在企业中,域控制器的数据安全是极其重要的,为了不让根DC挂掉,我们还应考虑给根DC架设额外DC,以达到冗余的特性,但是,我们知道额外DC的数据都来自根DC ,那么当根DC的数据一旦被篡改或删除了,若是没有备份,是很难恢复的,所以我们应及时对根DC做好日常备份。<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

我们先对根DC的数据做一次备份:
开始运行—ntbackup
 
让我选择备份的内容
 
选中SYSTEM STATE
 
先不要点完成,选中高级。
点击完成,就开始备份了。
 
等备份完了,我们来假设一个场景:***来了,并删除了根DC上所有的用户信息。删除OU综合事务部。
这个时候,根DC会在15秒以后向额外DC发布一个“变化通告”,额外DC进行同步复制,额外DC上备份的对象也被删除。
值得注意的是,这个时候额外DC上的用户(如张三)的版本号比原来增加了1,在用户信息被***删除之前,根DC和额外DC的版本号是一致的,也就是说,原根DC的版本号比现额外域的版本号少1。试想,假设我们将根DC上备份的数据还原之后,会出现什么情况呢。很显然,根DC和额外DC的版本号会发生冲突,那么在域架构中,是以版本号高的域控制器为准的,就算管理员进行了非授权还原,重启后,额外DC还是会通告根DC,删除所有对象!还原基本上是无效的!
那么要解决上述问题,根DC必须在进行非授权还原以后同时进行授权还原!
什么是“非授权还原”,什么又是“授权还原”呢?
a.非授权还原
    直接将备份的AD数据还原至当前AD状态,该操作会覆盖当前AD的数据库
b. 授权还原
    对特定的对象进行授权还原(自动在该对象的版本号上加100000)
注意:要执行授权还原,必须先执行非授权还原,但不要重启,而直接执行授权还原。

 

好了,明白了这些,下面我就来进行数据还原了。
1.重启根DC ,开机按F8进入“目录还原模式”.(这个时候,AD是不工作的)
 
下面就要输入“还原密码”了,这个还原密码就是当初我们在建立DC的时候输入的密码还原密码,所以这个密码就是在这个时候用到的,一定要记牢。
 
2.进入目录模式之后,我们运行那个备份文件就可以进行非授权还原了。
选择还原向导。
 
选择System state
 
选择高级
 
点击完成,就可以进行还原了。
 
在完成之后,会提示是否重启系统,一定要点击“否”。
 
3.授权还原。
运行cmd,输入命令ntdsutil
 
输入:authoritation restore
 
选择授权还原一个子树目录。还原被***删除的那个 OU
 
提示是否执行授权还原,点击“是”。
 
前面说了,执行了授权还原,版本号会比原来增加 10000
 
执行授权还原后,重启。重启后,被删除的用户又恢复了。
实验结束。

 

PS: 如果根DC上备份后又修改过组策略, 在进行非授权还原后,组策略不会自动与后来修改过的组策略进行关联,必须手动将修改过的组策略覆盖至相应的原备份组策略的文件目录。