Những ảnh hưởng trên tín thác và trương mục máy tính khi bạn authoritatively phục hồi hoạt động thư mục

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:216243
Bài viết này đã được lưu trữ. Bài viết được cung cấp "nguyên trạng" và sẽ không còn được cập nhật nữa.
TÓM TẮT
Tính năng khôi phục thẩm quyền cho phép người quản trị chọn các đối tượng và đối tượng cây của các đối tượng từ một cơ sở dữ liệu lưu trữ Active Directory và khôi phục chúng lên bộ kiểm soát miền. Quá trình này gây ra Active Directory để nhân rộng này phục hồi bang (trạng thái hệ thống) các đối tượng, ghi đè lên các bản sao hiện nay được tổ chức trên tất cả các bộ điều khiển tên miền trong tên miền. Các đối tượng được khôi phục và các thuộc tính của họ được phân công một phiên bản lớn hơn các thiết lập hiện tại của tên miền đối tượng. Theo mặc định, các đối tượng được khôi phục và các thuộc tính của họ được phân công một phiên bản là 100.000 người lớn hơn phiên bản trong bản sao lưu.

Để biết thêm chi tiết về quá trình khôi phục thẩm quyền, xem "Khôi phục thẩm quyền" chủ đề trợ giúp sao lưu của Windows và bài viết cơ sở kiến thức sau:
241594 Làm thế nào để thực hiện một khôi phục thẩm quyền lên bộ kiểm soát miền trong Windows 2000
THÔNG TIN THÊM
Theo mặc định, tin tưởng mối quan hệ và máy tính tài khoản mật khẩu đang thương lượng mỗi ba mươi ngày, ngoại trừ cho các tài khoản máy tính có thể được vô hiệu hóa bởi người quản trị.

Khi bạn authoritatively phục hồi hoạt động thư mục vào bộ kiểm soát miền, mật khẩu trước đó cho các đối tượng Active Directory duy trì mối quan hệ tin tưởng và trương mục máy tính có thể được khôi phục. Trong mối quan hệ tin tưởng, sự thay đổi này có thể vô hiệu hóa giao tiếp với các bộ điều khiển vùng từ các tên miền khác. Một mật khẩu trương mục máy tính, sự thay đổi này có thể vô hiệu hóa giao tiếp giữa các tài khoản của máy trạm hoặc máy chủ và bộ kiểm soát miền của tên miền của mình.

Theo mặc định, máy tính tài khoản được lưu giữ trong các thùng chứa hoạt động thư mục sau đây:
CN = máy vi tính, DC =tên miền
Kho chứa mặc định và các tài khoản máy tính có thể được chuyển đến đơn vị tổ chức trong Active Directory.

Theo mặc định, tài khoản lòng tin được lưu giữ trong các thùng chứa hoạt động thư mục sau đây:
CN = người dùng, DC =tên miền
Các tài khoản tin tưởng được đặt tên sau khi tên vùng NETBIOS tên miền tin tưởng với một ký hiệu đôla ($) nối và đặc biệt cờ thiết lập. Họ đang ẩn của người dùng thư mục hoạt động và máy tính, nhưng họ có thể nhìn thấy khi bạn sử dụng ADSI Editor hoặc công cụ LDP.

Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
324949Chuyển hướng người sử dụng và máy vi tính thùng chứa trong Windows Server 2003 tên miền
Các đối tượng tin cậy miền đại diện cho bên tín thác, tin tưởng nằm trong thùng chứa hoạt động thư mục sau đây:
CN = hệ thống, DC =tên miền
Vị trí này không thể được di chuyển. Không khôi phục authoritatively lại kho này và các đối tượng lá ngay lập tức con của nó trừ khi bạn phải. Để khôi phục lại topo làm bản sao của một khối lượng DFS, bạn có thể khôi phục subcontainers, chẳng hạn như thùng chứa FRS.

Chú ý Windows 2000 giữ một lịch sử của hai mật khẩu trên các thành phần tên miền đáng tin cậy của một mối quan hệ tin tưởng.Để biết thêm thông tin, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
154501Làm thế nào để vô hiệu hoá tự động máy thay đổi mật khẩu tài khoản

Nonauthoritatively khôi phục lại bộ kiểm soát miền

Khi một bộ điều khiển tên miền thay thế hoặc phải được phục hồi từ lỗi phần cứng, chỉ một khôi phục từ bản sao lưu gần đây nhất của điều khiển vùng là cần thiết nếu dữ liệu về bộ điều khiển tên miền khác được biết đến là tốt.

Sau khi quá trình khôi phục, nhân rộng Active Directory tự động bắt đầu cấm bất kỳ thay đổi nào từ khác bộ kiểm soát miền xảy ra sau khi thời gian của bản sao lưu.

Authoritatively khôi phục lại bộ kiểm soát miền

Khi các bộ điều khiển vùng tồn tại, nhưng bạn phải phục hồi dữ liệu, sử dụng thận trọng khi bạn thực hiện một khôi phục thẩm quyền dữ liệu trong bối cảnh đặt tên miền. Tin tưởng mối quan hệ dữ liệu cư trú trong bối cảnh tên miền đặt tên đó cho cả các mối quan hệ cha-con cho miền Windows 2000 lên miền trong rừng, và cho tín thác NTLM/Kerberos pre-Active thư mục tên miền.

Nếu dữ liệu phục hồi được yêu cầu, authoritatively khôi phục chỉ là những bộ phận của bối cảnh đặt tên. Nếu bạn khôi phục lại bối cảnh đặt tên đầy đủ, tất cả các mật khẩu máy tính và tin tưởng mối quan hệ mật khẩu được khôi phục. Có khi các mật khẩu được khôi phục, họ thể trở nên không hợp lệ vì mật khẩu có thể đã được renegotiated sau khi sao lưu xảy ra. Do đó, mật khẩu có thể không còn được đồng bộ hóa và phải được đặt lại.

Để thiết lập lại các mối quan hệ tin tưởng NTLM pre-Active thư mục tên miền hoặc Windows Active Directory, bạn phải loại bỏ và tái tạo sự tin tưởng. Nếu bạn phải làm điều này cho nhiều tên miền, bạn có thể sử dụng tiện ích Netdom được cung cấp với Windows 2000 Resource Kit để làm điều này bằng cách sử dụng một quá trình thực thi.Khi các bộ điều khiển vùng tồn tại và thực hiện một khôi phục thẩm quyền, bất kỳ đối tượng nào được tạo ra trong bối cảnh đặt tên sau khi sao lưu sẽ giữ trong Active Directory.

Ví dụ, một trong những kịch bản có thể là như sau:
  • Vào ngày 1, các quản trị viên thực hiện một sao lưu của hệ thống.
  • Vào ngày 2, các quản trị viên tạo ra một người dùng có tên "Người sử dụng hai" và sao chép dữ liệu này để các bộ kiểm soát miền trong tên miền.
  • Vào ngày 3, dùng tên là "Người sử dụng một" vô ý xóa.
  • Vào ngày 4, một khôi phục thẩm quyền của điều khiển vùng được thực hiện với các sao lưu thành lập vào ngày 1.
Vì vậy, hai người sử dụng và người sử dụng một trong những tồn tại trong tên miền.

Authoritatively khôi phục một bộ điều khiển tên miền khi không có bộ điều khiển vùng khác tồn tại

Khi không có bộ điều khiển vùng khác tồn tại để nhân rộng thay đổi gần đây với một hệ thống phục hồi, hoặc khi một khôi phục thẩm quyền là cần thiết để mang lại cho bộ kiểm soát miền quay lại một nhà nước được biết đến, bạn nên thực hiện một khôi phục thẩm quyền của toàn bộ đặt tên bối cảnh.

Quá trình này tạo ra cùng một kịch bản như trước đây đã đề cập. Nếu Ủy thác các mối quan hệ hoặc mật khẩu trương mục máy tính được thực hiện, bạn sẽ phải đặt lại chúng.

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 216243 - Xem lại Lần cuối: 12/05/2015 12:44:06 - Bản sửa đổi: 2.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbnosurvey kbarchive kbinfo kbmt KB216243 KbMtvi
Phản hồi