灾难恢复ActiveDirectory用户和组..docVIP

灾难恢复：Active Directory用户和组 复制和对象链接结构 使用 NTDSUTIL 备份和还原 权威还原和非权威还原 Active Directory 是 Windows 网络中最为关键的服务之一，为了避免出现停机时间和损失生产力，对与 Active Directory 有关的问题制订有效的灾难恢复计划是至关重要的。因此需要建立一个 Active Directory? 故障方案 - 意外删除数据 - 制定计划。 意外删除对象是服务失败最常见的根本原因之一。当我参加研讨会和会议时，我常常询问有谁曾经因为意外删除数据而导致 Active Directory 失败。而每次几乎所有人都举手。 要理解为何数据恢复是如此复杂，必须先理解以下内容：Active Directory 如何恢复和复制对象、如何删除对象以及权威还原和非权威还原的结构。 存储对象 Active Directory 是一个实施 X.500/LDAP 数据模型的专门的对象数据库。数据存储（称为目录信息树或 DIT）基于可扩展存储引擎 (ESE)，这是一个索引顺序访问方法 (ISAM) 数据库引擎。从概念上说，Active Directory 将 DIT 存储在两张表中：数据表（包含实际的 Active Directory 对象和属性）和链接表（包含对象之间的关系）。 每个 Active Directory 对象存储在数据表中单独的一行，每个属性一列。数据表包含存储在域控制器 (DC) 上的所有副本的所有条目。在一个常规 DC 上，数据表包含来自域 NC（命名上下文）、配置 NC 和架构 NC 的条目。在全局编录上，数据表包含林中每个对象的条目。 Active Directory 使用可分辨名称标记 (DNT)（一个 32 位的整数）来唯一标识数据表中的每一行。用于内部引用对象的 DNT 比其他标识符如可分辨名称 (DN) 和 objectGUID（一个 16 字节的二进制结构）都小得多。但是与 objectGUID 不同的是，DNT 是一个本地标识符，并且在每个 DC 上都不同。 Active Directory 如何链接对象 Active Directory 管理 DIT 中对象间的两类关系：父子关系（也称为容器关系）和引用关系（也称为链接关系）。为了实施父子关系，Active Directory 在数据表中存储了一个称为父可分辨名称标记（或 PDNT）的附加列。该列始终包含对象的父对象的 DNT。 Active Directory 中的每个属性均由 Active Directory 架构容器中的 attributeSchema 对象定义。Active Directory 中的某些属性定义为链接属性，由 attributeSchema 对象的 linkID 属性中的一个非零偶数值确定。链接属性建立了目录中对象间的关系，可以是单值或多值。组对象的成员属性是多值链接属性的一个例子 — 它建立了组对象及其成员对象之间的链接。 即使看起来组的成员属性包含成员的 DN（例如，通过 Active Directory 用户和计算机管理单元显示），但这不是 Active Directory 存储它们的方式。当您将成员对象的 DN 添加到组的成员属性时，Active Directory 存储对象的 DNT 而并非其 DN。由于即使将对象重命名 DNT 也不会改变，因此可以重命名用户对象，而且 Active Directory 不用对系统中所有的组排序以更新每个成员属性的 DN。这就是 Active Directory 如何在 DIT 内维护引用完整性的原理。图 1 所示为一个经过大大简化的数据表和链接表如何彼此关联的示意图。这些表所示的三个用户对象（Molly Clark、Alexander Tumanov 和 Makoto Yamagishi）都是 Senior Engineers 组的成员。 这些链接称为前向链接。类似地，Active Directory 还提供了后向链接属性。这为从链接指向的对象返回到引用链接的对象提供了引用，意味着该对象具有前向链接。用户和组的 memberOf 属性是后向链接属性的一个例子。属性 Schema 对象描述了一个后向链接属性，该属性具有 linkID 值，其值比相应的前向链接属性以偶数编号的 linkID 值大 1。 例如，Windows Server? 2003 R2 架构中成员属性的 linkID 值为 2，作为后向链接的 memberOf 属性的 linkID 值为 3。有关详细信息，图 2 提供了一个默认情况下 Windows Server 2003 R2 架构中定义的链接属性列表。 后向链接属性总是多值的，由 Ac