Active Directory 的系統授權還原及其對信任與電腦帳戶的影響

Office 2003 支援已結束

Microsoft 於 2014 年 4 月 8 日結束對 Office 2003 的支援。此變更已影響您的軟體更新和安全性選項。 瞭解這對您的意義為何且如何持續受保護。

本文曾發行於 CHT216243
本文已封存。本文係以「現狀」提供且不會再更新。
結論
「系統授權還原」功能可以讓系統管理員從封存的 Active Directory 資料庫中選擇特定的物件或物件的樹狀子目錄,將其還原到網域控制站上。請注意,這麼做會讓 Active Directory 複寫將此物件還原狀態 (系統狀態) 進行複寫,覆蓋過網域內所有網域控制站上現存的版本。還原後的物件會收到一個大於目前網域物件集合的 USN。

如需「系統授權還原」處理的詳細資訊,請參閱「Windows 備份說明」的〈系統授權還原〉主題。

其他相關資訊
信任關係和電腦帳戶密碼會定期進行交涉 (預設為每三十天一次,但可由系統管理員停用的電腦帳戶除外)。

當您在某個網域控制站上對 Active Directory 使用「系統授權還原」方法時,先前 Active Directory 中物件用來維護信任關係和電腦帳戶所用的密碼也可以還原。若是信任關係,這麼做可能會使得與來自其他網域的其他網域控制站的通訊失效。若是電腦帳戶密碼,這麼做可以讓成員工作站或伺服器與其網域的網域控制站之間的通訊失效。

同時也請注意,Windows 2000 在信任關係的信任網域元件上使用兩個密碼的歷程記錄。如需詳細資訊,請按一下下面的文件編號,檢視 Microsfot Knowledge Base 中的文件:
154501 How to Disable Automatic Machine Account Password Changes

網域控制站的非系統授權還原

如果某個網域控制站因硬體失效或硬體替換而需要還原,當其他網域控制站上的資料已知完好時,您只需還原網域控制站的最近一份備份。

在還原程序後,Active Directory 複製會自動開始散播備份時間後,其他網域控制站上所發生的變更。

網域控制站的系統授權還原

若有其他網域控制站存在,但您需要還原資料,則在網域命名內容中執行資料的系統授權還原時必須特別小心。信任關係資料 (包含樹系中 Windows 2000 網域內的親子關係) 以及與其他下層或 Windows 2000 網域的 NTLM/Kerberos 信任,都位於網域命名內容中。

如果需要還原資料,您應該只對命名內容的這些部份執行系統授權還原。如果還原整個命名內容,則電腦密碼和信任關係密碼全都會還原成備份之時的值,接下來會變成無效,因為密碼可能在備份時已經重新交涉過了。無論是信任或電腦帳戶的例子,結果都是密碼無法再同步化,必須重設。

若要將 NTLM 信任關係重設成 Windows 2000 或下層網域,您必須將信任移除之後再重新建立。如果系統管理員必須替數個網域進行這項工作,可以利用 Windows 2000 Resource Kit 所附的 Netdom 公用程式,以批次處理的方式執行。

若有其他網域控制站存在,且您執行了「系統授權還原」,則在備份之後於命名內容 (在這個例子中為網域命名內容) 中所建立的任何物件都會繼續存在於 Active Directory 之內。
例如:
  • 第一天,系統管理員執行系統備份。
  • 第二天,系統管理員建立名稱為「User Two」的使用者,而這個資料會複寫到網域的其他網域控制站中。
  • 第三天,名稱為「User One」的使用者不小心被刪除了。
  • 第四天,網域控制站的系統授權還原使用第一天建立的備份來執行。
結果,網域內同時存在「User One」和「User Two」。

沒有其他網域控制站的網域控制站的系統授權還原

沒有其他網域控制站可以將最近的變更複寫到還原的系統時,或者必須使用系統授權還原將網域控制站帶回已知狀態時,則應該執行整個命名內容的系統授權還原。

這麼做會產生先前所提到的狀態。如果信任關係或電腦帳號密碼受到影響,就需要重設。
內容

文章識別碼:216243 - 最後檢閱時間:12/05/2015 12:44:06 - 修訂: 1.3

Microsoft Platform Software Development Kit-January 2000 Edition, Microsoft Office Project Standard 2003

  • kbnosurvey kbarchive kbinfo KB216243
意見反應