管理活動目錄數據庫

創建AD數據庫快照

在 系統內置的“Ntdsutil.exe”工具中提供了“snapshot”參數，可針對活動目錄數據庫執行快照的創建，列表顯示，加載或者卸載等操作。

點擊“Win+R”鍵，執行“ntdsutil.exe”程序，在提示符下執行“snapshot”命令，在“快照”提示符下執行“activate instance ntds”命令，之后輸入“create”命令，點擊回車鍵，執行快照的創建操作。

在“成功生成快照集”欄中顯示該快照的編碼，該編碼具有唯一性，例如“{xxxxxxxx-xxxx-xxxxxxxx-xxxxxxxxxxxx}”，“x”代表具體的字符或數字，其由快照索引編號和GUID組成。如果再想使用“ldp.exe”命令來訪問和檢查域快照關聯的活動目錄數據庫內容的話，必須先執行快照的加載動作。

在上述“快照:”提示符中執行“mount xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxxxxxx”命令，即可按照快編碼來加載指定的快照。

在返回信息中顯示指定快照的編碼和對應的目錄信息，例如“C:$SNA_201609163127_VOLUMEC$”。在“快照 :”提示符下執行“list mounted”命令，可以查看已經加載的快照信息。

將快照連接為LDAP服務器

使用“dsamain.exe”程序，可將指定的快照連接為一個自定義通訊端口的LDAP服務器，LDAP是輕量目錄訪問協議（Lightweight Directory Access Protocol）的縮寫，LDAP服務器是用來處理查詢和更新LDAP目錄的。使用該命令，可以將連接的快照變成獨立的LDAP服務器執行對象。

在CMD窗口中執行“dsamain /dbpath C:$SNA_201609163127_VolumeC$WindowsNTDS tds.dit/ldapport 51389”命令，將指定的快照變成獨立的LADP服務器執行個體。當出現“Microsoft Active Directory域服務啟動完成”提示時，說明操作成功。

自動創建AD數據庫快照

在計劃任務程序窗口右側點擊“創建任務”項，在彈出窗口中的“名稱”欄中輸入任務的名稱（例如“創建AD快照”），在“安全選項”欄中選擇“不管用戶是否登錄都要運行”項。

在“觸發器”面板中點擊“新建”按鈕，在打開窗口中的“開始任務”列表中選擇計劃類型，這里選擇“指定計劃時”項。在“設置”欄中選擇運行的周期，包括一次，每天，每周，每月等。根據選擇的周期不同，設置具體的觸發時間點。

“高級設置”欄中可設置任務延遲時間，重復執行間隔，過期時間等參數，選擇“啟用”項，點擊確定按鈕，保存該觸發器。

“操作”面板中點擊“新建”按鈕，打開窗口中的“操作”列表中選擇“啟動程序”項，“程序或腳本”欄中點擊“瀏覽”按鈕，選擇“C:WindowsSystem32 tdsutil.exe”程序。

在“添加參數”欄中輸入“"activate instance ntds" snapshot create quit quit”。這樣，可以自動輸入對應的指令，當完成快照的創建操作后，自動退出程序。

點擊確定按鈕保存配置信息。其余的設置保持默認，點擊確定按鈕，完成該任務的創建操作。在列表中選擇該任務，在其右鍵菜單上點擊“運行”項，可以立即執行快照的創建操作。在“歷史記錄”面板中顯示其執行狀態以及執行的歷史信息。

查看指定快照內容

當創建和加載了活動目錄數據庫，并將連接的快照變成獨立的LDAP服務器執行對象后，就需要使用“ldp.exe”命令來實現訪問，該工具可以檢查已經加載的活動目錄的快照內容。

注意，一般情況只有Domain Admins和Enterprise Admins組中的用戶才擁有對活動目錄快照進行檢查的權限。

因為在快照中包含了關于AD DS服務的重要信息，是不允許一般用戶隨意接觸的。

執行“ldp”程序，在其主界面中點擊菜單“連接”-“連接”項，在彈出窗口的“服務器”欄中輸入“localhost”，或者是本機的名稱，在“端口”欄中輸入上述自定義端口號，例如51389。點擊確定按鈕，執行和上述獨立的LADP服務器執行個體的連接操作。

當連接成功后，點擊菜單“連接”-“綁定”項，在打開窗口中的輸入賬戶名，密碼以及域等信息，并選擇合適的綁定類型，包括作為當前已登錄用戶綁定，憑據綁定，簡單綁定，高級（DIGEST）等，一般來說選擇“與憑據綁定”項即可。點擊確定按鈕，完成綁定操作。再點擊菜單“查看”-“樹”項，在彈出窗口中的“BaseDN”欄中輸入LDAP格式的路徑參數，例如“dc=xxx,dc=com”，“xxx” 表示具體域名，就可以瀏覽快照的數據庫內容了。

除 了 使 用“ldp.exe”工具瀏覽快照數據庫內容外，還可以使用系統內置的Active Directory用戶和計算機程序，來連接上述LDAP服務器。

在其窗口左側選擇“Active Directory用 戶和計算機”項，在其右鍵菜單上點擊“更改域控制器”項，在打開窗口中選擇“此域控制器或AD LDS實例”項，并輸入本機的名稱和通訊端口號。例如“localhost:51289”，點擊確定按鈕，就可以瀏覽目標快照數據庫的LDAP執行個體連接后的內容，同“ldp.exe”程序相比，這種瀏覽方式更加直觀。

注意，這是以只讀方式進行瀏覽和查看的，操作者是無法在其中添加，刪除或者修改對象內容的。