AD Administrative Snap-ins And Tools
常用AD管理组件和工具
一、活动目录的管理插件有如下: Active Directory Users and Computers Active Directory Domains and Trusts Active Directory Sites and Services Active Directory Schema
Active Directory Service Interfaces (ADSI)
二、活动目录修改及查询命令 dsadd命令(创建活动目录对象):用于在AD中创建OU、用户、组、联系人等对象,但是不能对AD中的对象进行修改,下面逐一进行介绍。
1、创建组织单位: 命令格式:dsadd ou [-desc 描述] [{-s 服务器|-d 域}] [-u 用户名] [-p {密码|*}] [-q] [{-uc|-uoc|-uci}]
注意:OU名称应为要创建的OU的LDAP绝对路径(DN,Distinguished Name),如果DN中包含空格,应该在路径两端使用双引号。
例如要在yjx.com域中建立一个名为finance的OU,可以执行以下命令:
C:\\>dsadd ou ou=finance,dc=yjx,dc=com -desc \财务部\
2、创建域用户帐户
命令格式:dsadd user [-samid ] -pwd {|*} –upn UPN
例如要在yjx.com域中建立一个名为mike的用户帐户,该用户将位于sales OU中,其显示名称为“mike yang”,则可以执行以下命令:
C:\\>dsadd user cn=mike,ou=sales,dc=yjx,dc=com -samid mike -pwd benet3.0 -display “mike yang”
3、创建计算机帐户
命令格式:dsadd computer
要在yjx.com域中的sales OU中建立一个名为client-2的计算机帐户,可以执行以下命令:
C:\\>dsadd computer cn=client-2,ou=sales,dc=yjx,dc=com
要在yjx.com域中的sales OU中建立一个名为client-3的计算机帐户,并设置计算机账户的描述信息为“测试工作站”,可以执行以下命令:
C:\\>dsadd computer cn=client-3,ou=sales,dc=yjx,dc=com -desc 测试工作站
4、创建联系人
命令格式:dsadd contact [-fn ] [-mi ] [-ln ] [-display ] [-desc ]
要在yjx.com域中的sales OU中建立一个名为杨建新的联系人,执行以下命令:
C:\\>dsadd contact cn=杨建新,ou=sales,dc=yjx,dc=com -fn jianxin -ln yang -display 杨建新
dsmod命令(修改活动目录对象):用于修改AD对象的属性,可以对OU、用户、组、联系人等对象进行修改。 C:\\>dsmod user /?
描述: 修改目录中现有的用户。
语法: dsmod user [-upn ] [-fn ]
[-mi ] [-ln ] [-display ]
[-fnp ] [-lnp ] [-displayp ]
[-empid ] [-pwd { | *}]
[-desc ] [-office ] [-tel ] [-email ] [-hometel ] [-pager ]
[-mobile ] [-fax ] [-iptel ]
[-webpg ] [-title ] [-dept <Department>] </p><p> [-company <Company>] [-mgr <Manager>] [-hmdir <HomeDir>] </p><p> [-hmdrv <DriveLtr>:] [-profile <ProfilePath>] [-loscr <ScriptPath>] [-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] </p><p> [-acctexpires <NumDays>] [-disabled {yes | no}] [{-s <Server> | -d <Domain>}] [-u <UserName>] [-p {<Password> | *}] [-c] [-q] [{-uc | -uco | -uci}]] 几个具体用法如下: 重置用户帐户的密码 </p><p>dsmod user UserDN -pwd 新密码 [-mustchpwd {yes | no}] 下次登录时修改此密码 </p><p>启用或禁用账户 </p><p>dsmod user UserDN 可分辨名称 -disabled {yes|no} yes 禁用 no 启用 </p><p>修改计算机帐户属性的格式为: </p><p>dsmod computer ComputerDN ...[-desc Description] [-loc Location] [-disabled {yes | no}] [-reset] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-c] [-q] [{-uc | -uco | -uci}] </p><p>重设计算机帐户 </p><p>dsmod computer ComputerDN -reset </p><p>启用或禁用计算机帐户 </p><p>dsmod computer ComputerDN 可分辨名称 -disabled {yes|no} </p><p>yes 禁止登录 no 允许登录 </p><p>将计算机帐户添加到组中 </p><p>dsmod group GroupDN -addmbr ComputerDN </p><p>要创建一个sales全局组,并将用户mike加入到该组中,可以执行以下命令: </p><p>C:\\>dsadd group cn=sales,ou=sales,dc=yjx,dc=com -desc 销售部 </p><p>dsadd 成功:cn=sales,ou=sales,dc=yjx,dc=com </p><p>C:\\>dsmod group cn=sales,ou=sales,dc=yjx,dc=com -addmbr cn=mike,ou=sales,dc=yjx,dc=com </p><p>dsmod 成功:cn=sales,ou=sales,dc=yjx,dc=com </p><p>dsget命令(查看活动目录对象的属性):用于查看AD对象的各个属性,基本用法如下: </p><p>l dsget computer - 显示目录中计算机的属性。 l dsget contact - 显示目录中联系人的属性。 l dsget subnet - 显示目录中子网的属性。 l dsget group - 显示目录中组的属性。 l dsget ou - 显示目录中组织单位的属性。 l dsget server - 显示目录中服务器的属性。 l dsget site - 显示目录中站点的属性。 l dsget user - 显示目录中用户的属性。 l dsget quota - 显示目录中配额的属性。 l dsget partition - 显示目录中分区的属性。 </p><p>以下命令分别用来查看用户的基本信息、SID、显示名称以及所属的组: </p><p>C:\\>dsget user cn=mike,ou=sales,dc=yjx,dc=com dn desc samid </p><p> cn=mike,ou=sales,dc=yjx,dc=com mike dsget 成功 </p><p>C:\\>dsget user cn=mike,ou=sales,dc=yjx,dc=com -sid sid </p><p> S-1-5-21-91321346-2733940933-1992975926-1120 dsget 成功 </p><p>C:\\>dsget user cn=mike,ou=sales,dc=yjx,dc=com -display display mike yang dsget 成功 </p><p>C:\\>dsget user cn=mike,ou=sales,dc=yjx,dc=com -memberof \</p><p>\ </p><p>其他命令(dsquery、dsmove、dsrm) 其他的活动目录操作命令还包括dsquery、dsmove、dsrm等,分别用于活动目录对象的查询、移动和删除。 </p><p>要查找sales OU中的所有用户,可以执行以下命令: C:\\>dsquery user ou=sales,dc=yjx,dc=com -name * \\</p><p>\ </p><p>要查找sales OU中已经3个星期不活动的用户,可以执行以下命令: </p><p>C:\\>dsquery user ou=sales,dc=yjx,dc=com -inactive 3 </p><p>要将mike用户移动到finance OU中,可以执行以下命令: C:\\>dsmove cn=mike,ou=sales,dc=yjx,dc=com -newparent ou=finance,dc=yjx,dc=com </p><p>dsmove 成功:cn=mike,ou=sales,dc=yjx,dc=com </p><p>要删除sales OU中的用户user1,可以执行以下命令: C:\\>dsrm cn=user1,ou=sales,dc=yjx,dc=com </p><p>您确认要删除 cn=user1,ou=sales,dc=yjx,dc=com 吗(Y/N)? y dsrm 成功:cn=user1,ou=sales,dc=yjx,dc=com </p><p>三、批量导入导出命令(csvde、ldifde) </p><p>使用csvde和ldifde命令可以批量导入活动目录对象,也可以将活动目录的内容导出,从而节省创建活动目录对象的时间。其中csvde命令使用.csv文件格式,即使用逗号分隔符的文本文档。 </p><p>csvde命令用来添加AD用户帐号(或其他对象),但不能更改、删除对象,其的基本语法: </p><p>csvde [-i] [-f FileName] [-s ServerName] [-c String1 String2] [-v] [-j Path] [-t PortNumber] [-d BaseDN] [-r LDAPFilter] [-p Scope] </p><p>[-l LDAPAttributeList] [-o LDAPAttributeList] [-g] [-m] [-n] [-k] [-a UserDistinguishedName Password] [-b UserName Domain Password] 常用参数 -i:指定导入模式。如果未指定导入模式,则默认模式为导出。 -f FileName </p><p>标识导入或导出文件名。 -s ServerName </p><p>指定域控制器执行导入或导出操作。 -v </p><p>设置详细模式。 -j Path </p><p>设置日志文件位置。默认路径为当前路径。 -d BaseDN </p><p>为数据导出设置搜索基础的可分辨名称。 -k </p><p>在导入操作期间忽略错误并继续处理。以下是已忽略错误的完整列表: 对象已存在。 约束冲突。 </p><p>属性或值已存在。 </p><p>-a UserDistinguishedName Password </p><p>将该命令设置成使用提供的 UserDistinguishedName 和 Password 来运行。默认情况下,将使用当前登录到网络的用户的凭据运行该命令。 </p><p>-b UserName Domain Password </p><p>将该命令设置为作为 UserName Domain Password 运行。默认情况下,将使用当前登录到网络的用户的凭据运行该命令。 例如,要导出sales OU中的对象,并指定日志路径为c:\\,可以执行以下命令: </p><p>C:\\>csvde -f c:\\sales.csv -d ou=sales,dc=yjx,dc=com -j c:\\ 连接到“(null)” </p><p>用 SSPI 作为当前用户登录 将目录导出到文件 c:\\sales.csv 搜索项目... 写出项目 ......... </p><p>导出完毕。后续处理正在进行... 导出了 9 个项目 命令已成功完成 导出结果如下: </p><p>从图中可以了解到该csv文件的格式,第一行为标题行,列出了对象的各个属性名称,从第二行开始位各个对象的属性值,属性值一定要与标题行中的属性名称对应。 如果要使用csvde命令批量建立几个用户:hellen、linda、ruthy,可以用记事本程序编写内容如下所示: </p><p>DN,objectClass,sAMAccountName,displayName </p><p>\恩伦 </p><p>\林达 </p><p>\,OU=SALES,DC=yjx,DC=com\,鲁西 </p><p>然后运行以下命令: </p><p>C:\\>csvde -i -f c:\\sales.csv -j c:\\ -k 连接到“(null)” </p><p>用 SSPI 作为当前用户登录 从“c:\\sales.csv”文件导入目录 加载条目.... </p><p>成功地修改了 3 个条目。 命令已成功完成 注意:导入后的用户帐户的是禁用状态,由于csvde导入方式建立用户帐户无法为用户设置密码属性,而不设置密码的话则会违反密码复杂性策略,因此无法将用户状态设置为启用。 </p><p>ldifde命令可以完成AD对象的导入导出,增加、删除,并且提供更多的功能。但是ldifde命令使用的文本文件格式与csvde有所不同。其基本格式为: </p><p>ldifde [-i] [-f FileName] [-s ServerName] [-c String1 String2] [-v] [-j Path] [-t PortNumber] [-d BaseDN] [-r LDAPFilter] [-p Scope] [-l LDAPAttributeList] [-o LDAPAttributeList] [-g] [-m] [-n] [-k] [-a UserDistinguishedName Password] [-b UserName Domain Password] [-?] 其常用选项的功能为: </p><p>l -i 打开 Import 模式 (默认为 Export) l -f filename 输入或输出文件名 </p><p>l -s servername 要绑定到的服务器名称(默认为登录</p><p>域的 DC) </p><p>l -c FromDN ToDN 从 FromDN 到 ToDN 发生的取代 l -v 打开 Verbose 模式 l -j 日志文件的位置 l -t 端口号(默认为 389) l -u 使用 Unicode 格式 l -? 帮助 </p><p>例如要在sales OU中建立三个用户帐户:user1、user2、user3,需要先建立一个文本文件。我们在c:\\下建立文件users.txt,内容如下: </p><p>dn: CN=user1,OU=Sales,DC=yjx,DC=com changetype: add objectclass:user </p><p>samaccountName:user1 displayName:user1 </p><p>dn: CN=user2,OU=Sales,DC=yjx,DC=com changetype: add objectclass:user </p><p>samaccountName:user2 displayName:user2 </p><p>dn: CN=user3,OU=Sales,DC=yjx,DC=com changetype: add objectclass:user </p><p>samaccountName:user3 </p><p>displayName:user3 </p><p>文本文件建立完成后,执行命令如下: C:\\>ldifde -i -f c:\%users.txt -k -j c:\\ 连接到“dc1.yjx.com” </p><p>用 SSPI 作为当前用户登录 从“c:\%users.txt”文件导入目录 加载条目.... </p><p>成功地修改了 3 个条目。 命令已成功完成 </p><p>四、活动目录维护工具(ntdsutil) 活动目录数据库文件组成 </p><p>在对活动目录数据进行维护之前,先复习一下活动目录数据库文件的组成。 </p><p>活动目录创建时默认的数据库及事务日志的存放路径是C:\\Windows\\NTDS,我们打开域控制器的资源管理器,定位到C:\\Windows\\NTDS目录下,文件列表如下图所示。其中的NTDS.DIT是活动目录的数据库文件,EDB.LOG是事务日志文件,事务日志文件记录了数据库内容的变更,非常重要。默认的事务日志文件大小只有10M,如果事务日志文件已经记录满了,系统就会自动地生成edb00001.log用以继续存储事务日志,如果edb00001.log也存满了,就会接下来生成edb00002.log,以此类推。顺便提一下,在生产环境下,我们应该把数据库文件和事务文件分开存储,这样既可以提高性能,也可以增加数据安全性。 </p><p>EDB.CHK是事务日志的检查点文件,记录了硬盘上的活动目</p><p>录和内存中活动目录在内容上的差异,一般此文件用于活动目录的初始化或还原。Edbres00001.jrs和Edbres00002.jrs是系统保留的事务日志文件,这两个文件一共占用了20M空间,主要目的就是为了给活动目录的事务日志预留20M空间,避免当硬盘空间用完后无法正常关机。 </p><p>Ntdsutil命令基本用法 </p><p>ntdsutil是一个用于活动目录数据库维护的交互式工具,可以完成活动目录数据库文件的压缩、移动,授权还原,操作主机角色的转移和占用以及恢复目录服务还原模式密码等。在Windows Server 2008中,还可以用来制作活动目录的安装媒体(存储活动目录数据库内容,可以复制到U盘、CD、DVD等媒介,用于在其他服务器上安装额外域控)。关于操作主机角色的操作以及活动目录的授权还原,教材已经有详细描述,此处不再赘述。 </p><p>在命令行界面中输入ntdsutil命令,可以进入该工具的交互式操作界面。输入?可以获取该工具的帮助信息,如下所示: C:\\>ntdsutil ntdsutil: ? </p><p> ? - 显示这个帮助信息 Activate Instance %s - 设置“NTDS”或特定的 AD LDS 实例 </p><p> 作为活动实例。 </p><p> Authoritative restore - 授权还原 DIT 数据库 </p><p> Change Service Account %s1 %s2 - 将 AD DS/LDS 服务帐户</p><p>更改为 </p><p> 用户名为 %s1,密码为 %s2。 </p><p> 使用“NULL”表示空密码,* 表示 从控制台输入密码。 </p><p> Configurable Settings - 管理可配置的设置 </p><p> DS Behavior - 查看和修改 AD DS/LDS 行为 Files - 管理 AD DS/LDS 数据库文件 Group Membership uation - 评估给定用户或 组的令牌中的 SID。 Help - 显示这个帮助信息 IFM - IFM 媒体创建 </p><p> LDAP policies - 管理 LDAP 协议策略 </p><p> LDAP Port %d - 为 AD LDS 实例配置 LDAP 端口。 </p><p> List Instances - 列出该计算机上安装的 所有 AD LDS 实例。 </p><p> Local Roles - 本地 RODC 角色管理 </p><p> Metadata cleanup - 清理不使用的服务器的对象 Partition management - 管理目录分区 Popups off - 禁用弹出 Popups on - 启用弹出 Quit - 退出实用工具 </p><p> Roles - 管理 NTDS 角色所有者令牌 </p><p> Security account management - 管理安全帐户数据库 - 复制 </p><p> SID 清理 </p><p> Semantic database analysis - 语法检查器 </p><p> Set DSRM Password - 重置目录服务还原模式 Administrator 帐户密码 </p><p> Snapshot - 快照管理 </p><p> SSL Port %d - 为 AD LDS 实例配置 SSL 端口。 ntdsutil: </p><p>从前面的帮助内容可以看到ntdsutil工具的功能非常多,但是好在帮助信息很完整,大部分操作都可以通过帮助信息的指导来完成。 </p><p>修改目录服务还原模式密码 </p><p>要恢复当前域控制器的目录服务还原模式密码,可以根据提示输入命令“Set DSRM Password”,然后继续输入?来获取帮助信息,并根据提示进行操作。具体操作如下: ntdsutil: set dsrm password 重置 DSRM 管理员密码: ? </p><p> ? - 显示这个帮助信息 Help - 显示这个帮助信息 Quit - 返回到上一个菜单 </p><p> Reset Password on server %s - 在指定 AD DC/LDS 实例上重置目录服务还原模式 Administrator 帐户密码。本地计算机使用 NULL。 </p><p> Sync from domain account %s - 从该 Active Directory 域的</p><p>指定用户名 %s 到本地计算机的目录服务还原模式 Administrator 帐户执行一次密码同步。 </p><p>注意: 如果目标 AD DC/LDS 实例当前处于目录服务还原模式,则您不能使用 ntdsutil 重置或同步此密码。 </p><p>重置 DSRM 管理员密码: reset password on server dc1.yjx.com </p><p>请键入 DS 还原模式 Administrator 帐户的密码: ******** 请确认新密码: ******** 密码设置成功。 </p><p>重置 DSRM 管理员密码: quit ntdsutil: </p><p>维护活动目录数据库文件 </p><p>要对活动目录的数据库文件进行操作,可以在ntdsutil工具中输入命令files。但是要执行这个操作,需要进入目录服务还原模式。重新启动域控制器,并且在启动时及时按下F8键,启动完成后使用目录服务还原模式密码登录到系统上。 </p><p>当活动目录数据库文件尺寸变得很大时,可以通过压缩数据库文件获得更多的磁盘空间。而且在压缩数据库文件时,会执行数据库中活动目录对象的重新组织,从而减少数据库文件中的碎片。关于活动目录数据库中碎片的产生,与磁盘碎片的产生原理基本一致。对于碎片的整理,分为联机碎片整理和脱机碎片整理两种情况。联机整理的好处是不必关闭目录服务,可以在目录服务正常运行时执行,默认情况下每12</p><p>小时会自动进行1次联机整理。脱机碎片整理需要进入目录服务还原模式,会影响目录服务的正常运行,但是会获得更好的整理效果,可以通过压缩数据库来完成脱机碎片整理。 注意:为了保证更好的安全性,建议在压缩数据库文件之前对活动目录进行备份。 </p><p>以下为执行数据库文件压缩的操作命令: ntdsutil: activate instance ntds 活动实例设置为“ntds”。 ntdsutil: files </p><p>file maintenance: compact to c:\\ 正在启动碎片整理模式... </p><p> 源数据库: C:\\Windows\\NTDS\\ntds.dit 目标数据库: c:\\ntds.dit </p><p> Defragmentation Status (% complete) </p><p> 0 10 20 30 40 50 60 70 80 90 100 </p><p> |--------|-------|-------|------|-------|-------|-------|-------|-------|------| </p><p> .................................................................................................... </p><p>建议您立即执行该数据库的完整备份。如果您先恢复备份,然后 </p><p>才进行碎片整理,则会将数据库回滚到备份时其所处的状态。 </p><p>压缩成功。您需要执行下列操作: </p><p> 复制 \ 并删除旧的日志文件: </p><p> del C:\\Windows\\NTDS\\*.log </p><p>压缩完成后,输入两次quit命令退出ntdsutil。根据前面的提示使用压缩后的活动目录数据库文件覆盖原有的c:\\windows\\ntds\\ntds.dit文件,并删除c:\\windows\\ntds目录中所有的日志文件。完成这些操作后,正常重新启动计算机即可。 </p><p>有时出于某些原因还可以移动活动目录数据库文件及其日志文件,操作步骤类似于前面对数据库文件的压缩。在ntdsutil工具的files模式下,使用以下命令可以完成数据库文件以及日志文件的移动: </p><p>file maintenance:move db to f:\\ntds file maintenance: move logs to f:\\ntds </p><p>制作安装媒体 </p><p>在当前域控制器上制作安装媒体,可以用于其他域控制器的安装。要制作安装媒体,可以运行ntdsutil命令,并在激活实例后进入ifm模式。具体操作如下: ntdsutil: activate instance ntds 活动实例设置为“ntds”。 ntdsutil: ifm </p><p>ifm: create full c:\\dcmedia 正在创建快照... </p><p>成功生成快照集 {ac585818-3f68-493c-bcf3-7c17a37d9ff9}。 快照 {b34b9aa0-af0d-4e39-9b80-f01e76ee2541} 已作为 C:\\$SNAP_200910181130_VOLUMEC $\\ 装载 </p><p>已装载快照 {b34b9aa0-af0d-4e39-9b80-f01e76ee2541}。 正在启动碎片整理模式... 源数据库: C:\\$SNAP_200910181130_VOLUMEC$\\Windows\\NTDS\\ntds.dit </p><p> 目标数据库: c:\\dcmedia\\Active Directory\\ntds.dit </p><p> Defragmentation Status (% complete) </p><p> 0 10 20 30 40 50 60 70 80 90 100 </p><p> |--------|-------|-------|------|-------|-------|-------|-------|-------|------| </p><p> .................................................................................................... </p><p>正在复制注册表文件... </p><p>正在复制 c:\\dcmedia\\registry\\SYSTEM 正在复制 c:\\dcmedia\\registry\\SECURITY </p><p>快照 {b34b9aa0-af0d-4e39-9b80-f01e76ee2541} 已卸载。 在 c:\\dcmedia 中成功创建 IFM 媒体。 ifm: quit ntdsutil: quit </p><p>上述命令“create full c:\\dcmedia”中full的意思是建立可写域控的安装媒体,如果制作的安装媒体用来安装RODC,将full替换为rodc即可。完成以上操作后,可以将c:\\dcmedia目录中的所有数据复制到U盘、CD、DVD等各种存储媒介中。 </p><p>其他命令待续。。。 </p><p> Active Directory的还原 </p><p>AD的修理和恢复 </p><p> </p><p>1、AD的维护和修复,都是通过一个命令行工具--NTDSUTIL来实现的。修复命令为: ntdsutil repair </p><p> </p><p>2、AD的恢复 </p><p>恢复模式:AD有两种恢复模式--授权恢复和非授权恢复,其区别在于: </p><p> </p><p>1)授权恢复:当其他的域控制器包含了无效的复制和数据时,可以采用授权恢复方式,这种情况下,你可以手工指定你要恢复整个数据库或某个分支,并指定本地的恢复操作是权威的。所谓的权威,就是当发生目录复制时,以本地数据为准。授权恢复要修改AD的升级序号,这样它的序号就高于其他的DC了,从而使本地的恢复数据能复制给其他的DC。 </p><p> </p><p>2)非授权恢复:大多数的恢复操作都是非授权的。当你发现一台DC的数据有问题,而确信其他的DC数据是正常的,就可以使用非授权恢复。恢复完成后,DC会重新比较升级序号并参与正常的复制。也就是说,通过非授权恢复的数据可能在复制中被再次改写。 </p><p> </p><p>注意点: </p><p>如果你没有达到以下要求,恢复操作必定失败 * 服务器名趁应和备份时一样 </p><p>* 系统文件夹所在驱动器应与备份时相同 * 目录保存路径应和备份时相同 </p><p> </p><p>3、恢复的操作 </p><p> </p><p>1)非授权恢复:启动DC,进入”目录恢复模式“,执行备份的还原操作。 </p><p>2)授权恢复:在执行完非授权恢复后,继续以下操作: * ntdsutil </p><p>authoritative restore restore database </p><p>该命令将授权还原整个数据库,如果只想还原某个分支,可以用: restore subtree ou=eng,dc=mycompany,dc=com 系统提示是否正确,回答YES。 quit退出。 </p><p>注意:在恢复完成后,系统会自动的提示是否需要重新启动服务器,授权恢复一定要选择”NO“,否则一旦服务器重新启动,本次授权恢复就会变成非授权恢复了。另外,需要注意的是,授权恢复一同还原了SYSVOL文件目录,当计算机帐户没有禁用时,系统会每7天查询确认一次计算机密码,授权恢复同样也还原了这一信任密码,有可能会导致计算机信任关系丢失,这也需要注意。 </p><p> </p><p>4、AD的灾难性恢复处理 </p><p> </p><p>1)重新安装恢复AD </p><p>还原AD的最简单方法是重新安装操作系统,重新提升DC。这样就产生了一个新的DC,但要考虑一个问题,如果原DC的数据已经损坏,我们将无法使用DCPROMO命令删除该DC上的AD数据,这样就可能导致AD数据的不同步性,而且更糟糕的是,在AD用户和计算机的管理单元里,你也不能删除DC对象。这是你只能从”AD站点和服务“里先删除该服务器,才能删除该DC。如果你不幸的需要新的DC和原来的DC一样的名字,那么你必须先使用NTDSUTIL命令删除AD里的对象信息后,才能建立新的DC。具体操作如下: ntdsutil </p><p>metadata cleanup connections </p><p>connect to server <good dc> quit </p><p>select operation target list site </p><p>select site <ID> list domains </p><p>select domain <ID> list servers in site select server <bad dc> remove selected server </p><p>以上命令,就可以删除坏掉的DC信息。更详细的资料,请参考</p><p>NTDSUTIL的帮助,执行NTDSUTIL ?即可阅读帮助信息。 注意:在删除原DC之前,应确认原DC上不包含任何角色,如果有,请使用NTDSUTIL命令夺取角色,方法如下: ntdsutil roles </p><p>Seize domain naming master - 在已连接的服务器上改写域角色 </p><p>Seize infrastructure master - 在已连接的服务器上改写结构角色 </p><p>Seize PDC - 在已连接的服务器上改写 PDC 角色 Seize RID master - 在已连接的服务器上改写 RID 角色 Seize schema master - 在已连接的服务器上改写架构角色 被夺取角色的DC在没有重新安装操作系统前,不能重新连入网络!! </p><p> </p><p>2)从备份中还原AD </p><p> </p><p>从备份文件恢复AD是非常适合的。但要注意使用的还原模式,如果因恢复错误操作的信息,应记得使用授权恢复模式。 注意点: </p><p>* 过期的备份:前面我们提到,AD的备份不能还原60天前的数据,如果你需要还原60天的备份,需要按KB216993要求修改全局标记时间后才能还原。其的位置在AD里的 CN=Directory </p><p>Service,CN=Windows </p><p>NT,CN=Services,CN=Configuration,DC=COMPANY,DC=COM,名称为:tombstoneLifetime,该操作需要直接编辑AD</p><p>数据,可使用ADSI,LDP等工具。 注意:请慎重操作! </p><p>* 不同硬件下还原:通常情况,不建议你将AD的备份还原到不同的硬件上,除非你确认新机器和原机器的硬件基本一直,并使用同样的硬件抽象层文件(HAL)。 </p><p>* 远程备份和还原:在BOOT.INI文件后,可以加上/safeboot:dsrepair命令选项,引导远程机器进入恢复模式。 </p><p> </p><p>结语 </p><p> </p><p>本文简单的描述了活动目录的整体概念和基本理论,并重点阐述了AD的备份和恢复技巧和操作,以及灾难性的恢复手段。 </p><p> </p><p>附录:NTDSUTIL的帮助 ntdsutil: ? </p><p> </p><p>? - 打印这个帮助信息 </p><p>Authoritative restore - 权威性的恢复 DIT 数据库 Domain management - 准备新域创建 Files - 管理 NTDS 数据库文件 Help - 打印这个帮助信息 </p><p>IPDeny List - 管理 LDAP IP 否认列表 LDAP policies - 管理 LDAP 协议策略 </p><p>Metadata cleanup - 清理不使用的服务器的对象 Popups %s - 用“on”或“off”启用或禁用弹出 Quit - 退出实用程序 </p><p>Roles - 管理 NTDS 角色所有者令牌 </p><p>Security account management - 管理安全帐户数据库 - 复制 SID 清理 </p><p>Semantic database analysis - 语法检查器 </p><p>dcdiag:用于测试域控制器状态的分析工具 </p><p>例如dcdiag /v(检测活动目录的状态,并且打印出详细的分析报告) </p><p>dcdiag /test:dns(用于测试DNS的状态) </p><p>adprep:用于更新现有AD架构与属性扩展工具 2000域升级到2003 adprep /forestprep adprep /domainprep </p><p>nslookup:用于查询域名系统的命令行工具 nslookup -d www.microsoft.com </p><p>打印出解析microsoft域名地址的全过程,及DNS记录生命周期。 </p><p>replmon:图形界面的AD复制工具 运行,输入repmlon </p><p>GPResult:查看组策略结果工具 </p><p>C:\\Documents and Settings\\Administrator>GPResult </p><p>Microsoft (R) Windows (R) 操作系统组策略结果工具 v2.0 版权所有 (C) Microsoft Corp。1981-2001 创建于 2007-12-1,18:09:28 </p><p>JASON\\admin 的 RSOP 数据,位于 JASON 上: 登录模式 -------------------------------------------------- </p><p>OS 类型: Microsoft(R) Windows(R) Server 2003, Enterpris </p><p>OS 配置: 独立服务器 OS 版本: 5.2.3790 终端服务器模式: 远程管理 站点名称: 暂缺 漫游配置文件: </p><p>本地配置文件: C:\\Documents and Settings\\Administrator 使用慢速链接?: 否 </p><p>计算机设置 ----------- </p><p> 上一次应用组策略的时间: 于 2007-12-1,17:49:31 应用的组策略来源于: 暂缺 组策略慢速链接阀值: 500 kbps 域名: </p><p> 域类型: WindowsNT 4 </p><p> 已应用的组策略对象 </p><p> ------------------- </p><p> Local Group Policy </p><p> 此计算机是下列安全组的一部分 ---------------------------- BUILTIN\\Administrators Everyone </p><p> NT AUTHORITY\\Authenticated Users </p><p>用户设置 --------- </p><p> 上一次应用组策略的时间: 于 2007-12-1,17:39:35 应用的组策略来源于: 暂缺 组策略慢速链接阀值: 500 kbps 域名: JASON </p><p> 域类型: <本地计算机> </p><p> 已应用的组策略对象 ------------------- 暂缺 </p><p> 下列组策略对象被筛选排除,因此没有应用 --------------------------------------- Local Group Policy </p><p> 正在筛选: 没有应用 (空) </p><p> 用户是下列安全组的一部分 ------------------------ None Everyone </p><p> BUILTIN\\Administrators BUILTIN\\Users </p><p> NT AUTHORITY\\INTERACTIVE NT AUTHORITY\\Authenticated Users This Organization LOCAL </p><p> NTLM Authentication </p><p>set logon server:查看当前用户登录的那台服务器。如果用户是域用户,将显示出用户所登录到的域控制器。 </p><p></p><div class="page"><ul><li><a href=lhd_31g6110fml7l7tx2asfy_1.html class="hover" >1</a></li></ul></div><a name="bot"></a></div>
<div class="ad1" style="height:95px;"><script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script>
<!-- lhtop -->
<ins class="adsbygoogle"
style="display:block"
data-ad-client="ca-pub-8169456067121985"
data-ad-slot="1775442566"
data-ad-format="auto"
data-full-width-responsive="true"></ins>
<script>
(adsbygoogle = window.adsbygoogle || []).push({});
</script></div>
<div class="conter-line">
<a rel="nofollow" class="title2" href="/lhdl_31g6110fml7l7tx2asfy.html" target="_blank">Word文档下载:AD常用命令.doc</a>
<a class="top" title="" href="#top"></a>
</div>
<div class="conter-line"><a class="title2" title="AD常用命令" href="lhs_01t01wim0n54gotfl0_1.html">搜索更多:AD常用命令</a>
<a class="top" title="" href="#top"></a>
</div><br><br>
<div class="conter-line"><a class="title2" href="#">最新浏览</a>
<div class="next-txt sile-list">
<ul>
<li><a title="智能照明控制系统设计论文" href="lhs_k8qph9mefk5qjong8moorp27rlqrkxrlmk1z_1.html">智能照明控制系统设计论文</a></li><li><a title="图像增强处理技术毕业论文" href="lhs_h6mfynhi6it6hl0mx2jggkdrlatfferlmk1z_1.html">图像增强处理技术毕业论文</a></li><li><a title="【最新】2012届高考英语语法精品学案:专题三 代词" href="lhs_9hskcgk349ht01e01c01d01ei8aul4pabpv5rn1rn1lhxon2gqpi1yklk01mff7u54fex00wfkzrm5_1.html">【最新】2012届高考英语语法精品学案:专题三</a></li><li><a title="(瀹屾暣word鐗?椹師閫夋嫨棰樺簱(word鏂囨。鑹績" href="lhs_014m61i9qk9v03b03303602st9301rks98g0ilntkbhl7hygkq8kzeoj501403b03303602st6qh609hetbt8nuoxq_1.html">(瀹屾暣word鐗?椹師閫夋嫨棰樺簱(wor</a></li><li><a title="物联网导论习题及答案" href="lhs_mllpckp5di64rlmfhcu54gjuod0klk_1.html">物联网导论习题及答案</a></li><li><a title="高分子物理典型计算题" href="lhs_ul4g7ai1cmllmx2g3chajrkxoevu54_1.html">高分子物理典型计算题</a></li><li><a title="C语言复习题整理" href="lhs_01vrn1r9chl9fhcu54k1gmx2_1.html">C语言复习题整理</a></li><li><a title="韩山师范学院第五届阳光体育节乒乓球公开赛竞赛秩序册" href="lhs_u09i9dikopvni1ytpeobwfisi8ato3g21fo3pf6ps2fgyfgzmwzg30irkrx7o9qrx7o2xiofg3w_1.html">韩山师范学院第五届阳光体育节乒乓球公开赛竞赛秩</a></li><li><a title="book 7 module 1basketball" href="lhs_02q03303302z00w01j00w03103302s03903002t00w01d02q02p03702z02t03802q02p030030_1.html">book 7 module 1basketba</a></li><li><a title="统编-部编人教版二年级语文下全册说课稿汇编" href="lhs_p27p3q019smgp3qfjuk0pmkofikinop0nrn1k1zfezg2wg3wrn8rnio5bldzp3q_1.html">统编-部编人教版二年级语文下全册说课稿汇编</a></li>
</ul>
</div> </div><br><br>
</div>
<div class="side">
<div class="side-conter">
<div class="conter-line">
<a class="title3" title="" target="_blank">热门浏览</a>
</div>
<div class="next-txt sile-list">
<ul><li><a title="年产4万吨丁苯橡胶的工艺设计" href=lhd_5cgj23nkaq4g4gh0l16i_10.html>年产4万吨丁苯橡胶的工艺设计</a></li><li><a title="(五上)希腊神话张以永" href=lhd_6hitk3w6jb3blza1bswz_1.html>(五上)希腊神话张以永</a></li><li><a title="2013年度财务决算审计方案" href=lhd_31s424f31u28mwx1483k6i8ss1c8ox01bgg_4.html>2013年度财务决算审计方案</a></li><li><a title="分析化学练习题(有答案)为各章重难点- " href=lhd_6ejvj2pi3u8qp20137zo_4.html>分析化学练习题(有答案)为各章重难点- </a></li><li><a title="第八章 - 营养性疾病患儿的护理 - - 习题[1]" href=lhd_6d9j398fsa5zpal1bu7w_5.html>第八章 - 营养性疾病患儿的护理 - - 习题[1]</a></li><li><a title="云南教育技术装备管理系统操作说明书" href=lhd_4axrr1q358175lm25rqh_5.html>云南教育技术装备管理系统操作说明书</a></li><li><a title="企业文化案例" href=lhd_4fia68ta153fre38i3tc_5.html>企业文化案例</a></li><li><a title="毕业设计(论文)--防尘罩落料拉深冲孔复合模具设计" href=lhd_44vjt0e2d25kaxd91bwp423gj8gjlb00kze_1.html>毕业设计(论文)--防尘罩落料拉深冲孔复合模具设计</a></li><li><a title="主体结构试题-附答案" href=lhd_6t7ti76dk18mqar1rxdn_8.html>主体结构试题-附答案</a></li><li><a title="旅馆信息管理系统毕业设计 - 图文" href=lhd_8ef1v2vzfm0zdc5257f3_13.html>旅馆信息管理系统毕业设计 - 图文</a></li>
</ul>
</div>
</div>
<div class="ad5s" id="pin"><script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script>
<!-- njlh4 -->
<ins class="adsbygoogle"
style="display:inline-block;width:300px;height:600px"
data-ad-client="ca-pub-8169456067121985"
data-ad-slot="9273546564"></ins>
<script>
(adsbygoogle = window.adsbygoogle || []).push({});
</script>
</div>
</div>
</div>
<div class="footer">
<div class="main">
<a class="footer-logo"></a> <ul>
<li><a href="new.html" target="_blank">精选文档</a></li>
<li><a href="about.asp?id=1" target="_blank"> | 免责声明</a></li>
<li><a href="about.asp?id=2">| 服务条款</a></li>
<li><a href="about.asp?id=3">| 联系我们</a></li>
<li><a href="javascript:go2('lhd_31g6110fml7l7tx2asfy_1.html')">| 举报本页文档</a></li>
</ul>
<span>All rights reserved Powered by <a href="./"> 南京廖华答案网 </a><br />
资料来自互联网,
有任何疑问,请联系客服:779662525☒qq.com <a href="https://beian.miit.gov.cn/" target="_blank" class="text">苏ICP备20003344号-2</a> </span></div>
</div>
<script src="http://cpro.baidustatic.com/cpro/ui/f.js" type="text/javascript"></script>
<script type="text/javascript">function c(){if(f1.word.value==''){f1.word.focus();}else{f1.action='ss.asp';f1.submit();}return false;}
function go2(t){document.f1.action='about.asp?url='+t;document.f1.target="_blank";document.f1.submit();}
</script>
<script src="http://libs.baidu.com/jquery/1.9.0/jquery.js"></script>
<script type="text/javascript">
$(window).scroll(function()
{
var h = $(window).height();
var top = $(window).scrollTop();
var rFixedBox = $('#pin').prev().offset();
var fixedTop = rFixedBox.top;
if(top>=fixedTop+$('#pin').prev().height())
$('#pin').css({'position':'fixed','top': 0});
else
$('#pin').css({'position':'static', 'top':0});
});
</script></body>
</html>