管理活动目录数据库

创建AD数据库快照

在 系统内置的“Ntdsutil.exe”工具中提供了“snapshot”参数，可针对活动目录数据库执行快照的创建，列表显示，加载或者卸载等操作。

点击“Win+R”键，执行“ntdsutil.exe”程序，在提示符下执行“snapshot”命令，在“快照”提示符下执行“activate instance ntds”命令，之后输入“create”命令，点击回车键，执行快照的创建操作。

在“成功生成快照集”栏中显示该快照的编码，该编码具有唯一性，例如“{xxxxxxxx-xxxx-xxxxxxxx-xxxxxxxxxxxx}”，“x”代表具体的字符或数字，其由快照索引编号和GUID组成。如果再想使用“ldp.exe”命令来访问和检查域快照关联的活动目录数据库内容的话，必须先执行快照的加载动作。

在上述“快照:”提示符中执行“mount xxxxxxxx-xxxx-xxxx-xxxxxxxxxxxxxxxx”命令，即可按照快编码来加载指定的快照。

在返回信息中显示指定快照的编码和对应的目录信息，例如“C:$SNA_201609163127_VOLUMEC$”。在“快照 :”提示符下执行“list mounted”命令，可以查看已经加载的快照信息。

将快照连接为LDAP服务器

使用“dsamain.exe”程序，可将指定的快照连接为一个自定义通讯端口的LDAP服务器，LDAP是轻量目录访问协议（Lightweight Directory Access Protocol）的缩写，LDAP服务器是用来处理查询和更新LDAP目录的。使用该命令，可以将连接的快照变成独立的LDAP服务器执行对象。

在CMD窗口中执行“dsamain /dbpath C:$SNA_201609163127_VolumeC$WindowsNTDS tds.dit/ldapport 51389”命令，将指定的快照变成独立的LADP服务器执行个体。当出现“Microsoft Active Directory域服务启动完成”提示时，说明操作成功。

自动创建AD数据库快照

在计划任务程序窗口右侧点击“创建任务”项，在弹出窗口中的“名称”栏中输入任务的名称（例如“创建AD快照”），在“安全选项”栏中选择“不管用户是否登录都要运行”项。

在“触发器”面板中点击“新建”按钮，在打开窗口中的“开始任务”列表中选择计划类型，这里选择“指定计划时”项。在“设置”栏中选择运行的周期，包括一次，每天，每周，每月等。根据选择的周期不同，设置具体的触发时间点。

“高级设置”栏中可设置任务延迟时间，重复执行间隔，过期时间等参数，选择“启用”项，点击确定按钮，保存该触发器。

“操作”面板中点击“新建”按钮，打开窗口中的“操作”列表中选择“启动程序”项，“程序或脚本”栏中点击“浏览”按钮，选择“C:WindowsSystem32 tdsutil.exe”程序。

在“添加参数”栏中输入“"activate instance ntds" snapshot create quit quit”。这样，可以自动输入对应的指令，当完成快照的创建操作后，自动退出程序。

点击确定按钮保存配置信息。其余的设置保持默认，点击确定按钮，完成该任务的创建操作。在列表中选择该任务，在其右键菜单上点击“运行”项，可以立即执行快照的创建操作。在“历史记录”面板中显示其执行状态以及执行的历史信息。

查看指定快照内容

当创建和加载了活动目录数据库，并将连接的快照变成独立的LDAP服务器执行对象后，就需要使用“ldp.exe”命令来实现访问，该工具可以检查已经加载的活动目录的快照内容。

注意，一般情况只有Domain Admins和Enterprise Admins组中的用户才拥有对活动目录快照进行检查的权限。

因为在快照中包含了关于AD DS服务的重要信息，是不允许一般用户随意接触的。

执行“ldp”程序，在其主界面中点击菜单“连接”-“连接”项，在弹出窗口的“服务器”栏中输入“localhost”，或者是本机的名称，在“端口”栏中输入上述自定义端口号，例如51389。点击确定按钮，执行和上述独立的LADP服务器执行个体的连接操作。

当连接成功后，点击菜单“连接”-“绑定”项，在打开窗口中的输入账户名，密码以及域等信息，并选择合适的绑定类型，包括作为当前已登录用户绑定，凭据绑定，简单绑定，高级（DIGEST）等，一般来说选择“与凭据绑定”项即可。点击确定按钮，完成绑定操作。再点击菜单“查看”-“树”项，在弹出窗口中的“BaseDN”栏中输入LDAP格式的路径参数，例如“dc=xxx,dc=com”，“xxx” 表示具体域名，就可以浏览快照的数据库内容了。

除 了 使 用“ldp.exe”工具浏览快照数据库内容外，还可以使用系统内置的Active Directory用户和计算机程序，来连接上述LDAP服务器。

在其窗口左侧选择“Active Directory用 户和计算机”项，在其右键菜单上点击“更改域控制器”项，在打开窗口中选择“此域控制器或AD LDS实例”项，并输入本机的名称和通讯端口号。例如“localhost:51289”，点击确定按钮，就可以浏览目标快照数据库的LDAP执行个体连接后的内容，同“ldp.exe”程序相比，这种浏览方式更加直观。

注意，这是以只读方式进行浏览和查看的，操作者是无法在其中添加，删除或者修改对象内容的。