Q20、如何进行AD的备份与恢复

最好的办法是作为系统状态数据的一部分，利用2000/03自带的备份工具来进行备份/恢复。备份工具位于：开始/程序/附件/系统工具下。利用备份/恢复系统状态数据，可以恢复之前的域用户帐户数据和DNS，以及安全设置、组策略设置、还有配置等等。但DHCP、WINS等需要单独备份。
说明：
1、DNS区域必须为AD集成区域，如果不是，在备份之前，将标准主区域转成AD集成区域即可。因为AD集成的意思就是：将DNS区域信息，作为AD的一部分进行存储、复制。
2、管理工具下有关AD和域的管理工具的快捷方式不会被恢复(03仍未解决这个问题），可以运行2000S光盘I386adminpak.msi，将所有的域管理工具追加上。也可手动开始/运行/MMC，添加相应的管理工具，如DNS、AD用户和计算机等。
3、重装的2000/03系统，不必安装AD，直接恢复就行。开机，F8，目录恢复模式，恢复大约需要4-5分钟。（实际当中我也试了，新装的系统，没有安装AD，在正常启动模式下恢复也可以，因为它根本没有AD，不涉及到AD正在工作，不允许替换的问题，只不过时间会稍长一些，约7-8分钟）
4、2000下利用备份工具恢复系统状态数据时，需要手动将“如果文件已存在：不替换”改为“如果文件已存在，总是替换”。
具体操作：工具/选项/还原：选择“无条件替换本地上的文件”。否则2000在恢复时，可能不会把winntsysvolsysvol（里面是组策略具体的设置值，被称为GPT）给恢复回来。03DC上没有这个问题，系统会自动提示是否替换，选择“是”即可。
5、具体备份/恢复的步骤，参考下例。

Q21、如何进行授权恢复
首先我们通过一个例子，来说明一下什么是授权恢复。
设域内有不止一台DC，管理员误删除了一个OU，然后用以前的AD备份进行了恢复操作。如果不做什么特别的设置（即授权恢复），当DC间进行AD同步时，由被恢复的数据是以前的，AD的版本号低，将被其它DC的高版本内容所覆盖。这样刚被恢复的OU就又被删掉了。
所以我们需要手动通过ntdsutil工具指定对这个OU对象进行授权恢复，系统将按距备份时间每隔一天100000的标准来增加其AD版本号，确保一定高于其它DC上的版本号。
具体操作如下：
1、重启DC，按F8，选择目录恢复模式
2、用目录恢复模式下的管理员SAM帐号登录
3、开始/程序/附件/系统工具/备份，在恢复标签下进行“系统状态数据”的恢复
4、若此时重新启动DC，则以上为正常恢复，即非授权恢复。
若要进行授权恢复，则此时一定不要重启DC
4、开始/运行：ntdsutil
5、键入authoritative restore，到授权恢复提示符
6、键入restore subtree 对象DN（也可以是子树，甚至是整个AD）
7、退出Ntdsutil
8、重新正常启动DC。
说明：若要进行系统卷SYSVOL（主要是组策略设置）的授权恢复，即将组策略恢复到以前的状态，但AD库要保留当前。不必使用Ntdsutil，直接将AD库恢复到其它位置即可，这是因为系统状态数据在备份/恢复时，不能进行细化的选择。

Q22、如何移动、整理AD数据库？
一、移动AD数据库
将 Ntds.dit 数据文件移动到指定的新目录中并更新注册表，使得在系统重新启动时，目录服务使用新的位置。系统为了安全起见，并不删除原来的数据库。具体操作如下：
1、为了以防万一，最好备份AD。
2、重启DC，按F8，选择目录恢复模式
3、用目录恢复模式下的管理员SAM帐号登录
4、开始/运行：ntdsutil
5、输入files，切换到文件提示符files>下
6、输入 move DB to c: folder
7、移动Ntds.dit成功提示。
8、输入quit二次，退出
9、重新正常启动DC

二、整理AD数据库
将调用 Esentutl.exe 以压缩现有的AD库文件，并将压缩后的AD库文件写入到指定文件夹中。压缩完成之后，将保留原来的AD库文件，将新的压缩后的AD库文件保存到到该文件的原来位置。
另外顺便说明一下，ESENT也支持联机压缩，目录服务定期（默认12小时）调用联机压缩，但联机压缩只是重新安排数据文件内的页面，并不能象手动压缩这样：将空间释放回文件系统。
整理AD数据库具体步骤如下：
1-5步，与前面相同。
6、输入compact to c:folder
7、显示整理碎片，直至完成。
8、输入quit，退出。
9、对于2000需要：复制新的NTDS.DIT文件覆盖旧的NTDS.DIT文件
10、重新正常启动DC2-3-4组策略应用相关实例

关于组策略应用的实例，那真是三天三夜也说不完，因为总共有600+200多条策略。在此仅举几例，来说明问题。有的比较简单，有的稍微复杂一些，我们会展开来讨论一下。需要强调的是，作为管理员平时要多看看组策略中具体都有哪些设置，当然谁也不可能逐条去实践去测试，但要大概有个印象。当有某种需求时，你才会想起某条组策略设置来，根据印象找到那条策略，先看说明标签，再具体实践，逐步积累。
前面我们讲过安全策略是组策略的子集（一部分），我们会首先讨论和安全策略相关的实例，然后才是其它的策略。

Q1、普通域用户无法在DC上登录？
为了保护域控制器，默认能在DC上登录的用户只有：Administrators、Account operators、Backup operators、Server operators、Print operators这些特定的管理组。要想使普通域用户有权在DC上登录，可以将其加入到这些组中。
但更多时候，我们不想让用户有过多的权利权限，也可以在开始/程序/管理工具/域控制器的安全策略/本地策略/用户权利分配/允许在本地登录下通过添加，指派其在DC上登录的权利即可。
Q2、在03域中添加用户时，总是提示我不符合密码策略，怎么办？
对于03，默认域的安全策略与2000域不同。要求域用户的口令必须符合复杂性要求，且密码最小长度为7。口令的复杂性包括三条：一是大写字母、小写字母、数字、符号四种中必须有3种，二是密码最小长度为6，三是口令中不得包括全部或部分用户名。
我们可以设置复杂一些的密码，也可以重新设默认域的安全策略来解决。操作如下：
开始/程序/管理工具/域安全策略/帐户策略/密码策略：
¨;;;;密码必须符合复杂性要求：由“已启用”改为“已禁用”；
¨;;;;密码长度最小值：由“7个字符”改为“0个字符”。
欲策略设置马上生效，可利用gpupdate进行刷新。（具体见前）
如果添加的是本地用户，解决办法与此相同，只不过修改的是本地安全策略。

Q3、在2000/03域中，前网管设置了一个开机登陆时的提示页面，已过时，现想取消，如何操作？
登录到本机时出现，则在管理工具/本地安全策略，或开始/运行：gpedit.msc中配置。若是登录到域时出现，则在管理工具/域的安全策略，或AD用户和计算机/属性/组策略中配置。具体会涉及到：安全设置/本地策略/安全选项下的这两条，
¨;;;;交互式登录：用户试图登录时消息标题
¨;;;;交互式登录：用户试图登录时消息文字
Q4、如何设置不让用户修改计算机的配置（如TCP/IP等）？
可以利用本地策略或基于域的组策略锁定，具体操作：
1、; 本地：开始/运行：gpedit.msc。或
2、; 域：开始/程序/管理工具/AD用户和计算机/域名上/右键/属性/组策略/默认域的组策略
3、在用户配置/管理模板/网络/网络及拨号连接：禁止访问LAN连接的属性。
说明：
1、; 若利用本地策略实现，本地管理员，可以重新设置策略解开。
2、; 若利用域策略实现，只是域用户受此限制。本地管理员，不受此限制。
所以应该不给用户本地管理员口令，让用户以非本地管理员/域用户身份登录。为了保证用户能安装软件或做其它管理工作，可将其加入本地的Power Users组。
Q5、非管理员用户无法登录到终端服务器？
欲使用户能利用“终端服务客户端软件”或“远程桌面”登录到2000/03 Server，对于2000S需要在服务器上安装终端服务，对于03S只需在我的电脑/右键/属性/远程/远程桌面下，选中“允许用户远程连接到这台计算机”即可。对于管理员默认即可通过TS登录进来。
非管理员用户通过终端服务无法登录，除了网络连接方面的问题以外，主要有以下五个方面的原因：
1、终端服务器同时是DC，而普通用户无权在DC上登录。
解决办法：具体见前。
2、安全策略/本地策略/用户权利分配：通过终端服务允许登录。
这是03特有的，2000没有这条安全策略。解决办法，
方法一、在我的电脑/右键/属性/远程/远程桌面下，选中“允许用户远程连接到这台计算机”选项后，单击“选择远程用户”/添加。用户将被自动加入到Remote Desktop Users组，而这个组默认有“通过终端服务允许登录”的权利。
方法二、手动将用户加入到Remote Desktop Users组
方法三、手动直接指派用户“通过终端服务允许登录”的权利
注意：如果终端服务器同时是DC，必须使用方法三。原因是为了保护DC，DC上的本地安全策略里，只允许Administratrs组有此权利，而将Remote Desktop Users组删掉了。
3、开始/程序/管理工具/终端服务配置/RDP-Tcp/右键/属性/权限。
解决办法：手动将用户加入到Remote Desktop Users组，或确保用户在此权限下有来宾访问或用户访问的权限。
4、用户所用帐号口令为空。
若终端服务器为03，用户使用此服务器上的本地帐号、且口令为空，通过TS登录。由于03本地安全策略/本地策略/安全选项/帐户：使用空白密码的本地帐户只允许进行控制台登录，默认启用，这将会阻止用户登录。解决办法：使用非空密码或禁用此策略。
顺便提一下，这也是常见的通过网络访问XP/03上的共享资源，不通的原因之一。
5、所用帐号属性/终端服务配置文件/“允许登录到终端服务器”选项。
这个选项，默认就是选中的，除非有人动过。解决办法：手动选中即可。
6、还有两种可能：
（1）2000：未安装TS服务；03：未启用远程桌面
（2）03：启用了ICF，但未设允许RDP进入
Q6、在2000（也仅是2000）中由于禁止本地登录权利而导致的所有用户、管理员无法登录。
在安全策略/本地策略/用户权利分配下有两条策略：
¨;;;;拒绝本地登录，默认为“未定义”。
¨;;;;允许在本地登录，其默认值分别为：
u;;;;本地计算机策略：Administrators、Backup Operators、Power Users、Users
u;;;;默认域的策略：未定义
u;;;;默认域控制器的策略：Administrators、Account Operators、Backup Operators、Server Operators、Print Operators、IUSR_dcname
说明：如果在同一级别上、对同一对象（用户或组）、同时设置了“允许”和“拒绝”，“拒绝”权利的优先级别高。也就是说二者冲突时，“拒绝”权利生效。
假设不小心或干脆有人使坏在拒绝本地登录上设置了所有人或管理员，又或者在允许登录上把管理员给删掉了。不论哪一种情况都会导致管理员无法登录，出错提示为：“此系统的本地策略不允许您采用交互式登录”，也就没办法将策略设置改回正常了。
这种情形看起来像一个解不开的"死结"：要解除禁止本地登录的组策略设置，必须以管理员身份本地登录；要以管理员身份本地登录，就必须先解除禁止本地登录的组策略设置。