=com -sid
sid
S-1-5-21-91321346-2733940933-1992975926-1120
dsget 成功
C:\>dsget user cn=mike,ou=sales,dc=yjx,dc=com-display
display
mike yang
dsget 成功
C:\>dsget usercn=mike,ou=sales,dc=yjx,dc=com -memberof
"CN=sales,OU=sales,DC=yjx,DC=com"
"CN=DomainUsers,CN=Users,DC=yjx,DC=com"
其他命令(dsquery、dsmove、dsrm)
其他的活动目录操作命令还包括dsquery、dsmove、dsrm等,分别用于活动目录对象的查询、移动和删除。
要查找sales OU中的所有用户,可以执行以下命令:
C:\>dsquery user ou=sales,dc=yjx,dc=com-name *
"CN=mike,OU=sales,DC=yjx,DC=com"
"CN=user1,OU=sales,DC=yjx,DC=com"
"CN=user2,OU=sales,DC=yjx,DC=com"
要查找sales OU中已经3个星期不活动的用户,可以执行以下命令:
C:\>dsquery user ou=sales,dc=yjx,dc=com-inactive 3
要将mike用户移动到finance OU中,可以执行以下命令:
C:\>dsmovecn=mike,ou=sales,dc=yjx,dc=com -newparent ou=finance,dc=yjx,dc=com
dsmove 成功:cn=mike,ou=sales,dc=yjx,dc=com
要删除sales OU中的用户user1,可以执行以下命令:
C:\>dsrm cn=user1,ou=sales,dc=yjx,dc=com
您确认要删除cn=user1,ou=sales,dc=yjx,dc=com 吗(Y/N)? y
dsrm 成功:cn=user1,ou=sales,dc=yjx,dc=com
三、批量导入导出命令(csvde、ldifde)
使用csvde和ldifde命令可以批量导入活动目录对象,也可以将活动目录的内容导出,从而节省创建活动目录对象的时间。其中csvde命令使用.csv文件格式,即使用逗号分隔符的文本文档。
csvde命令用来添加AD用户帐号(或其他对象),但不能更改、删除对象,其的基本语法:
csvde [-i] [-f FileName][-s ServerName] [-c String1 String2] [-v] [-j Path][-t PortNumber] [-d BaseDN] [-r LDAPFilter] [-p Scope][-l LDAPAttributeList] [-o LDAPAttributeList] [-g] [-m] [-n] [-k] [-a UserDistinguishedName Password][-b UserName Domain Password]
常用参数
-i:指定导入模式。如果未指定导入模式,则默认模式为导出。
-f FileName
标识导入或导出文件名。
-s ServerName
指定域控制器执行导入或导出操作。
-v
设置详细模式。
-j Path
设置日志文件位置。默认路径为当前路径。
-d BaseDN
为数据导出设置搜索基础的可分辨名称。
-k
在导入操作期间忽略错误并继续处理。以下是已忽略错误的完整列表:
对象已存在。
约束冲突。
属性或值已存在。
-a UserDistinguishedName Password
将该命令设置成使用提供的UserDistinguishedName 和 Password 来运行。默认情况下,将使用当前登录到网络的用户的凭据运行该命令。
-b UserName Domain Password
将该命令设置为作为UserName Domain Password 运行。默认情况下,将使用当前登录到网络的用户的凭据运行该命令。
例如,要导出sales OU中的对象,并指定日志路径为c:\,可以执行以下命令:
C:\>csvde -f c:\sales.csv -dou=sales,dc=yjx,dc=com -j c:\
连接到“(null)”
用 SSPI 作为当前用户登录
将目录导出到文件c:\sales.csv
搜索项目...
写出项目
.........
导出完毕。后续处理正在进行...
导出了 9 个项目
命令已成功完成
导出结果如下:
从图中可以了解到该csv文件的格式,第一行为标题行,列出了对象的各个属性名称,从第二行开始位各个对象的属性值,属性值一定要与标题行中的属性名称对应。
如果要使用csvde命令批量建立几个用户:hellen、linda、ruthy,可以用记事本程序编写内容如下所示:
DN,objectClass,sAMAccountName,displayName
"CN=HELLEN,OU=SALES,DC=yjx,DC=com",USER,HELLEN,恩伦
"CN=LINDA,OU=SALES,DC=yjx,DC=com",USER,LINDA,林达
"CN=RUTHY,OU=SALES,DC=yjx,DC=com",USER,RUTHY,鲁西
然后运行以下命令:
C:\>csvde -i -f c:\sales.csv -j c:\ -k
连接到“(null)”
用 SSPI 作为当前用户登录
从“c:\sales.csv”文件导入目录
加载条目....
成功地修改了 3 个条目。
命令已成功完成
注意:导入后的用户帐户的是禁用状态,由于csvde导入方式建立用户帐户无法为用户设置密码属性,而不设置密码的话则会违反密码复杂性策略,因此无法将用户状态设置为启用。
ldifde命令可以完成AD对象的导入导出,增加、删除,并且提供更多的功能。但是ldifde命令使用的文本文件格式与csvde有所不同。其基本格式为:
ldifde [-i] [-f FileName] [-s ServerName][-c String1 String2] [-v] [-j Path] [-t PortNumber][-d BaseDN] [-r LDAPFilter] [-p Scope][-l LDAPAttributeList] [-o LDAPAttributeList] [-g] [-m] [-n] [-k][-a UserDistinguishedName Password][-b UserName Domain Password] [-?]
其常用选项的功能为:
l -i 打开 Import 模式 (默认为 Export)
l -ffilename 输入或输出文件名
l -s servername 要绑定到的服务器名称(默认为登录域的 DC)
l -c FromDN ToDN 从 FromDN 到 ToDN 发生的取代
l -v 打开 Verbose 模式
l -j 日志文件的位置
l -t 端口号(默认为 389)
l -u 使用 Unicode 格式
l -? 帮助
例如要在sales OU中建立三个用户帐户:user1、user2、user3,需要先建立一个文本文件。我们在c:\下建立文件users.txt,内容如下:
dn: CN=user1,OU=Sales,DC=yjx,DC=com
changetype: add
objectclass:user
samaccountName:user1
displayName:user1
dn: CN=user2,OU=Sales,DC=yjx,DC=com
changetype: add
objectclass:user
samaccountName:user2
displayName:user2
dn: CN=user3,OU=Sales,DC=yjx,DC=com
changetype: add
objectclass:user
samaccountName:user3
displayName:user3
文本文件建立完成后,执行命令如下:
C:\>ldifde -i -f c:\users.txt -k -j c:\
连接到“dc1.yjx.com”
用 SSPI 作为当前用户登录
从“c:\users.txt”文件导入目录
加载条目....
成功地修改了 3 个条目。
命令已成功完成
四、活动目录维护工具(ntdsutil)
活动目录数据库文件组成
在对活动目录数据进行维护之前,先复习一下活动目录数据库文件的组成。
活动目录创建时默认的数据库及事务日志的存放路径是C:\Windows\NTDS,我们打开域控制器的资源管理器,定位到C:\Windows\NTDS目录下,文件列表如下图所示。其中的NTDS.DIT是活动目录的数据库文件,EDB.LOG是事务日志文件,事务日志文件记录了数据库内容的变更,非常重要。默认的事务日志文件大小只有10M,如果事务日志文件已经记录满了,系统就会自动地生成edb00001.log用以继续存储事务日志,如果edb00001.log也存满了,就会接下来生成edb00002.log,以此类推。顺便提一下,在生产环境下,我们应该把数据库文件和事务文件分开存储,这样既可以提高性能,也可以增加数据安全性。
EDB.CHK是事务日志的检查点文件,记录了硬盘上的活动目录和内存中活动目录在内容上的差异,一般此文件用于活动目录的初始化或还原。Edbres00001.jrs和Edbres00002.jrs是系统保留的事务日志文件,这两个文件一共占用了20M空间,主要目的就是为了给活动目录的事务日志预留20M空间,避免当硬盘空间用完后无法正常关机。
Ntdsutil命令基本用法
ntdsutil是一个用于活动目录数据库维护的交互式工具,可以完成活动目录数据库文件的压缩、移动,授权还原,操作主机角色的转移和占用以及恢复目录服务还原模式密码等。在Windows Server 2008中,还可以用来制作活动目录的安装媒体(存储活动目录数据库内容,可以复制到U盘、CD、DVD等媒介,用于在其他服务器上安装额外域控)。关于操作主机角色的操作以及活动目录的授权还原,教材已经有详细描述,此处不再赘述。
在命令行界面中输入ntdsutil命令,可以进入该工具的交互式操作界面。输入?可以获取该工具的帮助信息,如下所示:
C:\>ntdsutil
ntdsutil: ?
? - 显示这个帮助信息
Activate Instance%s - 设置“NTDS”或特定的 AD LDS 实例
作为活动实例。
Authoritativerestore - 授权还原 DIT 数据库
Change Service Account %s1 %s2 - 将 AD DS/LDS 服务帐户更改为
用户名为 %s1,密码为 %s2。
使用“NULL”表示空密码,* 表示
从控制台输入密码。
ConfigurableSettings - 管理可配置的设置
DSBehavior - 查看和修改 ADDS/LDS 行为
Files - 管理 AD DS/LDS 数据库文件
Group Membership uation -评估给定用户或
组的令牌中的 SID。
Help - 显示这个帮助信息
IFM - IFM 媒体创建
LDAP policies - 管理 LDAP 协议策略
LDAP Port%d - 为 AD LDS 实例配置 LDAP 端口。
ListInstances - 列出该计算机上安装的
所有 AD LDS 实例。
LocalRoles - 本地 RODC 角色管理
Metadatacleanup - 清理不使用的服务器的对象
Partitionmanagement - 管理目录分区
Popupsoff - 禁用弹出
Popupson -启用弹出
Quit - 退出实用工具
Roles - 管理 NTDS 角色所有者令牌
Security accountmanagement - 管理安全帐户数据库 - 复制
SID 清理
Semantic databaseanalysis - 语法检查器
Set DSRM Password - 重置目录服务还原模式
Administrator
帐户密码
Snapshot - 快照管理
SSL Port%d - 为 AD LDS 实例配置 SSL 端口。
ntdsutil:
从前面的帮助内容可以看到ntdsutil工具的功能非常多,但是好在帮助信息很完整,大部分操作都可以通过帮助信息的指导来完成。
修改目录服务还原模式密码
要恢复当前域控制器的目录服务还原模式密码,可以根据提示输入命令“Set DSRM Password”,然后继续输入?来获取帮助信息,并根据提示进行操作。具体操作如下:
ntdsutil: set dsrm password
重置 DSRM 管理员密码: ?
? - 显示这个帮助信息
Help - 显示这个帮助信息
Quit - 返回到上一个菜单
Reset Password on server%s - 在指定 AD DC/LDS 实例上重置目录服务还原模式 Administrator 帐户密码。本地计算机使用 NULL。
Sync from domain account%s - 从该 ActiveDirectory 域的指定用户名 %s 到本地计算机的目录服务还原模式 Administrator 帐户执行一次密码同步。
注意: 如果目标 AD DC/LDS 实例当前处于目录服务还原模式,则您不能使用 ntdsutil 重置或同步此密码。
重置 DSRM 管理员密码: reset password on serverdc1.yjx.com
请键入 DS 还原模式 Administrator 帐户的密码: ********
请确认新密码:********
密码设置成功。
重置 DSRM 管理员密码: quit
ntdsutil:
维护活动目录数据库文件
要对活动目录的数据库文件进行操作,可以在ntdsutil工具中输入命令files。但是要执行这个操作,需要进入目录服务还原模式。重新启动域控制器,并且在启动时及时按下F8键,启动完成后使用目录服务还原模式密码登录到系统上。
当活动目录数据库文件尺寸变得很大时,可以通过压缩数据库文件获得更多的磁盘空间。而且在压缩数据库文件时,会执行数据库中活动目录对象的重新组织,从而减少数据库文件中的碎片。关于活动目录数据库中碎片的产生,与磁盘碎片的产生原理基本一致。对于碎片的整理,分为联机碎片整理和脱机碎片整理两种情况。联机整理的好处是不必关闭目录服务,可以在目录服务正常运行时执行,默认情况下每12小时会自动进行1次联机整理。脱机碎片整理需要进入目录服务还原模式,会影响目录服务的正常运行,但是会获得更好的整理效果,可以通过压缩数据库来完成脱机碎片整理。
注意:为了保证更好的安全性,建议在压缩数据库文件之前对活动目录进行备份。
以下为执行数据库文件压缩的操作命令:
ntdsutil: activate instance ntds
活动实例设置为“ntds”。
ntdsutil: files
file maintenance: compact to c:\
正在启动碎片整理模式...
源数据库: C:\Windows\NTDS\ntds.dit
目标数据库: c:\ntds.dit
Defragmentation Status (% complete)
0 10 20 30 40 50 60 70 80 90 100
|--------|-------|-------|------|-------|-------|-------|-------|-------|------|
....................................................................................................
建议您立即执行该数据库的完整备份。如果您先恢复备份,然后
才进行碎片整理,则会将数据库回滚到备份时其所处的状态。
压缩成功。您需要执行下列操作:
复制 "c:\ntds.dit" "C:\Windows\NTDS\ntds.dit"
并删除旧的日志文件:
del C:\Windows\NTDS\*.log
压缩完成后,输入两次quit命令退出ntdsutil。根据前面的提示使用压缩后的活动目录数据库文件覆盖原有的c:\windows\ntds\ntds.dit文件,并删除c:\windows\ntds目录中所有的日志文件。完成这些操作后,正常重新启动计算机即可。
有时出于某些原因还可以移动活动目录数据库文件及其日志文件,操作步骤类似于前面对数据库文件的压缩。在ntdsutil工具的files模式下,使用以下命令可以完成数据库文件以及日志文件的移动:
file maintenance:move db to f:\ntds
file maintenance: move logs to f:\ntds
制作安装媒体
在当前域控制器上制作安装媒体,可以用于其他域控制器的安装。要制作安装媒体,可以运行ntdsutil命令,并在激活实例后进入ifm模式。具体操作如下:
ntdsutil: activate instance ntds
活动实例设置为“ntds”。
ntdsutil: ifm
ifm: create full c:\dcmedia
正在创建快照...
成功生成快照集{ac585818-3f68-493c-bcf3-7c17a37d9ff9}。
快照{b34b9aa0-af0d-4e39-9b80-f01e76ee2541} 已作为 C:\$SNAP_200910181130_VOLUMEC
$\ 装载
已装载快照{b34b9aa0-af0d-4e39-9b80-f01e76ee2541}。
正在启动碎片整理模式...
源数据库:C:\$SNAP_200910181130_VOLUMEC$\Windows\NTDS\ntds.dit
目标数据库: c:\dcmedia\ActiveDirectory\ntds.dit
Defragmentation Status (% complete)
0 10 20 30 40 50 60 70 80 90 100
|--------|-------|-------|------|-------|-------|-------|-------|-------|------|
....................................................................................................
正在复制注册表文件...
正在复制c:\dcmedia\registry\SYSTEM
正在复制c:\dcmedia\registry\SECURITY
快照{b34b9aa0-af0d-4e39-9b80-f01e76ee2541} 已卸载。
在 c:\dcmedia 中成功创建 IFM 媒体。
ifm: quit
ntdsutil: quit
上述命令“createfull c:\dcmedia”中full的意思是建立可写域控的安装媒体,如果制作的安装媒体用来安装RODC,将full替换为rodc即可。完成以上操作后,可以将c:\dcmedia目录中的所有数据复制到U盘、CD、DVD等各种存储媒介中。
其他命令待续。。。
Active Directory的还原
AD的修理和恢复
1、AD的维护和修复,都是通过一个命令行工具--NTDSUTIL来实现的。修复命令为:
ntdsutil
repair
2、AD的恢复
恢复模式:AD有两种恢复模式--授权恢复和非授权恢复,其区别在于:
1)授权恢复:当其他的域控制器包含了无效的复制和数据时,可以采用授权恢复方式,这种情况下,你可以手工指定你要恢复整个数据库或某个分支,并指定本地的恢复操作是权威的。所谓的权威,就是当发生目录复制时,以本地数据为准。授权恢复要修改AD的升级序号,这样它的序号就高于其他的DC了,从而使本地的恢复数据能复制给其他的DC。
2)非授权恢复:大多数的恢复操作都是非授权的。当你发现一台DC的数据有问题,而确信其他的DC数据是正常的,就可以使用非授权恢复。恢复完成后,DC会重新比较升级序号并参与正常的复制。也就是说,通过非授权恢复的数据可能在复制中被再次改写。
注意点:
如果你没有达到以下要求,恢复操作必定失败
*服务器名趁应和备份时一样
*系统文件夹所在驱动器应与备份时相同
*目录保存路径应和备份时相同
3、恢复的操作
1)非授权恢复:启动DC,进入”目录恢复模式“,执行备份的还原操作。
2)授权恢复:在执行完非授权恢复后,继续以下操作:
*ntdsutil
authoritativerestore
restoredatabase
该命令将授权还原整个数据库,如果只想还原某个分支,可以用:
restoresubtree ou=eng,dc=mycompany,dc=com
系统提示是否正确,回答YES。
quit退出。
注意:在恢复完成后,系统会自动的提示是否需要重新启动服务器,授权恢复一定要选择”NO“,否则一旦服务器重新启动,本次授权恢复就会变成非授权恢复了。另外,需要注意的是,授权恢复一同还原了SYSVOL文件目录,当计算机帐户没有禁用时,系统会每7天查询确认一次计算机密码,授权恢复同样也还原了这一信任密码,有可能会导致计算机信任关系丢失,这也需要注意。
4、AD的灾难性恢复处理
1)重新安装恢复AD
还原AD的最简单方法是重新安装操作系统,重新提升DC。这样就产生了一个新的DC,但要考虑一个问题,如果原DC的数据已经损坏,我们将无法使用DCPROMO命令删除该DC上的AD数据,这样就可能导致AD数据的不同步性,而且更糟糕的是,在AD用户和计算机的管理单元里,你也不能删除DC对象。这是你只能从”AD站点和服务“里先删除该服务器,才能删除该DC。如果你不幸的需要新的DC和原来的DC一样的名字,那么你必须先使用NTDSUTIL命令删除AD里的对象信息后,才能建立新的DC。具体操作如下:
ntdsutil
metadatacleanup
connections
connectto server <good dc>
quit
selectoperation target
listsite
selectsite <ID>
listdomains
selectdomain <ID>
listservers in site
selectserver <bad dc>
removeselected server
以上命令,就可以删除坏掉的DC信息。更详细的资料,请参考NTDSUTIL的帮助,执行NTDSUTIL ?即可阅读帮助信息。
注意:在删除原DC之前,应确认原DC上不包含任何角色,如果有,请使用NTDSUTIL命令夺取角色,方法如下:
ntdsutil
roles
Seizedomain naming master - 在已连接的服务器上改写域角色
Seizeinfrastructure master - 在已连接的服务器上改写结构角色
SeizePDC - 在已连接的服务器上改写 PDC 角色
SeizeRID master - 在已连接的服务器上改写 RID 角色
Seizeschema master - 在已连接的服务器上改写架构角色
被夺取角色的DC在没有重新安装操作系统前,不能重新连入网络!!
2)从备份中还原AD
从备份文件恢复AD是非常适合的。但要注意使用的还原模式,如果因恢复错误操作的信息,应记得使用授权恢复模式。
注意点:
*过期的备份:前面我们提到,AD的备份不能还原60天前的数据,如果你需要还原60天的备份,需要按KB216993要求修改全局标记时间后才能还原。其的位置在AD里的
CN=DirectoryService,CN=Windows NT,CN=Services,CN=Configuration,DC=COMPANY,DC=COM,名称为:tombstoneLifetime,该操作需要直接编辑AD数据,可使用ADSI,LDP等工具。
注意:请慎重操作!
*不同硬件下还原:通常情况,不建议你将AD的备份还原到不同的硬件上,除非你确认新机器和原机器的硬件基本一直,并使用同样的硬件抽象层文件(HAL)。
*远程备份和还原:在BOOT.INI文件后,可以加上/safeboot:dsrepair命令选项,引导远程机器进入恢复模式。
结语
本文简单的描述了活动目录的整体概念和基本理论,并重点阐述了AD的备份和恢复技巧和操作,以及灾难性的恢复手段。
附录:NTDSUTIL的帮助
ntdsutil:?
?- 打印这个帮助信息
Authoritativerestore - 权威性的恢复 DIT 数据库
Domainmanagement - 准备新域创建
Files- 管理 NTDS 数据库文件
Help- 打印这个帮助信息
IPDenyList - 管理 LDAP IP 否认列表
LDAPpolicies - 管理 LDAP 协议策略
Metadatacleanup - 清理不使用的服务器的对象
Popups%s - 用“on”或“off”启用或禁用弹出
Quit- 退出实用程序
Roles- 管理 NTDS 角色所有者令牌
Securityaccount management - 管理安全帐户数据库 - 复制 SID 清理
Semanticdatabase analysis - 语法检查器
dcdiag:用于测试域控制器状态的分析工具
例如dcdiag /v(检测活动目录的状态,并且打印出详细的分析报告)
dcdiag /test:dns(用于测试DNS的状态)
adprep:用于更新现有AD架构与属性扩展工具
2000域升级到2003
adprep /forestprep
adprep /domainprep
nslookup:用于查询域名系统的命令行工具
nslookup -d www.microsoft.com
打印出解析microsoft域名地址的全过程,及DNS记录生命周期。
replmon:图形界面的AD复制工具
运行,输入repmlon
GPResult:查看组策略结果工具
C:\Documents and Settings\Administrator>GPResult
Microsoft (R) Windows (R) 操作系统组策略结果工具 v2.0
版权所有 (C) Microsoft Corp。1981-2001
创建于 2007-12-1,18:09:28
JASON\admin 的 RSOP 数据,位于 JASON 上:登录模式
--------------------------------------------------
OS 类型: Microsoft(R) Windows(R) Server 2003, Enterpris
OS 配置: 独立服务器
OS 版本: 5.2.3790
终端服务器模式: 远程管理
站点名称: 暂缺
漫游配置文件:
本地配置文件: C:\Documents andSettings\Administrator
使用慢速链接?: 否
计算机设置
-----------
上一次应用组策略的时间: 于2007-12-1,17:49:31
应用的组策略来源于: 暂缺
组策略慢速链接阀值: 500 kbps
域名:
域类型: WindowsNT 4
已应用的组策略对象
-------------------
Local Group Policy
此计算机是下列安全组的一部分
----------------------------
BUILTIN\Administrators
Everyone
NT AUTHORITY\Authenticated Users
用户设置
---------
上一次应用组策略的时间: 于2007-12-1,17:39:35
应用的组策略来源于: 暂缺
组策略慢速链接阀值: 500 kbps
域名: JASON
域类型: <本地计算机>
已应用的组策略对象
-------------------
暂缺
下列组策略对象被筛选排除,因此没有应用
---------------------------------------
Local Group Policy
正在筛选: 没有应用(空)
用户是下列安全组的一部分
------------------------
None
Everyone
BUILTIN\Administrators
BUILTIN\Users
NT AUTHORITY\INTERACTIVE
NT AUTHORITY\Authenticated Users
This Organization
LOCAL
NTLM Authentication
set logon server:查看当前用户登录的那台服务器。如果用户是域用户,将显示出用户所登录到的域控制器。