欢迎来到天天文库
浏览记录
ID:34481381
大小:226.14 KB
页数:18页
时间:2019-03-06
《灾难恢复:activedirectory用户和组》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、概览:·复制和对象链接结构·使用NTDSUTIL备份和还原·权威还原和非权威还原ActiveDirectory是Windows网络中最为关键的服务之一。为了避免出现停机时间和损失生产力,对与ActiveDirectory有关的问题制订有效的灾难恢复计划是至关重要的。这一点听起来容易,但令人吃惊的是,有很多管理员甚至没有为最常见的一个ActiveDirectory®故障方案-意外删除数据-制定计划。意外删除对象是服务失败最常见的根本原因之一。当我参加研讨会和会议时,我常常询问有谁曾经因为意外删除数据而导致A
2、ctiveDirectory失败。而每次几乎所有人都举手。要理解为何数据恢复是如此复杂,必须先理解以下内容:ActiveDirectory如何恢复和复制对象、如何删除对象以及权威还原和非权威还原的结构。存储对象ActiveDirectory是一个实施X.500/LDAP数据模型的专门的对象数据库。数据存储(称为目录信息树或DIT)基于可扩展存储引擎(ESE),这是一个索引顺序访问方法(ISAM)数据库引擎。从概念上说,ActiveDirectory将DIT存储在两张表中:数据表(包含实际的ActiveDi
3、rectory对象和属性)和链接表(包含对象之间的关系)。每个ActiveDirectory对象存储在数据表中单独的一行,每个属性一列。数据表包含存储在域控制器(DC)上的所有副本的所有条目。在一个常规DC上,数据表包含来自域NC(命名上下文)、配置NC和架构NC的条目。在全局编录上,数据表包含林中每个对象的条目。ActiveDirectory使用可分辨名称标记(DNT)(一个32位的整数)来唯一标识数据表中的每一行。用于内部引用对象的DNT比其他标识符如可分辨名称(DN)和objectGUID(一个16
4、字节的二进制结构)都小得多。但是与objectGUID不同的是,DNT是一个本地标识符,并且在每个DC上都不同。ActiveDirectory如何链接对象ActiveDirectory管理DIT中对象间的两类关系:父子关系(也称为容器关系)和引用关系(也称为链接关系)。为了实施父子关系,ActiveDirectory在数据表中存储了一个称为父可分辨名称标记(或PDNT)的附加列。该列始终包含对象的父对象的DNT。ActiveDirectory中的每个属性均由ActiveDirectory架构容器中的att
5、ributeSchema对象定义。ActiveDirectory中的某些属性定义为链接属性,由attributeSchema对象的linkID属性中的一个非零偶数值确定。链接属性建立了目录中对象间的关系,可以是单值或多值。组对象的成员属性是多值链接属性的一个例子—它建立了组对象及其成员对象之间的链接。即使看起来组的成员属性包含成员的DN(例如,通过ActiveDirectory用户和计算机管理单元显示),但这不是ActiveDirectory存储它们的方式。当您将成员对象的DN添加到组的成员属性时,Act
6、iveDirectory存储对象的DNT而并非其DN。由于即使将对象重命名DNT也不会改变,因此可以重命名用户对象,而且ActiveDirectory不用对系统中所有的组排序以更新每个成员属性的DN。这就是ActiveDirectory如何在DIT内维护引用完整性的原理。图1所示为一个经过大大简化的数据表和链接表如何彼此关联的示意图。这些表所示的三个用户对象(MollyClark、AlexanderTumanov和MakotoYamagishi)都是SeniorEngineers组的成员。这些链接称为前向
7、链接。类似地,ActiveDirectory还提供了后向链接属性。这为从链接指向的对象返回到引用链接的对象提供了引用,意味着该对象具有前向链接。用户和组的memberOf属性是后向链接属性的一个例子。属性Schema对象描述了一个后向链接属性,该属性具有linkID值,其值比相应的前向链接属性以偶数编号的linkID值大1。例如,WindowsServer®2003R2架构中成员属性的linkID值为2,作为后向链接的memberOf属性的linkID值为3。有关详细信息,图2提供了一个默认情况下Wind
8、owsServer2003R2架构中定义的链接属性列表。后向链接属性总是多值的,由ActiveDirectory自动维护。实际上,您不能直接修改后向链接属性。尽管看起来可以通过ActiveDirectory用户和计算机MMC管理单元修改用户或组的memberOf属性,但该管理单元实际上修改的是相应组的成员属性,而ActiveDirectory将在后台更新memberOf属性。这就是为什么无需有关用户对象的权限即可添加用户到组的
此文档下载收益归作者所有