山东神达化工windows_ad域配置方案和操作手册
时间:如果A和B两个域控制器都是对administrator口令修改了4次,那么版本号就是相同的。这种情况下两个域控制器就要比较时间因素,看哪个域控制器完成修改的时间靠后,时间靠后者优先。这里我们顺便提及一下,Active Directory中时间是个非常重要的因素,域内计算机的时间误差不能超过5分钟。
GUID:如果A和B两个域控制器的版本号和时间都完全一致,这时就要比较两个域控制器的GUID了,显然这完全是个随机的结果。一般情况下时间完全相同的非常罕见,因此GUID这个因素只是一个备选方案。
说了这么多的Active Directory优先级原理,我们引入一个具体的例子让大家加深理解。
如图74所示,域中有两个域控制器Florence和Firenze。现在域中有一个用户张建国,我们在Firenze上对Active Directory已经进行了备份。现在我们在Florence上不小心把张建国误删除了,显然Firenze会很快把Active Directory中的张建国也删除,以便和Florence的Active Directory保持一致。那么我们应该怎么做才能把张建国给恢复回来呢?
图74
49
山东神达化工windows_ad域配置方案和操作手册
我们自然想到利用Firenze上的Active Directory备份来解决这个问题,既然备份中有张建国,那么把备份还原回来不就可以了吗?
这个问题没这么简单,如果域中只有一个域控制器,那么用备份还原是成立的。但现在域中有两个域控制器,那么我们就要好好考虑一下。Firenze从备份还原后,Florence和Firenze的Active Directory内容就不一样了,那么Florence和Firenze的Active Directory哪个优先级更高呢?是Florence的版本号更高一些。
那我们就可以从理论上得出结论,Firenze从备份还原之后,Active Directory中已经拥有了张建国的用户账号,但Firenze和Florence比较了Active Directory之后,Firenze认为Florence的Active Directory比自己的优先级高,因此Firenze会把Florence的Active Directory复制过来,这样一来,刚被还原的张建国肯定会被重新删除掉。
难道我们对此就无能为力了吗?不是的,在Firenze从备份还原Active Directory之后,我们可以利用一个工具NTDSUTIL.EXE来修改Active Directory对象的版本号,让Firenze的版本号大于Florence的版本号,这样我们就可以利用游戏规则顺利地达到目的。这种还原方式我们称为授权还原,下面我们通过一个实例为大家演示一下具体过程。
现在的场景是Firenze已经对Active Directory进行了备份,备份中包含了域用户张建国。在备份之后我们误删除了张建国,现在我们在Firenze上开始利用备份进行主要还原。首先在Firenze上重启计算机,BIOS自检后按下F8,如图75所示,选择进入目录服务还原模式。目录服务还原模式可以把Active Directory挂起,适合我们从备份还原Active Directory。
50
山东神达化工windows_ad域配置方案和操作手册
图75
进入目录服务还原模式后,我们从附件中启动备份工具,如图76所示,选择下一步继续。
图76
51
山东神达化工windows_ad域配置方案和操作手册
选择还原文件和设置。
图77
选择从备份还原Active Directory。
图78
52
相关推荐:
loading