如何恢复AD属性

Active Directory (AD) 是一个数据库和一组服务，可提供 IT 基础设施资源的集中管理。它将用户与完成工作所需的资源连接起来。因此，技术人员必须能够快速检查并恢复因硬件故障、网络攻击、脚本错误等问题而被修改或删除的AD属性。否则，用户将无法像以前一样访问相同的资源，从而导致生产力损失、效率低下、客户不满意以及品牌形象受损。

阅读本指南，了解如何将 Active Directory 属性恢复到上次保存的配置。本页还介绍了回滚和恢复 AD 属性的 PowerShell 提示和技巧。

什么时候需要回滚或恢复 AD 属性？

在以下情况下，您需要能够回滚或恢复 AD 属性：

• IT 团队中的某人犯了一个错误，影响了一个或多个 AD 对象的属性。例如，假设 IT 技术人员不小心使用了错误的 PowerShell 脚本。它不是将邮寄地址信息添加到某些 AD 用户帐户，而是用星号替换域中每个用户对象的地址属性的当前值。您必须回滚这些更改才能恢复正确的地址。
• 恶意行为者获得对您的 AD 网络的访问权限并删除或编辑 AD 对象属性。您必须回滚或恢复属性以确保一切正常。

可以使用Active Directory回收站来恢复AD属性吗？

简单地说，不。

Active Directory 回收站旨在在短时间内保留某些已删除的 Active Directory 对象。但Active Directory回收站不存储已修改的AD属性，因此它对属性恢复过程没有帮助。

从技术上讲，您可以尝试构建一个流程，希望能够快速意识到任何和所有不需要的更改，找到尚未通过复制接收这些更改的域控制器，并使其对象具有权威性。然而，这样做是不现实的——这就像在餐巾纸上制定你的退休储蓄计划，上面潦草地写着“中奖彩票”。

如何确保拥有 AD 属性的备份？

由于 Active Directory 不维护对象属性值的记录，因此确保您可以在需要时恢复或回滚属性的第一步是找到可以执行此操作的记录。幸运的是，当涉及到 Active Directory 系统状态备份时，并不缺乏可用的备份工具。

Windows 服务器备份 (WBAdmin)

一种选择是使用 Microsoft Windows Server Backup (WBAdmin)。在计算机上安装 Windows Server Backup 工具将安装 wbadmin.exe 命令行工具。它还提供对 Windows Server Backup 和 Windows Server Backup MMC 管理单元的 Windows PowerShell cmdlet 的访问。这三个选项只是利用单个底层应用程序的不同方式，因此其中任何一个选项进行的备份对所有人来说都是可见的。

您可以通过使用管理员权限打开提升的命令提示符来访问 WBAdmin.exe。为此，请单击开始，右键单击命令提示符，然后选择以管理员身份运行。

使用 WBAdmin 时需要注意一个重要警告：当配置为将备份存储在特定文件夹中时，仅保留最新的备份副本；后续备份会覆盖之前备份的内容。

为了避免此问题，以下脚本将创建一个以 YYYYMMDD 格式的当前日期命名的文件夹，然后使用 WBAdmin 的 START BACKUP 命令将 Active Directory ntds.dit 文件备份到该文件夹：

@echo off
set backupRoot=\FILESHARENtdsBackups
set backupFolder=%date:~-4,4%%date:~-10,2%%date:~7,2%
set backupPath=%backupRoot%%backupFolder%
mkdir %backupPath%
wbadmin start backup -backuptarget:%backupPath% -include:C:WindowsNTDSntds.dit -quiet

此操作的结果包括 ntds.dit 文件的卷影复制服务 (VSS) 快照。

这种方法的缺点是生成的文件比 ntds.dit 文件大得多。例如，下面的屏幕截图显示了 20MB ntds.dit 文件的备份大小。在某些实验室中，这种额外的磁盘使用量可能不是什么大问题，但在生产环境中却无法很好地扩展。

Ntdsutil.exe

Microsoft 提供的另一个选项是 Ntdsutil.exe，它是一个用于访问和管理 Windows Active Directory 数据库的命令行工具。 Ntdsutil 的功能非常强大，因此您的生产环境不适合学习如何使用它。然而，这在很大程度上是因为它包含一套非常有用的命令。

例如，Ntdsutil 有 SNAPSHOT 命令，该命令捕获 Active Directory 在执行时的状态：

这种方法的一大缺点是 Ntdsutil 备份被写入托管 Active Directory 的卷，这并不理想。

如何使用 WBAdmin 和 Ntdsutil.exe 恢复属性？

现在，让我们逐步使用 WBAdmin 和 Ntdsutil.exe。我们将使用 Active Directory 域服务数据库安装工具 (DSAMAIN) 来安装隐藏在备份中的 ntds.dit 文件，以便我们可以使用 LDAP 探索它们。

1. 首先，我们需要找到一个WBAdmin创建的VHD映像，安装它并为其主分区分配一个驱动器号。

2. 接下来，我们在挂载的备份中找到 ntds.dit 文件的路径，以管理员身份打开命令提示符并使用以下命令挂载 ntds.dit 文件：

dsamain -dbpath“E:WindowsNTDSntds.dit”-ldapport 10389

关闭命令提示符将停止 DSAMAIN，因此请确保使其保持打开状态，直到完成系统状态还原。

3. 现在 WBAdmin 备份已安装，我们将安装 Ntdsutil 拍摄的快照。为此，我们将以管理员身份打开一个新的命令提示符，使用快照命令列出我们的备份，选择一个来安装并复制 Ntdsutil 分配的驱动器路径位置：

4. 接下来，我们在 Ntdsutil 指定的路径下找到 ntds.dit 文件的路径，以管理员身份打开另一个命令提示符并使用以下命令挂载 ntds.dit 文件：

dsamain -dbpath “C:$SNAP_201903261110_VOLUMEC$\Windows\NTDS\ntds.dit” -ldapport 20389

5. 之后，我们更改可信测试用户的描述属性Delete Q.Me。

6. 现在我们可以打开 PowerShell 并使用 Get-ADUser cmdlet 来查看我们的测试用户。 Active Directory 默认侦听端口 389，我们将备份安装在端口 10389 和 20389 上。使用可选的 Server 参数将让我们看到测试用户的实时情况以及在我们安装的备份中的情况。

如您所见，“描述”属性的当前值为“Oops”，并且两个备份都包含以前的值“演示用户帐户”。

7. 现在我们可以使用 PowerShell 的 Get-ADUser cmdlet 将此属性恢复为在我们的备份之一中捕获的值。如果我们从已安装的备份之一获取对象的副本，则可以使用该对象的属性副本来设置活动对象的属性值：

$UserBackup = Get-ADUser -Identity dqme -Properties Description -Server dc01:10389

Set-ADUser -Identity dqme -Description $UserBackup.Description -Server dc01:389

请注意，“描述”属性的值已恢复为在已安装的备份中捕获的值。

这看起来很简单，但这只是一项实验室练习，涉及对一个特定对象进行一项特定属性更改。我们还知道哪些备份包含恢复操作所需的信息。在现实世界的恢复场景中，此过程可能会变得令人不快，尤其是当您急于恢复服务时。

使用 Netwrix 解决方案恢复 Active Directory 属性

使用 WBAdmin 和 Ntdsutil.exe 等工具来恢复 AD 属性可能会耗费大量资源，尤其是在您没有大量资源、时间或精力的情况下。

幸运的是，有一种快速、简单的方法可以恢复 AD 属性 - Netwrix 的端到端 Active Directory 安全解决方案。该工具功能强大、全面且功能齐全，可以快速回滚不需要的 AD 删除和更改。这样，您就可以确保业务连续性和客户满意度。

常问问题

1. 如何备份和恢复 Active Directory？

正如本文所述，您可以通过 WBAdmin 和 Ntdsutil.exe 等工具从备份中修复、备份和还原 Active Directory。然而，这可能需要花费大量的时间和精力。 Netwrix 的端到端 Active Directory 安全解决方案等自动化软件可以加快这一过程。

2. Active Directory 还原类型有哪些？

Active Directory 恢复有两种类型：

• 权威：当使用将数据标记为权威的唯一标志从备份中恢复 Active Directory 控制器时，就会发生权威还原。发生这种情况时，数据将被复制到其他域控制器。 IT 技术人员仅在某些情况下使用权威还原 - 例如，当 ntds.dit 已损坏并且所有其他域控制器已被破坏时。
• 非权威：非权威还原是最常见的还原方案。它涉及从健康的域控制器复制 AD 数据库，因此先决条件是在另一个域控制器上拥有健康的 ntds.dit 文件。

3. 可以从备份中恢复域控制器吗？

是的，借助目录服务还原模式 (DSRM)，您可以通过在安全模式下重新启动来还原 AD 域控制器，以还原 AD 的工作版本。