Windows Server Active Directory并不是什么新的东西,早在Windows 2000 Server中就被引入了,它是Windows Server OS中的一个主要产品。一些企业已经使用了Active Directory 15年甚至更久。随着Active Directory数据库老化,系统会在局部删除用户账号、安装应用程序失败或者其他管理上的失误后积累乱七八糟的东西,以及出现崩溃现象。
有些并不是直接针对Active Directory (AD)的问题也可能增加这种混乱,比如说企业内Exchange Server的灾难性失效。因为费用或者其他原因,企业可能会决定将服务器淘汰,但是可能因为这个服务器下线没有考虑周全,在Active Directory中还会存在对它的引用。这些挥之不去的引用可能导致从负载均衡到Exchange Server版本升级的任何问题。
Windows Server OS中自带的Active Directory管理工具可以显示这些杂乱和崩溃信息,不过这些工具不能从Active Directory中删除不想要的数据。这可能是因为担心相关联对象的断链,亦或是内部的保护措施为了保护Active Directory数据库,防止潜在的毁灭性的的管理操作。
使用ADSI Edit来清理Active Directory数据库
Microsoft ADSI Edit是一个可以 用来清理Active Directory数据库的免费工具,而普通的AD管理工具却不能做到这一点。ADSI Edit本质上是一个针对 Active Directory数据库的Lightweight Directory Access Protocol (LDAP) 编辑器。
ADSI Edit可以绕过普通管理工具内嵌的保护措施,让它成为一个非常强大同时也有潜在巨大毁灭性的的工具。所以在使用ADSI Edit前,对AD数据库创建一个备份非常重要。如果使用不正确,ADSI Edit可以摧毁整个Active Directory。
默认情况下,ADSI Edit是包含在Windows Server中的。要访问这个工具,命令行输入adsiedit.msc进入域控的Run提示。你可以在成员服务器上运行ADSI Edit,不过这样做的话通常需要在使用前手动注册adsiedit.dll文件。
在加载完ADSI Edit后,右键点击ADSI Edit 容器并且在快捷菜单中选择Connect to来连接Active Directory(图1所示)
图1. 使用ADSI Edit工具前连接Active Directory
然后,选择你想要编辑的服务器或者域的命名内容。举个例子,选择默认的命名内容和默认的计算机(图2)。点击OK对AD数据库进行加载。
图2. 选择命名和计算机
在图3中,ADSI Edit显示了和标准Active Directory管理工具一样的内容。点击内容展开任何可以访问的对象或者子内容。
图3. ADSI Edit显示的高等级内容
对象的类型决定了你可以使用ADSI Edit来执行的管理功能。大部分的修复包括了删除不需要的对象,不过也有其他的功能,例如重置一个用户的密码。
查看针对一个对象或内容的管理操作,可以右键这个对象或者内容(图4)。标准管理工具通常包含了移动、删除、重命名和属性。
图4. 对象类型决定了可用的管理操作
原文来自:http://searchwindowsserver.techtarget.com/tip/Active-Directory-management-tool-clears-the-clutter
文章评论