繼上文Active Directory災(zāi)難恢復(fù)詳解一和Active Directory災(zāi)難恢復(fù)詳解二之后，本文接著介紹有關(guān)Active Directory進(jìn)行災(zāi)難恢復(fù)的相關(guān)內(nèi)容。

問題：域內(nèi)的組成員身份未還原

權(quán)威還原用戶對象不恢復(fù)用戶的組成員身份。為什么？因為成員身份關(guān)系使用組對象的成員屬性（前向鏈接）而非用戶的 memberOf 屬性（后向鏈接）進(jìn)行存儲和復(fù)制。問題是如何查找用戶舊的組成員身份以及在得知其身份后如何正確恢復(fù)它們。

Microsoft 對恢復(fù)用戶組成員身份的進(jìn)程逐漸進(jìn)行改良，因此您所使用的技術(shù)取決于運行的 Active Directory 版本。下一節(jié)主要適用于 Windows 2000 Active Directory。

確定用戶舊的組成員身份非常簡單：只需在還原的 DC 上檢查后向鏈接屬性 — 在這種情況下，是用戶對象的 memberOf 屬性。memberOf 屬性將包含用戶域中本地組和全局組的所有成員身份?？梢允褂?Active Directory 用戶和計算機 MMC 管理單元 (ADUC) 或使用 LDIFDE 實用程序（該程序隨 Windows Server 附帶）列出還原用戶的組成員身份。

以下 LDIFDE 命令行將列出 Molly Clark 所屬的 DRNET 域中的組，將結(jié)果存儲在 output.ldf 文件中：

C:\> ldifde –r “(distinguishedName=CN=Molly Clark,OU=Engineering,DC=DRNET,DC=Local)” –l memberOf –p Base –f output.ldf

請注意，必須使用任何 LDAP 工具啟動 DC 進(jìn)入正常模式，并且再次重申，必須禁用入站復(fù)制；否則還原的數(shù)據(jù)將被覆蓋。禁用入站復(fù)制最簡單的方式是使用 REPADMIN 命令：

REPADMIN /options <dcname>+DISABLE_INBOUND_REPL

此處，<dcname> 是正在向其還原的 DC 名稱。完成后不要忘記使用 –DISABLE_INBOUND_REPL 重新啟用復(fù)制。

如果只要恢復(fù)幾個用戶，方法很簡單，只需使用 ADUC 手動將用戶添加回組。如果要恢復(fù)的用戶數(shù)量較多，可以使用一些工具使某些過程自動化。Microsoft GROUPADD 實用程序（可從 Microsoft 產(chǎn)品支持服務(wù)獲得）可以接受您創(chuàng)建用來列出用戶舊的組成員身份的 LDIF 文件，并依次生成一個重新創(chuàng)建這些成員身份的 LDIF 文件。例如，可以使用此 GROUPADD 命令處理我們在前文示例中為 Molly Clark 創(chuàng)建的 LDIF 文件：

C:\> groupadd /after_restore output.ldf

此命令將以名稱 groupadd_<domain>.ldf（其中 <domain> 是將更新其組的域的完全限定域名）為 Molly Clark 在其中具有組成員身份的每個域創(chuàng)建一個新的 LDIF 文件?？梢允褂萌缦旅顚?dǎo)入上面創(chuàng)建的 LDIF 文件：

C:\> ldifde –i –k –f groupadd_child.drnet.net.ldf

對于 Windows Server 2003，Microsoft 改進(jìn)了 NTDSUTIL，利用成員屬性中出現(xiàn)的其他元數(shù)據(jù)支持鏈接值復(fù)制 (LVR)。如果還原的用戶對象曾經(jīng)是域中任何組的成員，而用戶的組成員身份使用 LVR 元數(shù)據(jù)存儲，則 NTDSUTIL 將增加成員屬性相應(yīng)值的版本號，從而引起還原的成員身份復(fù)制。

Windows Server 2003 SP1 的 NTDSUTIL 版本集成了 GROUPADD 功能，可以在執(zhí)行用戶對象的權(quán)威還原時自動創(chuàng)建 LDIF 文件。圖 5 所示為一個 NTDSUTIL 新版本，圖 6 所示為自動創(chuàng)建的 LDIF 文件的內(nèi)容。 

圖 5內(nèi)置 GROUPADD 功能的新 NTDSUTIL (單擊該圖像獲得較大視圖)  

如果要還原一個包含很多用戶和組的整個 OU，手動將用戶添加回其所在的組是很麻煩的。恢復(fù)還原的組成員身份的另一個方法是權(quán)威還原組本身。

但是權(quán)威還原組有兩個問題。第一個問題是相當(dāng)明顯的：如果還原組，該組中的成員身份將恢復(fù)到其在備份時的狀態(tài)。這意味著自從上一次備份以來所做的所有更改都必須重新應(yīng)用于該組。第二個問題有些微妙，必須按 Active Directory 復(fù)制的方式處理。在權(quán)威還原用戶和組后，無法確保它們復(fù)制的順序。如果一個組對象在還原的用戶對象之前復(fù)制到 DC，則復(fù)制的域控制器將自動從組刪除該用戶引用，因為該用戶對象尚未存在于該 DC 上。當(dāng)稍后用戶對象復(fù)制時，不會將其添加到組。

解決此問題最簡單的方法是再對組執(zhí)行一次權(quán)威還原。執(zhí)行首次權(quán)威還原后，重新啟動進(jìn)入正常模式并確保復(fù)制正確進(jìn)行。然后重新啟動返回到 DSRM 并運行 NTDSUTIL 執(zhí)行用戶所屬組的權(quán)威還原。這是為了確保當(dāng)啟動返回到正常模式時，用戶對象將在引用它的組對象復(fù)制之前完成復(fù)制。

問題：其他域內(nèi)的組成員身份未還原

“此用戶屬于哪個組”問題實際上比我介紹的更困難。要還原的用戶可能同時是本地域和其他域中通用組的成員，而進(jìn)行非權(quán)威還原時，不會還原那些組成員身份。因此您如何得知用戶屬于其他域中的什么組呢？答案就在全局編錄中。除自身域的數(shù)據(jù)外，全局編錄還包含林中其他域數(shù)據(jù)的只讀副本。

要利用全局編錄的林范圍數(shù)據(jù)，必須對全局編錄執(zhí)行非權(quán)威還原，這意味著您必須以備份全局編錄開始?，F(xiàn)在，當(dāng)您運行 LDIFDE 標(biāo)識用戶的組成員身份時，就可以從其他域中找出用戶的通用組成員身份。

當(dāng)您列出要恢復(fù)的用戶的組成員身份時，連接到全局編錄端口 3268 而不是默認(rèn)的 389，然后指定林的根域作為搜索基準(zhǔn)。LDIFDE 將顯示恢復(fù)的用戶的組成員身份，包括其在林中所有域內(nèi)的通用組中的成員身份。以下是操作方法：

C:\> ldifde –r “(distinguishedName=CN=Don Clark,OU=Engineering,DC=DRNET,DC=Local)” -t 3268 –l memberOf –p Base –f output.ldf

如果在全局編錄上運行 GROUPADD 或新的 NTDSUTIL，將會生成一個用戶域的 LDIF 文件，并為還原用戶所屬通用組所在的每個域生成一個 LDIF 文件。當(dāng)導(dǎo)入這些 LDIF 文件時，將還原該用戶所有的組成員身份。好了，差不多了 — 接著討論下一個問題。

問題：恢復(fù)其他域中的域本地組成員身份

在 Windows Active Directory 環(huán)境中有三種組。全局組只能包含同一個域中的成員，但可以用作其自身域和林中其他域的域本地組內(nèi)的成員。全局組的成員屬性不出現(xiàn)在全局編錄中，但這不是問題，因為全局組只能包含來自其自身域的成員。通用組可以包含來自任何域的成員，可以用作林中其他通用組的成員以及用作其自身域和林中其他域的域本地組的成員。通用組的成員屬性復(fù)制到全局編錄。域本地組可以包含來自林中任意域的成員，但不能用作其他域中組的成員。更重要的是，域本地組的成員屬性和全局組的成員屬性一樣，不出現(xiàn)在全局編錄中。結(jié)果導(dǎo)致恢復(fù)其他域中域本地組的用戶成員身份很困難。

在 Windows Server 2003 SP1 之前，恢復(fù)外部域中域本地組成員身份的唯一方式是在每個域中還原 DC，手動搜索包含該還原用戶的所有域本地組的域數(shù)據(jù)，然后將用戶添加回標(biāo)識的組。在一個擁有眾多域的大型環(huán)境中，這樣會耗時太多。

Windows Server 2003 SP1 版本的 NTDSUTIL 可以幫助處理。當(dāng)在域控制器上運行 NTDSUTIL 時，該實用程序創(chuàng)建一個包含還原的用戶對象的 DN 和 GUID 的文本文件。然后，對于每個外部域，可以非權(quán)威還原單個 DC，將該文本文件復(fù)制到 DC，然后運行 NTDSUTIL 生成特定于域的新 LDIF 文件，將恢復(fù)的用戶添加回其所屬的域本地組。

要做到這一點，請在每個外部域的 DC 上執(zhí)行以下步驟：

啟動外部域中的 DC 進(jìn)入 DSRM。

使用 NTBACKUP 還原包含還原用戶的組成員身份的 DIT 副本。

將 NTDSUTIL 創(chuàng)建的 .txt 文件復(fù)制到當(dāng)前 DC。

打開命令窗口，鍵入 ntdsutil。

鍵入 authoritative restore。

鍵入 create LDIF file(s) from <file name>（其中，<file name> 是文本文件的名稱）。

鍵入 quit 兩次以退出 ntdsutil。

重新啟動 DC 進(jìn)入正常 Active Directory 模式。

鍵入 ldifde –i –f <ldif filename>（其中，<ldif filename> 是剛才創(chuàng)建的 LDIF 文件的名稱）。

現(xiàn)在，您已經(jīng)還原了所有刪除用戶的組成員身份。

循序漸進(jìn)

恢復(fù) Active Directory 用戶及其組成員身份（尤其是在一個多域環(huán)境中）是很復(fù)雜的。正確恢復(fù)組成員身份所需的具體步驟取決于運行的 Windows 版本。

如果運行的是 Windows 2003 SP1，則需要采取如下步驟：

啟動 GC 進(jìn)入 DSRM 并使用包含刪除用戶的備份執(zhí)行系統(tǒng)狀態(tài)還原。

使用 NTDSUTIL 執(zhí)行已刪除用戶的權(quán)威還原。NTDSUTIL 將創(chuàng)建一個包含還原對象 DN 和 GUID 的文本文件以及一個或多個 LDIF 文件來還原用戶的組成員身份。

使用 LDIFDE –i –f <LDIF filename>（其中，<LDIF filename> 是步驟 2 中創(chuàng)建的 LDIF 文件的名稱）將組成員身份導(dǎo)入當(dāng)前域和其他域。

重新啟動全局編錄進(jìn)入正常模式。

在每個外部域的 DC 上，啟動進(jìn)入 DSRM 并使用包含還原用戶的組成員身份的備份執(zhí)行系統(tǒng)狀態(tài)還原。

使用創(chuàng)建 ldif 文件命令運行 NTDSUTIL。

重新啟動 DC 進(jìn)入正常模式。

使用 LDIFDE –i –f <filename>（其中，<filename> 是在步驟 6 中創(chuàng)建的 LDIF 文件的名稱）還原外部域中的組成員身份。

此時可以選擇使用 REPADMIN /syncall 強制復(fù)制。

如果運行的 Windows Server 2003 版本沒有安裝 SP1 或運行的是 Windows 2000，將涉及到其他一些步驟。由于 NTDSUTIL 的較舊版本不創(chuàng)建 LDIF 文件，因此可以使用 GROUPADD 實用程序來創(chuàng)建它們。步驟如下：

啟動全局編錄進(jìn)入 DSRM 并使用包含刪除用戶的備份執(zhí)行系統(tǒng)狀態(tài)還原。

禁用 NIC 或拔掉電纜阻止入站復(fù)制。

重新啟動全局編錄進(jìn)入正常模式。

使用 LDIFDE –r "(distinguishedName=<dn>)" -t 3268 -l memberOf –p Base -f membership.ldf 使用可分辨名稱 <dn> 轉(zhuǎn)儲用戶的成員身份。

使用 GROUPADD /after_restore membership.ldf 創(chuàng)建 LDIF 文件。

使用 LDIFDE –i –f <filename>（其中，<LDIF filename> 是步驟 5 中 GROUPADD 創(chuàng)建的 LDIF 文件的名稱）將組成員身份導(dǎo)入當(dāng)前域和其他域。

使用 REPADMIN /options <dcname> -DISABLE_INBOUND_REPL 重新啟用入站復(fù)制。

在每個外部域的 DC 上，啟動進(jìn)入 DSRM 并使用包含還原用戶的組成員身份的備份執(zhí)行系統(tǒng)狀態(tài)還原。

重新啟動 DC 進(jìn)入正常模式。

使用 LDIFDE –i –f <filename>（其中，<filename> 是步驟 5 中 GROUPADD 創(chuàng)建的 LDIF 文件的名稱）還原外部域中的組成員身份。

此時可以選擇使用 REPADMIN /syncall 強制復(fù)制。

現(xiàn)在，對早于 Windows Server 2003 SP1 的環(huán)境唯一剩下的事就是恢復(fù)還原用戶的外部域本地組成員身份。唯一的選擇就是手動還原域本地組成員身份或從備份還原 DC 并權(quán)威還原域本地組。

總結(jié)

雖然很容易從 Active Directory 意外刪除用戶甚至 OU，但正確恢復(fù)刪除的用戶及其組成員身份可能驚人地復(fù)雜、耗時并且容易出錯。要確保從這類災(zāi)難中盡可能快地恢復(fù)，必須理解對象鏈接、復(fù)制、刪除和權(quán)威還原的結(jié)構(gòu)。

您認(rèn)為您在產(chǎn)品環(huán)境中首次嘗試此操作時能正確完成所有步驟嗎？為了確保下一次不得不恢復(fù) CEO 的用戶對象時有所準(zhǔn)備，最好制訂恢復(fù)刪除對象的書面計劃。并確保在將該計劃用于實際數(shù)據(jù)之前至少練習(xí)一兩次。您的老板（和 CEO）將會對此非常感激。

希望本系列介紹的有關(guān)Active Directory災(zāi)難恢復(fù)的知識能夠?qū)ψx者有所幫助。

【編輯推薦】

1. Active Directory之目錄服務(wù)
2. Active Directory遷移工具ADMT
3. Exchange版本轉(zhuǎn)換基于Active Directory路由
4. 如何實現(xiàn)Active Directory到Lotus Domino遷移？
5. Windows Server 2008 Active Directory域服務(wù)安裝