若要查看该命令语法,请单击以下命令:
• Authoritative restore
• Configurable settings
• Domain management
• Files
• IPDeny List
• LDAP policies
• Metadata cleanup
• Roles
• Security account management
• Semantic database analysis
• Set DSRM Password
Authoritative restore
将域控制器还原到一个特定时间点,并将 Active Directory 中的对象标记为对于其复制伙伴具有权威性。在具有 Windows Server 2003 或 Windows Server 2003 过渡版功能级别的林中,此选项还可以为那些在功能级别提升后创建的链接还原反向链接。(例如,还原的用户对象所属的组的成员属性将更新。)在运行随 Windows Server 2003 Service Pack 1 (SP1) 提供的 Windows 支持工具中包括的 Ntdsutil 版本的域控制器上,authoritative restore 将创建一个 LDAP 数据交换格式 (LDIF) 文件,该文件可用来为功能级别提升前创建的链接还原反向链接。
在 authoritative restore: 提示符下,键入“语法”下面列出的任意一个参数。
语法
{create ldif file(s) from %s|restore database|restore database verinc %d|restore object %s|restore object verinc %d|restore subtree %s|restore subtree %s verinc %d}
参数
从 %s 创建 ldif 文件 。
在 Windows Server 2003 SP1 中包括的 Ntdsutil 版本中可用。此选项从 Ntdsutil 生成的文本文件(在 %s 中命名)中创建链接更新的 LDIF 文件。该文件可用来更新还原的对象所属的域以外的域中的对象上的反向链接。例如,该文件可用来为用户还原组成员关系,而涉及的组和用户可以属于不同的域。
restore database
将整个 Ntds.dit(域控制器拥有的域和配置目录分区)标记为具有权威性。架构不能进行权威还原。
restore database verinc %d
将整个 Ntds.dit(域控制器拥有的域和配置目录分区)标记为具有权威性,并按 %d 乘以自备份后的天数来增加版本号。该选项仅用于权威性地还原先前不正确的权威还原,例如对备份(该备份包含您想还原的问题)进行的权威还原。
%d
一个覆盖默认值 100,000 的数字值。要执行权威性还原的对象或数据库的版本号将按此值乘以自备份后的天数来增加。
restore object %s
将对象 %s 标记为具有权威性。在您使用 Windows Server 2003 SP1 中包括的 Ntdsutil 版本时,此选项还将生成一个包含还原对象的可分辨名称的文本文件,和一个可用来为正在执行权威性还原的对象还原反向链接(如用户的组成员关系)的 LDIF 文件。
restore object %s verinc %d
将对象 %s标记为具有权威性,并如 restore object %s 中所述更新链接,同时按 %d 乘以自备份后的天数增加版本号。该选项仅用于权威性地还原先前不正确的权威还原,例如对备份(该备份包含您想还原的问题)进行的权威还原。
restore subtree %s
将子树 %s(和子树的所有子项)标记为具有权威性。在您使用 Windows Server 2003 SP1 中包括的 Ntdsutil 版本时,此选项还将生成一个包含还原对象的可分辨名称的文本文件,和一个可用来为正在执行权威性还原的对象还原反向链接(如用户的组成员关系)的 LDIF 文件。
restore subtree %s verinc %d
将子树 %s(和子树的所有子项)标记为具有权威性,并如 restore subtree %s 中所述更新链接,同时按 %d 乘以自备份后的天数增加版本号。该选项仅用于权威性地还原先前不正确的权威还原,例如对备份(该备份包含您想还原的问题)进行的权威还原。
%s
一个字母数字变量,或者是还原对象或子树的可分辨名称,或者是用来创建 LDIF 文件的文本文件的文件名称。
quit
返回到上一个菜单或退出实用程序。
? 或者 help
在命令提示符下显示帮助。
注释
• 当您使用备份和还原程序(如 Ntbackup 或来自其他提供商的程序)还原域控制器时,还原的默认模式为非权威。这意味着还原的服务器将通过常规复制机制恢复到其副本的最新状态。例如,如果从两周前的备份磁带还原域控制器,则常规还原机制将把该域控制器恢复到关于其复制伙伴的最新状态。
• 如果管理员不小心删除了包含大量用户的组织单位,您可能需要执行权威还原。如果从磁带还原服务器,则常规复制进程不还原因疏忽而删除的组织单位。权威还原允许您将这种组织单位标记为具有权威性,并强行使复制进程将其还原到域中的所有其他域控制器。
Configurable settings
帮助修改存储在 Active Directory 的动态数据的 TTL。在 configurable setting: 提示符下,键入“语法”下面列出的任意一个参数。
语法
{cancel changes|connections|list|set %s to %s|show values}
参数
cancel changes
取消已进行但还未提交的更改。
connections
调用 server connections 子菜单。
list
列出所支持的可配置设置的名称。
set %s to %s
将可配置设置 %s1 设置为值 %s2。
show values
显示可配置设置的值。
%s
字母数字变量,如域或域控制器名称。
quit
返回到上一个菜单或退出实用程序。
? 或者 help
在命令提示符下显示帮助。
Domain management
允许作为 Enterprise Administrators 组成员的管理员准备目录中的交叉引用和服务器对象。在 domain management:提示符下,键入“语法”下面列出的任意一个参数。
语法
{add nc replica %s %s|connections|create nc %s %s|remove nc replica %s %s|list|list nc information %s|list nc replicas %s|precreate %s %s|delete NC %s|select operation target|set nc reference domain %s %s|set nc reference domain %s %s|set nc replicate notification delay %s %d %d}
参数
add nc replica %s %s
将域控制器 %s2 添加到非域命名上下文 %s1 的副本集。如果未指定 %s2,则默认使用您所连接的域控制器。
connections
调用 Server connections 子菜单。
create nc %s %s
在 DC %s2 上创建非域命名上下文 %s1。如果未指定 %s2,则使用当前连接的域控制器。若要不指定参数,请输入 (NULL)。
remove nc replica %s %s
从非域命名上下文 %s1 的副本集删除域控制器 %s2。如果未指定 %s2,则使用当前连接的域控制器。
list
列出企业中存在的所有命名上下文、架构和配置命名上下文,以及所有域命名上下文。
list nc information %s
打印出非域命名上下文的参考域和复制延迟。
list nc replicas %s
打印非域命名上下文 %s 的副本集中域控制器的列表。请记住,这是最终拥有非域命名上下文副本的域控制器的列表,这些副本可能还没有完全复制。
precreate %s %s
为域 %s1 创建一个交叉引用对象,以允许名为 %s2 的服务器提升为该域的域控制器。必须使用完全可分辨名称指定该域名,且必须使用完全规范的 DNS 名称命名该服务器。
delete nc %s
删除非域命名上下文 %s。在删除非域命名上下文之前,必须删除其所有副本,并且副本的删除必须复制回域命名操作主机。
select operation target
调用 Select operation target 子菜单。
set nc reference domain %s %s
将非域命名上下文 %s1 的参考域设置为 %s2。应该按域的 DNS 命名格式指定域 %s2。例如:widgets.microsoft.com。
set nc replicate notification delay %s %d %d
将非域命名上下文 %s 的通知延迟设置为 %d1 和 %d2,分别对应于将更改通知给第一个域控制器和通知给随后的域控制器的延迟。
%s
字母数字变量,如域或域控制器名称。
%d
数字变量,如复制延迟时间周期。
quit
返回到上一个菜单或退出实用程序。
? 或者 help
在命令提示符下显示帮助。
Files
提供管理目录服务数据和日志文件的命令。该数据文件叫做 Ntds.dit。在 files:提示符下,键入“语法”下面列出的任意一个参数。
语法
{compact to %s|header|info|integrity|move DB to %s|move logs to %s|recover|set path backup %s|set path db %s|set path logs %s|set path working dir %s}
参数
compact to %s(其中 %s 标识一个空的目标目录)
调用 Esentutl.exe 以压缩现有的数据文件,并将压缩后的文件写入指定目录中。该目录可以是远程的,即通过 net use 命令或类似的方法映射。压缩完成之后,存档旧的数据文件,将新压缩的文件返回到该数据文件的原来位置。ESENT 支持联机压缩,但此压缩只是重新安排数据文件内的页面,并不将空间释放回文件系统。(目录服务定期调用联机压缩。)
header
将 Ntds.dit 数据文件的标题显示到屏幕上。此命令可以帮助支持人员分析数据库问题。
info
分析和报告系统上安装的磁盘的可用空间,读取注册表,然后报告数据和日志文件的大小。(目录服务维护注册表,后者标识数据文件、日志文件和目录服务工作目录的位置。)
integrity
调用 Esentutl.exe 来执行数据文件的完整性检查,这样可以检测到任何类型的低级数据库损坏。它读取数据文件的每个字节,因此用它来处理大型数据库会花费很长时间。注意,在执行完整性检查之前,始终要运行 Recover。
move DB to %s(其中 %s 标识目标目录)
将 Ntds.dit 数据文件移动到由 %s 指定的新目录中并更新注册表,使得在系统重新启动时,目录服务使用新的位置。
move logs to %s(其中 %s 标识目标目录)
将目录服务日志文件移动到由 %s 指定的新目录中并更新注册表,使得在系统重新启动时,目录服务使用新的位置。
recover
调用 Esentutl.exe 以执行数据库的软恢复。软恢复可扫描日志文件,并确保其中所有提交的事务也反映在数据文件中。Windows 2000 备份程序可适当地截短日志文件。日志可确保当系统发生故障或意外断电时提交的事务不会丢失。实质上,事务数据首先写入日志文件,然后写入数据文件。当发生故障后重新启动时,可以重新运行日志来再次生成已提交但未写入数据文件的事务。
set path backup %s(其中 %s 标识目标目录)
将磁盘到磁盘的备份目标设置为 %s 所指定的目录。目录服务可配置为按计划好的间隔执行联机的磁盘到磁盘备份。
set path db %s(其中 %s 标识目标目录)
更新标识数据文件的位置和文件名的注册表部分。此命令仅用于重新建立丢失其数据文件的域控制器和未通过正常还原过程还原的域控制器。
set path logs %s(其中 %s 标识目标目录)
更新标识日志文件的位置的注册表部分。此命令仅用于重新建立丢失其日志文件的域控制器和未通过正常还原过程还原的域控制器。
set path working dir %s(其中 %s 标识目标目录)
将标识目录服务的工作目录的注册表部分设置为 %s 所指定的目录。
%s
字母数字变量,如域或域控制器名称。
quit
返回到上一个菜单或退出实用程序。
? 或者 help
在命令提示符下显示帮助。
警告
• 编辑注册表不当可能会严重损坏您的系统。在更改注册表之前,应备份计算机上任何有价值的数据。
注释
• Active Directory 是在索引顺序访问方法 (ISAM) 表管理器上实施的。这与 Microsoft Exchange Server、文件复制服务、安全配置编辑器、证书服务器、Windows Internet 名称服务 (WINS) 和其他 Windows 组件使用的表管理器相同。Windows 2000 和 Windows Server 2003 Standard Edition 使用的数据库的版本称为可扩展存储引擎 (ESENT)。
ESENT 是一个事务处理数据库系统,它支持回滚语义以确保将事务提交到数据库。在理想情况下,数据和日志文件应位于单独的驱动器以提高性能并支持磁盘出现故障时的数据恢复。
• ESENT 提供了自己的 Esentutl.exe 工具以实现特定的数据库文件管理功能,该工具也安装在 systemrootSystem32 文件夹中。有几种 Ntdsutil 文件管理命令可调用 Esentutl,因此减少了学习此工具的命令行参数的需求。当 Ntdsutil 调用 Esentutl 时,它会弹出一个单独的窗口,其中有大量历史记录,您可以向后滚动以查看所有的 Esentutl 进度指示器。
Active Directory 以独占模式打开其文件。这意味着当系统作为域控制器运行时,不能管理文件。
管理目录服务文件
1.
启动计算机。
2.
当出现“正在启动 Windows”进度条时,按 F8。
3.
从“Windows 2000 高级选项菜单”中,选择“目录服务还原模式”。
注意
• 以“目录服务还原模式”启动计算机会导致域控制器暂时以独立服务器的形式运行。这样会使某些服务失败,特别是与目录服务集成的那些服务。当以该模式运行时,安全帐户管理器 (SAM) 使用注册表中存储的最小的一组用户和组定义。如果您的域控制器在物理上不安全,则应设置“目录服务还原模式”的管理密码。
IPDeny List
阻止域控制器从具有指定 IP 地址的客户端接收 LDAP 查询。在 ipdeny list: 提示符下,键入“语法”下面列出的任意一个参数。
语法
{add %s1 %s2|cancel|commit|connections|delete %d|show|test %s}
参数
add %s1 %s2
在“IP 否认列表”中添加项。第一个参数 %s1 是 IP 地址的主机组件或网络组件。如果指定了主机组件,则第二个参数 %s2 被指定为 NODE;而如果指定了网络组件,则第二个参数为子网掩码。请参阅“范例”部分。只有用 Commit 命令提交以后,才能应用使用 add 命令指定的各项。
cancel
取消任何未提交的添加或删除。
commit
将所有添加或删除提交给 LDAP 策略对象。
connections
调用 server connections 子菜单。
delete %d
删除具有索引号 %d 的指定项。使用 show 命令显示具有各自索引号的项。
%d
数字变量,如复制延迟时间周期。
show
显示“IP 否认列表”中包含的所有 IP 地址。
test %s
确定是允许还是拒绝 %s 所指定的 IP 地址访问域控制器。例如,如果“IP 否认列表”项为 192.168.100.0 255.255.255.0,那么当用地址 192.168.100.10 进行测试时,访问被拒绝。
%s
字母数字变量,如域或域控制器名称。
quit
返回到上一个菜单或退出实用程序。
? 或者 help
在命令提示符下显示帮助。
注释
• 与 LDAP 管理限制很类似,“IP 否认列表”只改变“默认的 LDAP 策略”对象。默认的 LDAP 策略将应用于其本身以及其所属站点尚未应用特定 LDAP 策略的任何域控制器。
范例
要拒绝来自地址为 192.168.100.10 的主机的访问,其命令为:
Add 192.168.100.10 NODE
要拒绝来自网络地址为 192.168.100.0 的所有主机的访问,其命令为:
Add 192.168.100.0 255.255.255.0
LDAP policies
设置“默认查询策略”对象的 LDAP 管理限制。在 LDAP policies: 提示符下,键入“语法”下面列出的任意一个参数。
语法
{cancel changes|commit changes|connections|list|set %s to %s|show values}
参数
cancel changes
取消对默认查询策略的任何未提交的 LDAP 管理限制修改。
commit changes
提交对默认查询策略的所有 LDAP 管理限制修改。
connections
调用 Server connections 子菜单。
list
列出该域控制器的所有支持的 LDAP 管理限制。
set %~s1 to %s2
将 LDAP 管理限制 %s1 的值设置为值 %s2。
show values
显示 LDAP 管理限制的当前值和建议的值。
%s
字母数字变量,如域或域控制器名称。
quit
返回到上一个菜单或退出实用程序。
? 或者 help
在命令提示符下显示帮助。
注释
• 下表列出并描述了 LDAP 管理限制,括号内为默认值。
值 描述
InitRecvTimeout
初始接收超时(120 秒)
MaxConnections
最大的打开连接数 (5000)
MaxConnIdleTime
连接可空闲的最长时间(900 秒)
MaxActiveQueries
在同一时间可处于活动状态的最大查询数 (20)
MaxNotificationPerConnection
对于给定连接,客户端可请求的最大通知数 (5)
MaxPageSize
对于 LDAP 响应所支持的最大页面大小(1000 个记录)
MaxQueryDuration
域控制器可以执行查询的最长时间(120 秒)
MaxTempTableSize
为执行查询而分配的临时存储的最大值(10,000 个记录)
MaxResultSetSize
LDAP 结果集的最大大小(262144 个字节)
MaxPoolThreads
域控制器为查询操作创建的最大线程数(每个处理器 4 个)
MaxDatagramRecv
域控制器可同时处理的最大数据报数量 (1024)
• 为了确保域控制器能支持服务等级保证,需要指定许多轻型目录访问协议 (LDAP) 操作的操作限制。这些限制可防止特定操作对服务器的性能产生负面影响,并且使服务器能更好地抵御拒绝服务攻击。
LDAP 策略是使用 queryPolicy 类的对象实现的。“查询策略”对象可以在查询策略容器中创建,该容器是配置命名上下文中“目录服务”容器的子项。例如:CN=Query-Policies, CN=Directory Service, CN=Windows NT, CN=Services(配置目录分区)。
域控制器使用以下三种机制来应用 LDAP 策略:
• 域控制器可以引用特定的 LDAP 策略。nTDSASettings 对象包括一个可选属性 queryPolicyObject,其中包含查询策略的可分辨名称。
• 当缺少应用到域控制器的特定查询策略时,域控制器应用已指派给域控制器的站点的查询策略。ntDSSiteSettings 对象包括一个可选属性 queryPolicyObject,其中包含查询策略的可分辨名称。
• 当缺少特定域控制器或站点查询策略时,域控制器使用名为“默认查询策略”的默认查询策略。
查询策略对象包括多值属性 LDAPIPDenyList 和 LDAPAdminLimits。Ntdsutil 允许管理员设置“默认查询策略”对象的 LDAP 管理限制和 IP 否认列表。
Metadata cleanup
清理失败的域控制器的元数据。当失败的域控制器存储一个或多个域或应用程序目录分区(也叫“名称上下文)的唯一副本时,元数据清理还将为选定域或应用程序目录分区清理元数据。在您使用 Windows Server 2003 Service Pack 1 (SP1) 中包括的 Ntdsutil.exe 版本时,元数据清理还将删除文件复制服务 (FRS) 连接,并尝试转移或取代弃用的域控制器拥有的任何操作主机角色。
在 metadata cleanup: 提示符下,键入“语法”下面列出的任意一个参数。
语法
{connections|remove selected domain|remove selected naming context|remove selected server|remove selected server %s|remove selected server %s1 on %s2|select operation target}
参数
注意
• 在您使用 Windows Server 2003 SP1 中所包括的 Ntdsutil.exe 版本时,可以使用 remove selected server %s 或 remove selected server %s on %2 命令删除服务器元数据,而不必首先使用 Server connections 和 Select operation target 子菜单。
connections
调用 Server connections 子菜单。
remove selected domain
删除与在 Select operation target 子菜单中选择的域相关联的元数据。
remove selected naming context
删除与在 Select operation target 子菜单中选择的名称上下文相关联的元数据。
remove selected server
删除与在 Select operation target 子菜单中选择的域控制器相关联的元数据。
remove selected server %s
在 Windows Server 2003 SP1 中包括的 Ntdsutil.exe 版本中,从 localhost 上的目录中删除禁用服务器 %s 的目录和 FRS 元数据,并尝试将服务器 %s 拥有的任何操作主机角色转移到 localhost。
remove selected server %s1 on %s2
在随 Windows Server 2003 SP1 提供的 Ntdsutil.exe 版本中,连接到服务器 %s2,从服务器 %s2 上的目录中删除服务器 %s1 的目录和 FRS 元数据。并尝试将由服务器 %s1 拥有的任何操作主机角色转移到服务器 %s2。
select operation target
调用 Select operation target 子菜单。
quit
返回到上一个菜单或退出实用程序。
? 或者 help
在命令提示符下显示帮助。
注释
• 目录服务为林所知道的每个域和服务器维护各种元数据。通常,域和域控制器是通过 Active Directory 安装向导中的升级方法创建,通过该工具中的降级方法删除的。可以在命令行键入 dcpromo 来调用 Active Directory 安装向导。
升级和降级的设计目的是正确清理适当的元数据。然而,在目录中可能有些域控制器未能正确清理。在这种情况下,它们的元数据还没有清除。例如,当某个域控制器失败后,不尝试还原它,而是决定弃用该服务器。这样就会在目录中留下有关此弃用域控制器的信息。一般操作模式是连接到已知具有冲突元数据的副本的服务器,选择操作目标,然后删除选定目标的元数据。Windows Server 2003 SP1 中包括的 Ntdsutil.exe 版本可以自动连接到指定的服务器并在同一步骤中删除指定目标的元数据。
警告
• 请不要删除现有域和域控制器的元数据。
Roles
转移和取代操作主机角色。在 roles: 提示符下,键入“语法”下面列出的任意一个参数。
语法
{connections|seize domain naming master|seize infrastructure master|seize PDC|seize RID master|seize schema master|select operation target|transfer domain naming master|transfer infrastructure master|transfer PDC|transfer RID master|transfer schema master}
参数
connections
调用 Server connections 子菜单。
seize domain naming master
强行使您所连接的域控制器声明对域命名操作主机角色的所有权,而不考虑与该角色相关的数据。仅用于恢复目的。
seize infrastructure master
强行使您所连接的域控制器声明对结构操作主机角色的所有权,而不考虑与该角色相关的数据。仅用于恢复目的。
seize PDC
强行使您所连接的域控制器声明对 PDC 操作主机角色的所有权,而不考虑与该角色相关的数据。仅用于恢复目的。
seize RID master
强行使您所连接的域控制器声明对相对 ID 主机角色的所有权,而不考虑与该角色相关的数据。仅用于恢复目的。
seize schema master
强行使您所连接的域控制器声明对架构操作主机角色的所有权,而不考虑与该角色相关的数据。仅用于恢复目的。
select operation target
调用 Select operation target 子菜单。
transfer domain naming master
命令您所连接的域控制器通过受控转移的方式获得域命名角色。
transfer infrastructure master
命令您所连接的域控制器通过受控转移的方式获得结构操作主机角色。
transfer PDC
命令您所连接的域控制器通过受控转移的方式获得 PDC 操作主机。
transfer RID master
命令您所连接的域控制器通过受控转移的方式获得相对 ID 主机角色。
transfer schema master
命令您所连接的域控制器通过受控转移的方式获得架构操作主机角色。
quit
返回到上一个菜单或退出实用程序。
? 或者 help
在命令提示符下显示帮助。
注释
• 虽然 Active Directory 建立在多主机管理模型基础之上,但某些操作只支持单主机。对于多主机操作,冲突的解决可确保当系统完成复制后,所有副本都有给定对象上给定属性的一致的值。但是,某些数据不可能进行充分的冲突解决,它们是系统作为一个整体而工作的关键。这些数据由单独的域控制器(称为操作主机)来控制。可以说这些域控制器承担着特定的操作主机角色。
下面是五种操作主机角色,一些在企业范围内,一些在域范围内:
• 架构操作主机。整个企业只有一个架构操作主机角色。该角色允许操作主机服务器接受架构更新。对于架构更新还有其他限制。
• 相对 ID 主机。每个域都有一个相对 ID 主机。域中的每个域控制器都能够创建安全主体。每个安全主体被指派一个相对 ID。每个域控制器都被分配一组域范围的相对 ID 池之外的少量相对 ID。相对 ID 主机角色允许域控制器在域范围的相对 ID 池之外分配新的子池。
• 域命名主机。整个企业只有一个域命名主机角色。域命名主机角色允许所有者在“分区”容器中定义新的代表域的交叉引用对象。
• PDC 操作主机。每个域中都有一个主域控制器 (PDC) 操作主机角色。PDC 操作主机角色的所有者标识域中的哪个域控制器执行 Windows NT 4.0 PDC 活动以支持 Windows NT 4.0 备份域控制器和使用旧版本 Windows 的客户端。
• 结构主机。每个域中有一个结构主机角色。该角色的所有者可利用特定属性(其中包含可能存在于其他域中的其他对象的可分辨名称)确保对象的引用完整性。由于 Active Directory 允许移动或重命名对象,因此结构主机定期检查对象的修改情况并保持这些对象的引用完整性。
• 只能通过管理参与来移动操作主机角色,不能自动移动。另外,角色的移动受到标准访问控制的控制。因此,公司应严密控制操作主机角色的位置和移动。例如,某个 IT 实力强大的单位可能将架构角色放在 IT 组中的某个服务器上,并配置其访问控制列表 (ACL) 使其完全不能移动。
操作主机角色需要两种管理形式:受控转移和占用。
当您想要将角色从一个服务器移动到另一个服务器时(也许是为了跟踪与角色位置有关的策略更改,或者是预计要关闭、移动或清理服务器),请使用受控转移。
当承担某个角色的服务器发生故障并且您不希望还原它时,需要使用取代方法。即使在从备份恢复的情况下,服务器也不假定它拥有某个角色(即使备份磁带上这么说),因为服务器不能确定在进行备份和服务器发生故障并恢复之间的时间周期内,该角色是否已被合理地转移到另一个服务器上。仅当在恢复期间存在现有服务器的仲裁,并且它们都一致认为还原的服务器仍然是所有者的情况下,还原的服务器才接受角色所有权。
Ntdsutil 中的 Roles 子菜单用于执行操作主机角色的受控转移和恢复。受控转移简单而安全。因为源服务器和目标服务器都在运行,所以系统软件可保证操作主机角色令牌及其相关数据的细微转移。操作主机角色取代同样简单,但不那么安全。您只要简单地告诉某个域控制器它现在已成为特定角色的所有者即可。
警告
• 如果网络上存在真正的角色承担者,请不要使用取代命令使服务器成为该角色的所有者。这样做会对关键的系统数据产生不可调和的冲突。如果某个操作主机角色所有者只是暂时性不可用,请不要使另一个域控制器成为该角色所有者。这样做会出现两个计算机同时承担同一个角色所有者的情况,由此会对关键的系统数据产生不可调和的冲突。
Security account management
管理安全标识符 (SID)。在 security account management: 提示符下,键入“语法”下面列出的任意一个参数。
语法
{check duplicate SID|cleanup duplicate SID|connect to server %s|log file %s}
参数
check duplicate SID
检查域中有重复安全标识符的任何对象。
cleanup duplicate SID
删除有重复安全标识符的所有对象,并将这些项记录到日志文件中。
connect to server %s
连接到服务器、NetBIOS 名称或 DNS 主机名称。
log file %s
将日志文件设置为 %s。如果没有明确设置日志文件,则默认为 Dupsid.log。
%s
字母数字变量,如域或域控制器名称。
quit
返回到上一个菜单或退出实用程序。
? 或者 help
在命令提示符下显示帮助。
注释
• 每个安全帐户(用户、组和计算机)都由唯一的安全标识符 (SID) 进行标识。使用 SID 可唯一地标识安全帐户,并对资源(例如文件、文件目录、打印机、Exchange 邮箱、Microsoft SQL Server 数据库、Active Directory 中存储的对象,或受 Windows Server 2003 Standard Edition 安全模式保护的任何数据)执行访问检查。
SID 由标题信息和一组标识域和安全帐户的相对标识符组成。在域中,每个域控制器都能创建帐户并为每个帐户颁发一个唯一的安全标识符。每个域控制器都保留一个相对 ID 池,用于创建安全标识符。当占用相对 ID 池的 80% 以后,域控制器向相对 ID 操作主机请求一个新的相对标识符池。这就确保了同一个相对 ID 池永远不会分配给不同的域控制器,可防止分配重复的安全标识符。但是,因为有可能(尽管可能性非常小)分配重复的相对 ID 池,所以需要标识已被发放重复的安全标识符的那些帐户,以便防止发生不期望的安全应用程序。
重复的相对 ID 池发生的原因之一是:当原来的相对 ID 主机还在运行但只是暂时性从网络中断开时,管理员取代了该相对 ID 主机角色。在常规操作中,在一个复制循环之后,相对 ID 主机角色仅由一个域控制器接受,但有可能在解决该角色所有权之前,两个不同的域控制器都请求了新的相对 ID 池,并且被分配了相同的相对 ID 池。
Semantic database analysis
相对于 Active Directory 语义分析数据。在 semantic database analysis: 提示符下,键入“语法”下面列出的任意一个参数。
语法
{get %d|go|verbose %s}
参数
get %d
从 Ntds.dit 检索记录号 %d。
go
启动 Ntds.dit 的语义分析。在当前目录中生成一个报告并写入到名为 Dsdit.dmp.n 的文件中,其中 n 是每次执行此命令时递增的整数。
verbose %s
打开或关闭详细模式。
%d
数字变量,如复制延迟时间周期。
%s
字母数字变量,如域或域控制器名称。
quit
返回到上一个菜单或退出实用程序。
? 或者 help
在命令提示符下显示帮助。
注释
• 与上文所述的文件管理命令不同,文件管理命令相对于 ESENT 数据库语义测试数据库的完整性,而语义分析相对于 Active Directory 语义分析数据。它按照出现的记录编号生成报告,包括已删除和幻像记录。
注意
• 最终用户不应使用此命令,除非 Microsoft 要求他们将其用作错误诊断的辅助工具。
Set DSRM Password
重设域控制器上的目录服务还原模式 (DSRM) 密码。在 Reset DSRM Administrator Password: 提示符下,键入“语法”下面列出的以下任意一个参数。
语法
Reset Password on server %s
参数
Reset Password on server %s
提示输入域控制器的新 DSRM 密码。使用 NULL 作为域控制器的名称可重设当前服务器上的 DSRM 密码。当输入此参数后,将显示 Please type password for DS Restore Mode Administrator Account:提示符。在此提示符下,键入所需的新 DSRM 密码。
%s
字母数字变量,如域或域控制器名称。
quit
返回到上一个菜单或退出实用程序。
? 或者 help
在命令提示符下显示帮助。
注释
• 域控制器上的 DSRM 密码是在服务器上运行 Active Directory 安装向导 (Dcpromo) 将其升级为域控制器时初始设置的。
• 如果域控制器处于目录服务还原模式,则无法使用 ntdsutil 在域控制器上重置 DSRM 密码。
注释
• 默认情况下,Ntdsutil.exe 安装在 systemrootSystem32 文件夹中。有关 Ntdsutil.exe 的详细信息,请参阅使用 Ntdsutil。
• 如果变量中有空格,请用括号括起来,而不要用引号,如下所示:
connect to server (xxx yyy)
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/312079/viewspace-245490/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/312079/viewspace-245490/
173
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
