类别:域控 / 日期:2019-10-10 / 浏览:690 / 评论:0

在我们上一篇文章中,已经介绍了非授权还原,为了把授权还原的概念讲清楚,所以将其分为上下两部分进行介绍:

下面我们来进行授权还原,这时候有个同学要问了,既然已经恢复了活动目录(用非授权还原,为什么还要进行授权还原呢)下面我们来举个例子进行说明,之后women

介绍一下墓碑时间:

授权还原

假如域内有2台域控制器,在域控制器server1(域中的第1台域控制器)上我们做过备份,但是突然今天不小心把server1上“北京分公司”这个OU或者“北京分公司”中的某个用户帐户“Terry”删除了,变动以后的数据会通过AD的复制功能复制到域控制器server2上,即在域控制器server2上“北京分公司”这个OU 或“Terry”账户也会被删除。此时我们会想到,利用正常还原在server1进行还原,将“北京分公司”这个OU 或“Terry”账户恢复。不错,我们确实可以在server1还原“北京分公司”这个OU 或“Terry”账户,可是我们虽然在server1上还原了“北京分公司”这个OU 或“Terry”账户,但在server2上“北京分公司”这个OU 或“Terry”账户已经被标记为“已删除”的对象,那么当下一次server1和server2之间执行AD复制的操作时,server1中被还原的“北京分公司”这个OU 或“Terry”账户会被再次删除,因为对于域控制器来说,server2上被标识为“已删除”的“北京分公司”这个OU 或“Terry”账户的版本号较高,而server1中刚刚还原的“北京分公司”这个OU 或“Terry”账户是旧的数据,其版本号较低。而域控制中当两个对象有冲突时,版本号较高的对象会覆盖掉版本号较低的对象。此时我们不仅需要在server1上执行正常还原,而且还需要接着执行授权还原,以便使server上刚刚被还原的旧“北京分公司”这个OU 或“Terry”账户的版本号增加,而且这个增加是从上一次备份当天到这次授权还原为止,每天会增加100000次,这样授权还原就会保障server1中还原的旧数据的本版号总比server2中被标记为“已删除”的对象的版本号高。这样当server1和server2做AD复制时,就会还原旧的“北京分公司”这个OU 或“Terry”账户。呵呵,这段有点长,但我想我讲明白了。

我们来接着上一步进行授权还原,当我们进行非授权还原之后,会提示我们进行重启,此时不要重启,接下来我们操作的就是授权还原,我们可以恢复指定的用户:

在server1的“目录服务还原模式”下,“开始”->“运行”->输入cmd打开命令提示符窗口->输入ntdsutil启动ntdsutil.exe程序。如下图

步骤6:我们输入?号来获取当前ntdsutil命令的帮助,这里我们需要确认要恢复的数据库文件,输入命令Authoritative Instance NTDS,然后我们这里需要Authoritative restore来授权还原数据库(其实就是修改AD对象的版本号),所以接着输入Authoritative restore命令,如下图

步骤7:在“Authoritative restore:”提示符下,针对域中contoso.com内的“北京分公司”下的“研发部”OU执行授权还原。所以我们输入:

Restore subtree OU=研发部,OU=北京分公司,DC=contoso,DC=com。

然后按“回车”,接会弹出授权还原确认对话框。整个过程如下图

步骤8:开始授权还原“研发部”OU,过程如下图

步骤9:我们接着还原“alice”用户账户,在“Authoritative restore:”提示符下继续输入:Restore subtree CN=alice,OU=销售部,OU=北京分公司,DC=contoso,DC=com。

然后按“回车”,接会弹出授权还原确认对话框。整个过程如下图。

步骤10:开始授权还原“销售部”OU下的“alice”用户账户,过程如下图

步骤11,分别在“Authoritative restore:”和“ntdsutil:”提示符下输入quit退出授权还原,授权还原完成。接着重启server1。

步骤12,重启server1之后,server1和server2之间进行复制,需要花费一点时间。最终我们在server1和server2上看到了我们还原后的数据。

到此为止,我们的授权还原也已经完成了;

更改TombstoneLifeTime时间

当一个对象被删除的时候,它并不是立刻彻底消失了。事实上,此时对象只是成一个被标记为“墓碑记录”的记录。当经过默认的TombstoneLifeTime(墓碑生存周期)180天后,这个记录才会从AD数据库彻底删除,所以默认情况,我们只能还原180天之内的记录。但我们可以通过手动修改TombstoneLifeTime时间,来恢复指定时间的AD数据库备份。(注意以前版本的操作系统中TombstoneLifeTime默认时间为60天

运行ADsiedit.msc,依次进行如下图选择设置

打赏

感谢您的赞助~

打开支付宝扫一扫,即可进行扫码打赏哦~

版权声明 : 本文未使用任何知识共享协议授权,您可以任何形式自由转载或使用。

 可能感兴趣的文章