創(chuàng)建AD數(shù)據(jù)庫快照

在 系統(tǒng)內(nèi)置的“Ntdsutil.exe”工具中提供了“snapshot”參數(shù)，可針對活動目錄數(shù)據(jù)庫執(zhí)行快照的創(chuàng)建，列表顯示，加載或者卸載等操作。

點擊“Win+R”鍵，執(zhí)行“ntdsutil.exe”程序，在提示符下執(zhí)行“snapshot”命令，在“快照”提示符下執(zhí)行“activate instance ntds”命令，之后輸入“create”命令，點擊回車鍵，執(zhí)行快照的創(chuàng)建操作。

在“成功生成快照集”欄中顯示該快照的編碼，該編碼具有唯一性，例如“{xxxxxxxx-xxxx-xxxxxxxx-xxxxxxxxxxxx}”，“x”代表具體的字符或數(shù)字，其由快照索引編號和GUID組成。如果再想使用“l(fā)dp.exe”命令來訪問和檢查域快照關(guān)聯(lián)的活動目錄數(shù)據(jù)庫內(nèi)容的話，必須先執(zhí)行快照的加載動作。

在上述“快照:”提示符中執(zhí)行“mount xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxxxxxx”命令，即可按照快編碼來加載指定的快照。

在返回信息中顯示指定快照的編碼和對應(yīng)的目錄信息，例如“C:$SNA_201609163127_VOLUMEC$”。在“快照 :”提示符下執(zhí)行“l(fā)ist mounted”命令，可以查看已經(jīng)加載的快照信息。

將快照連接為LDAP服務(wù)器

使用“dsamain.exe”程序，可將指定的快照連接為一個自定義通訊端口的LDAP服務(wù)器，LDAP是輕量目錄訪問協(xié)議（Lightweight Directory Access Protocol）的縮寫，LDAP服務(wù)器是用來處理查詢和更新LDAP目錄的。使用該命令，可以將連接的快照變成獨立的LDAP服務(wù)器執(zhí)行對象。

在CMD窗口中執(zhí)行“dsamain /dbpath C:$SNA_201609163127_VolumeC$WindowsNTDS tds.dit/ldapport 51389”命令，將指定的快照變成獨立的LADP服務(wù)器執(zhí)行個體。當出現(xiàn)“Microsoft Active Directory域服務(wù)啟動完成”提示時，說明操作成功。

自動創(chuàng)建AD數(shù)據(jù)庫快照

在計劃任務(wù)程序窗口右側(cè)點擊“創(chuàng)建任務(wù)”項，在彈出窗口中的“名稱”欄中輸入任務(wù)的名稱（例如“創(chuàng)建AD快照”），在“安全選項”欄中選擇“不管用戶是否登錄都要運行”項。

在“觸發(fā)器”面板中點擊“新建”按鈕，在打開窗口中的“開始任務(wù)”列表中選擇計劃類型，這里選擇“指定計劃時”項。在“設(shè)置”欄中選擇運行的周期，包括一次，每天，每周，每月等。根據(jù)選擇的周期不同，設(shè)置具體的觸發(fā)時間點。

“高級設(shè)置”欄中可設(shè)置任務(wù)延遲時間，重復(fù)執(zhí)行間隔，過期時間等參數(shù)，選擇“啟用”項，點擊確定按鈕，保存該觸發(fā)器。

“操作”面板中點擊“新建”按鈕，打開窗口中的“操作”列表中選擇“啟動程序”項，“程序或腳本”欄中點擊“瀏覽”按鈕，選擇“C:WindowsSystem32 tdsutil.exe”程序。

在“添加參數(shù)”欄中輸入“"activate instance ntds" snapshot create quit quit”。這樣，可以自動輸入對應(yīng)的指令，當完成快照的創(chuàng)建操作后，自動退出程序。

點擊確定按鈕保存配置信息。其余的設(shè)置保持默認，點擊確定按鈕，完成該任務(wù)的創(chuàng)建操作。在列表中選擇該任務(wù)，在其右鍵菜單上點擊“運行”項，可以立即執(zhí)行快照的創(chuàng)建操作。在“歷史記錄”面板中顯示其執(zhí)行狀態(tài)以及執(zhí)行的歷史信息。

查看指定快照內(nèi)容

當創(chuàng)建和加載了活動目錄數(shù)據(jù)庫，并將連接的快照變成獨立的LDAP服務(wù)器執(zhí)行對象后，就需要使用“l(fā)dp.exe”命令來實現(xiàn)訪問，該工具可以檢查已經(jīng)加載的活動目錄的快照內(nèi)容。

注意，一般情況只有Domain Admins和Enterprise Admins組中的用戶才擁有對活動目錄快照進行檢查的權(quán)限。

因為在快照中包含了關(guān)于AD DS服務(wù)的重要信息，是不允許一般用戶隨意接觸的。

執(zhí)行“l(fā)dp”程序，在其主界面中點擊菜單“連接”-“連接”項，在彈出窗口的“服務(wù)器”欄中輸入“l(fā)ocalhost”，或者是本機的名稱，在“端口”欄中輸入上述自定義端口號，例如51389。點擊確定按鈕，執(zhí)行和上述獨立的LADP服務(wù)器執(zhí)行個體的連接操作。

當連接成功后，點擊菜單“連接”-“綁定”項，在打開窗口中的輸入賬戶名，密碼以及域等信息，并選擇合適的綁定類型，包括作為當前已登錄用戶綁定，憑據(jù)綁定，簡單綁定，高級（DIGEST）等，一般來說選擇“與憑據(jù)綁定”項即可。點擊確定按鈕，完成綁定操作。再點擊菜單“查看”-“樹”項，在彈出窗口中的“BaseDN”欄中輸入LDAP格式的路徑參數(shù)，例如“dc=xxx,dc=com”，“xxx” 表示具體域名，就可以瀏覽快照的數(shù)據(jù)庫內(nèi)容了。

除 了 使 用“l(fā)dp.exe”工具瀏覽快照數(shù)據(jù)庫內(nèi)容外，還可以使用系統(tǒng)內(nèi)置的Active Directory用戶和計算機程序，來連接上述LDAP服務(wù)器。

在其窗口左側(cè)選擇“Active Directory用 戶和計算機”項，在其右鍵菜單上點擊“更改域控制器”項，在打開窗口中選擇“此域控制器或AD LDS實例”項，并輸入本機的名稱和通訊端口號。例如“l(fā)ocalhost:51289”，點擊確定按鈕，就可以瀏覽目標快照數(shù)據(jù)庫的LDAP執(zhí)行個體連接后的內(nèi)容，同“l(fā)dp.exe”程序相比，這種瀏覽方式更加直觀。

注意，這是以只讀方式進行瀏覽和查看的，操作者是無法在其中添加，刪除或者修改對象內(nèi)容的。