数据库ntds.dit,
日志文件edb.log,这个文件最大是10M,当不够时会生成 edb00001.log等文件,

当创建或删除用户时会写入此文件,(其实首先写出缓存)然后再写入edb.log和

ntds.dit,并把该操作记入 edb.chk文件。当C盘空间不够时,系统会删除

res1.log和res2.log两个文件,这样又有了20M空间可用。
res1.log的res2.log占位,占用20M

先写LOG后写文件
modify-----ESE-----memory----edb.log----ntds.dit----edb.chk

垃圾收集进程
  删除的对象标记为墓碑,墓碑为60天,后用垃圾收集进程清空

备份 AND 还原
 2种还原1种恢复
备份
 NTBACKUP.EXE----系统状态
还原
 NON-Authoritative restore 非受权还原(仅还原数据库文件)
      *目录恢复模式*-----log on to windows use sAM ACCOUNT------restore the system  state----restart
 authoritative restore 受权还原
   二台AD,A和B,十天前BACKUP,A挂后恢复中还要有这十天的数据.a同步B不是B同
   步A
   受权还原在非受反还原后操作的
   加入version number 每天十万
        *目录恢复模式*-----log on to windows use sAM ACCOUNT------restore the system  state-----run ntdsutil.exe------switch to the auth
oritative restore prompt-------proovide the distinguished name of the object----exit-----restart