Active Directory系列之五：Active Directory的授权还原.doc

PAGE  PAGE 8 Active Directory系列之五：Active Directory的授权还原 在上篇博文中我们介绍了如何在域中部署额外域控制器，额外域控制器有很多好处，例如可以平衡用户对AD的访问压力，有利于避免唯一的域控制器损坏所导致域的崩溃。从上篇博文中我们得知，域内所有的域控制器都有一个内容相同的Active Directory，而且Active Directory的内容是动态平衡的，也就是说任何一个域控制器修改了Active Directory，其他的域控制器都会把这个Active Directory的变化复制过去。 今天我们要考虑这么一个问题，如果域中有多个域控制器，但他们所拥有的Active Directory内容不一致，那么应该以哪个域控制器的Active Directory内容为准？有的朋友可能会疑惑，怎么会出现这种情况呢？其实假如有个域控制器由于更换硬件导致有几天时间没有在线，而其他的域控制器在这段时间对Active Directory进行了修改，那么当这个域控制器重新上线时就会出现我们所提到的这种情形。 当域控制器们发现彼此的Active Directory的内容不一致，他们就需要分析一下Active Directory的优先级，从而决定以哪个域控制器的Active Directory内容为准。Active Directory的优先级比较主要考虑三方面因素，分别是：1、版本号2、时间3、GUID 版本号指的是Active Directory对象的修改次数，版本号高者优先。例如域中有两个域控制器A和B，A域控制器上的用户administrator口令被修改了4次，最后被改为12345；B域控制器上的用户administrator口令被修改了5次，最后被改为123456。那么A和B发现他们的Active Directory中administrator口令不一致，这时A和B会分析版本号，发现版本号分别是4和5，这时A就会把B的Active Directory内容复制到本机的Active Direcotry中。经过这么一轮复制后，A和B的Active Directory内容就达到了新的平衡，他们Active Directory中所有对象的版本号也都完全一致了。 如果A和B两个域控制器都是对administrator口令修改了4次，那么版本号就是相同的。这种情况下两个域控制器就要比较时间因素，看哪个域控制器完成修改的时间靠后，时间靠后者优先。这里我们顺便提及一下，Active Directory中时间是个非常重要的因素，域内计算机的时间误差不能超过5分钟，而且Active Directory还有一个墓碑时间的限制，这些我们以后再详细加以说明。 如果A和B两个域控制器的版本号和时间都完全一致，这时就要比较两个域控制器的GUID了，显然这完全是个随机的结果。一般情况下时间完全相同的非常罕见，因此GUID这个因素只是一个备选方案。 说了这么多的Active Directory优先级原理，我们引入一个具体的例子让大家加深理解。如下图所示，域中有两个域控制器Florence和Firenze。现在域中有一个用户张建国，我们在Firenze上对Active Directory已经进行了备份。现在我们在Florence上不小心把张建国误删除了，显然Firenze会很快把Active Directory中的张建国也删除，以便和Florence的Active Directory保持一致。那么我们应该怎么做才能把张建国给恢复回来呢？ 很多朋友会很自然地想到利用Firenze上的Active Directory备份来解决这个问题，既然备份中有张建国，那么把备份还原回来不就OK了吗？这个问题没这么简单，如果域中只有一个域控制器，那么用备份还原是成立的。但现在域中有两个域控制器，我们就要好好考虑一下了。Firenze从备份还原后，Florence和Firenze的Active Directory内容就不一样了，那么Florence和Firenze的Active Directory哪个优先级更高呢？哦，不对，似乎是Florence的版本号更高一些！那我们就可以从理论上得出结论，Firenze从备份还原之后，Active Directory中已经拥有了张建国的用户账号，但Firenze和Florence比较了Active Directory之后，Firenze认为Florence的Active Directory比自己的优先级高，因此Firenze会把Florence的Active Directory复制过来，这样一来，刚被还原的张建国肯定会被重新删除掉！ 难道我们对此就无能为力了吗？不是的，在Firenze从备份