Windows Server 2008 活动目录解析

五、数据挖掘工具

    数据挖掘工具（dsamain.exe，现以更名为Database Mounting Tool）能够检验针对在AD DS中数据进行的任何更改。比如，如果一个对象在意外情况下被修改，你能够使用数据挖掘工具来检验变化并帮助你更好的决定如何来修正它们，如有必要的话。
    数据挖掘工具能干什么？

    尽管数据挖掘工具本身不恢复任何已被删除的对象，但是它能够帮助提高还原被意外删除对象过程的效率。在Windows Server 2008以前，当对象或者组织单位被意外删除时，能够准确地确定被删除对象的唯一方法是从备份中还原数据。这项处理方法有两个缺陷：

    • 活动目录不得不重启至目录服务还原模式来执行权威恢复。
    • 管理员无法比较在不同时间点采集的备份数据（除非备份数据被还原到不同域控制器，而这个过程是不可行的）。
　　
    数据挖掘工具这项特性的目的是在线揭示储存在快照或者备份中的数据。管理员随后能够比较在不同时间点采集的快照或备份中的数据，这能使管理员能够更好地决定恢复那份数据，而不用导致停止服务。

    具体实验步骤

    创建、加载及列出快照

    管理凭据

    你必须是Domain Admins或Enterprise Admins组的成员或被委派了合适权限的用户。

    创建、加载、列出及删除AD DS快照

    1. 以Domain Admins或Enterprise Admins组的成员登录到域控制器
    2. 单击开始，右键单击命令提示符，然后选择以管理员运行
    3. 在被提升权限的命令提示符下，输入ntdsutil命令
    4. 在ntdsutil提示符下输入snapshot命令
    5. 在snapshot提示符下输入activate instance ntds命令
    6. 在snapshot提示符下输入create命令，命令将返回“Snapshot set {} generated successfully.”其中{}内某一GUID值。
    7. 在snapshot提示符下输入mount {GUID}
    8. 你也可以使用 list mounted 来查看已加载的快照。在Windows Server 2008 beta3的后继版本中会出现索引号替代GUID来方便你执行后续的加载，卸载，删除快照等操作。
    9. 使用dismount {GUID} 或者 dismount Index # 来卸载快照。使用delete {GUID} 或者 delete Index # 来删除快照。
    10. 当你完成以上操作后，输入quit返回到ntdsutil提示符。再次输入quit退出ntdsutil命令。
以LDAP服务器的形式打开AD DS或AD LDS快照数据

    管理凭据

    你必须是Domain Admins或Enterprise Admins组的成员来运行dsamain.exe命令来访问被揭示出的AD数据。如果快照来自已不存在的域，你可以指定/allowNonAdminAccess 参数。

    1. 首先加载快照。（可以在snapshot提示符下使用list all来显示所有快照，如果没有可用快照，那么先创建快照。）

    2. 输入以下命令
dsamain -dbpath:<path_to_database_file> -ldapport:<port_#>