在恢復已刪除對象的情況下需要使用授權還原。如:當刪除一個OU、計算機、用戶等AD對象時,如果還原後重啓域控制器,會與網絡中其他域控制器進行復制同步,這樣該域控制器就會接受到OU已經從其他複製夥伴刪除的信息,打開Active Directory用戶與計算機時,發現還原後的AD對象會再次被刪除。
在這種情況下,就必須使用授權還原,以保證還原的AD對象能夠複製到其他域控制器。要對 Active Directory 數據執行授權還原,在還原系統狀態數據完成之後重新啓動服務器之前,必須運行 Ntdsutil 實用程序。使用 Ntdsutil 實用程序,可以 Active Directory 對象標記爲授權還原。如果對象標記爲授權還原,將會對其更新序列號進行更改,使它比 Active Directory 複製系統中的所有其他更新序列號大。這樣,將保證所有還原的已複製或已分發數據在本組織內得到正確的複製或分發。默認情況下,在執行授權還原時,被還原對象的USN將增加100000,這樣被還原對象就成爲整個域的授權副本。
實驗環境:
DC01:域中第一臺域控制器,宿主五個操作主機。
DC02:額外域控制器。
Client01:客戶端,用於驗證還原是否成功。
1.準備系統狀態備份,使用之前的備份即可。使用Windows Server Backup備份系統狀態步驟請參考:http://labixiaoniu.blog.51cto.com/695063/1293867。
2.模擬誤刪除對象。將客戶端計算機帳號Client01和用戶user1、wfax0425刪除。刪除計算機帳號後,客戶端提示失去信任,無法登陸。
3.將DC01重啓後,按F8,選擇“目錄服務修復模式”。
2.目錄還原模式是不能登錄到域的,使用 .\administrator 登陸到本地。
3.打開Windows Server Backup對系統狀態進行還原。這個還原步驟不是實驗的重點,上一篇中也詳細介紹了還原方法,這裏就不重複介紹。只截圖幾個關鍵步驟。
4.還原完成後不要選擇重啓,否則與其他域控制器一同步又會被刪除。使用ntdsutil進行授權還原。打開CMD,輸入:ntdsutil,然後設置活動實例輸入:activate instance ntds 。
5.在ntdsutil中輸入:authoriatative restore 。可以輸入:?查看相應命令的使用方法,使用restore object “DN”進行授權還原。
6.在authoriatative restore下輸入:restore object “cn=wfax0425,ou=it,ou=users,ou=long,dc=lab,dc=com”,對用戶帳號wfax0425進行授權還原。計算機帳號的還原方式也是一樣,輸入:“cn=client01,ou=it,ou=users,ou=long,dc=lab,dc=com”,對計算機帳號進行授權還原。
注意:計算機帳號也是有密碼的,此密碼用於維持計算機和域之間的信任關係,由服務器進行維護。默認情況下這個密碼每30天改變一次。所以進行還原時的備份如果是30天前的,則還原後的計算機帳號還是會和域失去信任。可以通過重新加域來重建信任。
7.授權還原完成後,重啓這臺服務器DC01。打開“Active Directory用戶和計算機”工具可以看到,wfax0425、Client01這2個帳號已經成功還原,與DC02同步後也沒有被刪除,而沒有進行授權還原的帳號user1同步後還是被刪除了。在DC02查看這2個帳號也同步過去了。
8.使用客戶端Client01進行登錄測試,也可以成功登陸。
總結:在實際生產環境中,一般用戶帳號及計算機帳號都會用來對資源權限分配,如果刪除來這些帳號則會照成權限的永久丟失,因爲新建一個一樣的帳號,由於SID不同還是需要重新分配權限。這種情況則可以使用備份對誤刪除的對象做授權還原。但是在Windows Server 2012中還原誤刪除的對象有更好的解決方法,那就是AD回收站。相比2008 R2,2012中的AD回收站帶有圖形界面,操作更簡單。在生產環境如果DC是Windows Server 2012,建議開啓AD回收站,這樣出現誤刪除的時候還原非常方便。有關Windows Server 2012 AD回收站請參考:http://labixiaoniu.blog.51cto.com/blog/695063/1200605
本文出自 “蠟筆小牛” 博客,請務必保留此出處http://labixiaoniu.blog.51cto.com/695063/1295082