小心双刃剑 Ntdsutil对活动目录的管理

有传言说微软正计划去掉Ntdsutil.exe，该工具从Windows 2000开始就提供到各种活动目录功能的命令行访问。Ntdsutil已经成为我调试活动目录问题的常用工具，但是我却发现，尽管在Windows Server 2008和R2中Ntdsutil增加了许多功能来提高易用性，仍然只有很少一部分管理员使用它。

Ntdsutil功能很强大，但也很危险。问题就在于某些Ntdsutil命令要求活动目录处于脱机状态。在Windows 2000和2003中，通过重启域控制器和开启目录服务还原模式（Directory Services Restore Mode，DSRM）完成活动目录的脱机。这是唯一一种完成语义数据库检查（semantic database checker）等操作的方法。

然而，重启DC（两次）并不是我们希望的，但是在维护窗口时经常会要求有这样的操作。重启并进入DSRM（通常要求安全模式）会导致所有的服务都脱机，虽然我们不推荐这么做，但这种做法却相当普遍。

幸运的是，Windows Server 2008中引入了一个很不错的新选项，可以将活动目录服务安装为可以脱机使用的服务（见图1）。当活动目录域名服务（Active Directory Domain Services，AD DS）关闭后，Ntdsutil就可以在不重启的情况下进行语义数据库分析。

图1：活动目录域名服务

Ntdsutil命令介绍

那么让我们来看看Windows Server 2008和R2版的Ntdsutil，学习一些强大的操作，说不定某天就能让你少打一个技术支持电话：

1.元数据清理：允许删除服务器、站点、域以及命名上下文对象（当你必须手动降级DC或有一些损坏对象时这特别有用。）

2.文件*：管理活动目录数据库文件（这个不常用，但是还是有一些很有用的命令）

3.组成员评估：显示主要的安全信息

4.角色：管理FSMO角色

5.IFM（从介质安装）*：捕获活动目录的快照，然后在dcpromo的介质安装过程中使用

6.语义数据库分析*：查找并修复数据库错误

7.快照：管理快照，包括列举、安装和卸载快照

8.授权还原：将域控制器还原到某个特定时间点

这些操作要求在活动目录域名服务停止的情况下进行。

注：虽然在过去，活动目录轻型目录服务（ Active Directory Lightweight Directory Services，AD LDS）使用dsdbutil和dsmgmt这两个工具来管理AD LDS实例，但微软实际上已将这些工具整合到Ntdsutil中了。我不会在这里讨论AD LDS的详细功能，但我们必须意识到现在所有的管理功能都在AD LDS中了，这点很重要。