System state backup windows 2008 domain controller

October 19, 2012 updated by

Leave a reply »

Компания Microsoft планирует выпустить операционную систему Windows Server 2008, свою первую крупную серверную платформу со времен Windows Server 2003, в первом квартале 2008 года. Эта серверная операционная система, появления которой с нетерпением ждут во многих крупных компаниях, предлагает целый ряд новых технических возможностей в области безопасности, управления и администрирования, разработанных для повышения надежности и гибкости работы сервера.

Кроме того, платформа Windows Server 2008 включает ряд исправлений и усовершенствований в области Active Directory. Ключевой элемент функциональных возможностей системы Windows Server 2003, Active Directory, в новой системной платформе Windows Server 2008 назван Active Directory Domain Services (AD DS, службы доменов Active Directory), что позволяет провести различие между ним и новыми компонентами системы, такими как Active Directory Certificate Services (AD CS, службы сертификатов Active Directory), Active Directory Federation Services (AD FS, службы интеграции Active Directory), Active Directory Lightweight Directory Services (AD LDS, службы упрощенного протокола доступа к каталогам Active Directory) и Active Directory Rights Management Services (AD RMS, службы управления правами доступа Active Directory).

Особое внимание привлекает новая функция безопасности AD DS – Read-Only Domain Controller (RODC, контроллер домена только для чтения), который позволяет использовать копию базы данных домена только для чтения в условиях пониженной физической или административной защиты, например, в офисах филиалов. В RODC содержатся все объекты и атрибуты AD DS, за исключением паролей для доступа к учетным записям. Поскольку изменить RODC нельзя, злоумышленник или просто неопытный пользователь не сможет произвести нежелательных изменений в базе данных домена, которые в противном случае могли бы отразиться на функционировании всех элементов AD.

Тем не менее, элементы AD DS по-прежнему уязвимы: ошибка пользователя, сбой в работе оборудования, неправильные настройки программного обеспечения могут повредить элементы AD и данные групповой политики (Group Policy). В случае повреждения или удаления этих данных может замедлиться работа приложений, понизиться производительность, могут быть утеряны важные деловые показатели. Именно поэтому необходимо существование надежного механизма восстановления данных. На исправление и восстановление объектов и атрибутов AD с помощью инструментов Windows Server 2003 обычно уходит очень много времени, при этом вероятность возникновения ошибки довольно высока.

Согласно результатам недавнего опроса , в котором участвовали более 150 предприятий, около 60% из них за последний год по меньшей мере один раз пострадали из-за проблем с AD. В зависимости от природы проблемы на ее устранение может уйти несколько часов и даже дней.

Процесс создания резервных копий данных и восстановления элементов AD в серверной операционной системе Windows Server 2008 подвергся некоторым изменениям. Разработчики Microsoft создали новый механизм создания резервных копий данных, а также приложение для просмотра сохраненных копий, но восстановление объектов AD не стало ни проще, ни быстрее. Поскольку новый метод создания резервных копий существенно отличается от прежнего и не совместим с инструментами Windows Server 2003, администраторам AD в сетях, объединяющих компьютеры с разными операционными системами Windows, придется пользоваться независимыми приложениями для создания резервных копий, что усложнит процесс обучения и непосредственного управления сетями на предприятиях.

В этом документе предложен обзор новых функций Windows Server 2008, касающихся создания резервных копий и восстановления объектов AD, а также рассмотрены приложения, которые помогут предприятиям избежать излишней траты времени на восстановление элементов AD, уменьшив, таким образом, негативные последствия этого процесса для пользователей. В частности, здесь будет рассказано о приложении Quest Recovery Manager for Active Directory и принципах его работы в сочетании с новыми функциями Windows Server 2008, что позволяет сделать процесс восстановления AD значительно проще.

НОВЫЙ МЕХАНИЗМ СОЗДАНИЯ РЕЗЕРВНЫХ КОПИЙ ДАННЫХ И ВОССТАНОВЛЕНИЯ ЭЛЕМЕНТОВ ACTIVE DIRECTORY В СЕРВЕРНОЙ ОПЕРАЦИОННОЙ СИСТЕМЕ WINDOWS SERVER 2008

Новые функции Windows Server 2008, касающиеся создания резервных копий данных и восстановления объектов Active Directory, можно разбить на три группы: создание резервных копий данных, решение проблем и восстановление.

Создание резервных копий данных

В серверной платформе Windows Server 2008 на смену утилите NTBackup, которая используется в предыдущих версиях серверных операционных систем Microsoft, пришла утилита Windows Server Backup. В официальных документах Microsoft говорится, что Windows Server Backup представляет собой «фундаментальное решение в области создания резервных копий данных и их восстановления» [

Changes in Functionality from Windows Server 2003 with SP1 to Windows Server 2008] (2), чей «простой дизайн делает это приложение особенно удобным для небольших организаций и обычных пользователей, не являющихся специалистами в области информационных технологий» (3). Отсюда IT-специалисты могут сделать вывод: вполне возможно, что эта утилита не соответствует тем специфическим требованиям, которые к ней предъявляет среда AD на крупных предприятиях.

Утилита Windows Server Backup предлагает ряд новых возможностей. Интегрированное приложение для создания резервных копий Microsoft Management Console (MMC, консоль управления Microsoft) позволяет администраторам IT или тем, кто отвечает за создание резервных копий, производить резервное копирование данных на локальных и удаленных серверах с одного серверного компьютера с помощью единого пользовательского интерфейса. Утилита Windows Server Backup может использоваться для создания резервных копий данных таких приложений, как Microsoft SQL Server™ и Windows SharePoint® Services с помощью Volume Shadow Copy Service (VSS, служба создания точных копий разделов жесткого диска). Утилита поддерживает создание полных и инкрементных резервных копий.

Тем не менее, некоторые ограничения, существующие в Windows Server Backup, могут негативно отразиться на процессе создания резервных копий данных на предприятии в целом и данных Active Directory в частности. Утилита Windows Server Backup не совместима с приложениями для резервного копирования предыдущих версий Windows, поэтому воспользоваться копиями, созданными с помощью NTBackup, невозможно. Кроме того, Windows Server Backup, в отличие от предыдущих версий подобного программного обеспечения, предусматривает гораздо меньше возможностей резервного копирования отдельных элементов. Если учесть, что во многих организациях используется сразу несколько контроллеров домена, это может существенно усложнить процесс создания резервных копий и восстановления Active Directory. К примеру, Windows Server Backup не дает возможности создать копию данных только о состоянии системы (System State), поэтому придется создавать полную резервную копию всех разделов жесткого диска, на которых хранятся компоненты AD. В зависимости от того, где находятся база данных AD, журналы, SYSVOL, директория Windows и загрузочные файлы, может потребоваться создание резервных копий сразу нескольких разделов жесткого диска сервера. Хотя скорость работы утилиты для создания резервных копий Windows Server 2008 значительно выше, чем у предыдущих версий, такой большой объем требует дополнительного пространства для хранения, а восстановление системы с помощью этих копий происходит гораздо медленнее, поскольку администратору приходится выбирать нужные данные вручную.

Решение проблем

Серверная платформа Windows Server 2008 предлагает новое приложение под названием AD DS Snapshot Viewer (просмотр копий AD DS), которое облегчает просмотр резервных копий данных. Snapshot Viewer позволяет просматривать копии базы данных AD, созданные с помощью VSS, чтобы определить, одержат ли они нужные данные, прежде чем запускать процедуру восстановления. Для того, чтобы просматривать эти копии, предназначенные только для чтения, на контроллере домена, его необязательно запускать в режиме Directory Services Restore Mode (DSRM, режим восстановления служб директории). Система Windows Server 2003, напротив, не предусматривает возможности просмотра сразу нескольких резервных копий AD, сделанных в разное время. В такой ситуации единственный способ выяснить, каких данных недостает, — начать неофициальную процедуру восстановления, запустив AD в режиме DSRM.

Хотя Snapshot Viewer – полезная вещь, это приложение довольно неудобно в обращении. Для того, чтобы смонтировать копию и вывести ее в сеть, необходимо воспользоваться двумя утилитами на основе командной строки. Данные приходится просматривать вручную, сравнивая копию (или несколько копий) с текущей базой данных, чтобы найти изменения. В зависимости от масштабов и природы изменений этот процесс можно отнять очень много времени. Подробное описание процесса приведено в примере использования этой возможности на предприятии на странице 5.

Некоторые проблемы, связанные с использованием Snapshot Viewer, помогает решить новая бесплатная утилита AD Explorer от Sysinternals, которую можно загрузить в Интернете. AD Explorer – утилита для Windows, которая позволяет просматривать и редактировать базу данных AD напрямую. Это приложение облегчает просмотр базы данных, поиск определенных записей или атрибутов. Кроме того, с помощью AD Explorer можно делать копии базы данных и производить простое сравнение различных версий, чтобы найти изменения. Однако эти копии не могут использоваться в качестве резервных. Кроме того, эта утилита не позволяет восстанавливать поврежденные объекты.

Восстановление

Определив, какая резервная копия AD содержит нужные данные, необходимо осуществить восстановление данных, и здесь Windows Server 2008 не предлагает никаких изменений к лучшему. Как и в предыдущих версиях серверных операционных систем Windows, для проведения официальной или неофициальной процедуры восстановления необходимо запустить контролер домена в режиме DSRM или написать скрипты, которые восстанавливают удаленные объекты с помощью интерфейса Reanimate Tombstone API, не требуя выхода из сети. Некоторые утилиты, созданные еще для Windows Server 2003, используют интерфейс Reanimate Tombstone API для восстановления удаленных объектов как в Windows Server 2003, так и в Windows Server 2008. Например, утилиты AD Restore от Sysinternal и Object Restore for Active Directory от Quest используют интерфейс Reanimate Tombstone API для восстановления обязательных атрибутов – имени объекта, идентификатора безопасности (Security Identifier, SID), глобально уникального идентификатора (Globally Unique Identifier, GUID) и родительского контейнера. К сожалению, эти утилиты восстанавливают только те данные, которые содержатся в кратких сведениях об объекте, где приведены далеко не все атрибуты. После восстановления удаленного объекта придется тщательно восстанавливать его атрибуты, принадлежность к группам и обратные ссылки, поскольку Windows Server 2008 не предусматривает возможности восстановления атрибутов объекта из резервной копии данных AD.

ПРИМЕР: СОЗДАНИЕ РЕЗЕРВНОЙ КОПИИ ДАННЫХ И ВОССТАНОВЛЕНИЕ ОБЪЕКТОВ ACTIVE DIRECTORY НА ПРЕДПРИЯТИИ С ПОМОЩЬЮ ИНСТРУМЕНТОВ WINDOWS SERVER 2008

Сейчас конец 2008 года. Компания среднего бизнеса, производящая потребительские товары для рынка с широким географическим охватом, использует элементы AD для управления доступом к целому ряду приложений, от Microsoft Exchange до SQL Server, SAP All-in-One, а также вики-сайтов поддержки потребителей. Недавно на нескольких компьютерах компании была установлена серверная платформа Windows Server 2008, и сейчас IT-администраторы компании изучают изменения и новые возможности этой версии серверной операционной системы Microsoft. В это время компания получает уведомление о том, что вскоре должна состояться реорганизация, которая предусматривает также интеграцию в структуру компании недавно приобретенного филиала.

После реорганизации

Реорганизация завершилась на прошлой неделе. Похоже, интеграция прошла успешно. Сотрудникам отдела информационных технологий пришлось переместить сотни пользовательских учетных записей AD и убедиться в том, что изменения зафиксированы на всех контроллерах домена, которых у компании несколько десятков. При этом IT-специалисты обновили некоторые объекты групповой политики (Group Policy Object, GPO), чтобы обеспечить согласованность данных в рамках всей организации. До сих пор все шло нормально. В понедельник дел было несколько больше, чем обычно, но не слишком, особенно если учесть масштабы проделанных работ.

Звонки в службу поддержки отдела IT начались во вторник утром, когда новая смена сотрудников объединенного удаленного центра обслуживания клиентов приступила к работе после выходных. Некоторые сотрудники центра сообщали, что не могут войти в систему. Поскольку эта смена еще не работала с системой после реорганизации, системные администраторы сразу же предположили, что в результате изменений в данные AD закралась ошибка.

На тех контроллерах домена компании, на которых установлена серверная платформа Windows Server 2008, запущено приложение, которое делает копию данных AD каждые шесть часов по расписанию. Первым делом необходимо было выяснить, когда произошли изменения, затронувшие эту группу пользователей. Просмотрев журнал изменений оператора, который компания ведет как раз для таких случаев, IT-специалисты вскоре сузили временной период, в который произошли нежелательные изменения, до времени между полуднем и пятью часами вечера пятницы. С помощью AD DS Snapshot Viewer небольшая группа администраторов принялась изучать изменения, коснувшиеся отдельных лиц, подразделений организации (Organizational Units, OU) и объектов групповой политики (GPO), опираясь на две резервных копии данных, сделанных в этот отрезок времени.

Рисунок 1 – Обнаружение и монтаж копии с помощью NTDSUTIL

Рисунок 2 – Представление смонтированной копии в виде сервера LDAP для просмотра

Проблема была обнаружена очень быстро, но на ее исправление ушло много времени. Данные тех пользователей, которые не могли войти в систему, не были представлены в AD. Администраторам пришлось смонтировать две резервных копии данных, сделанных в пятницу, и найти в них имена всех пострадавших пользователей с помощью AD DS Snapshot Viewer, чтобы убедиться, что данные о них есть в этой копии данных. Видимо, в процессе изменений, связанных с реорганизацией, путаница, возникшая из-за похожих названий учетных записей пользователей, привела к удалению некоторых из них. Те учетные записи, которые должны были быть перемещены, были вместо этого удалены. После того, как имена пользователей были подтверждены (чтобы избежать случайного восстановления ненужных учетных записей), сотрудники отдела ИТ начали восстановление.

Первым делом нужно было запустить контроллер домена в режиме восстановления. Пока он был отключен, запросы на вход в систему выполняли другие контроллеры домена. Затем администраторы восстановили систему из резервной копии, содержавшей данные об удаленных учетных записях, не перезагружая контроллер и не синхронизируя его с онлайн-версией.

Восстановление объектов в Windows Server 2008 осуществляется точно так же, как и в Windows Server 2003. Используя программу ntdsutil и команду «authoritative restore», IT-специалисты отметили каждую удаленную учетную запись как действующую с помощью команды «restore object ‘отмеченное название’». Только на ввод этой команды для каждой учетной записи ушло больше часа. Проделав эту операцию, администраторы перезагрузили контроллер домена. Затем были произведены все необходимые перемещения и изменения. После этого была запущена репликация изменения на все связанные контроллеры.

На все эти исправления ушел целый день, а пока администраторы решали проблему, в центре поддержки клиентов не хватало сотрудников, поскольку многие из них не могли войти в систему. Но ситуация могла бы быть и серьезней – если бы удаленные учетные записи принадлежали руководителю компании, находящемуся в деловой поездке, торговому представителю, у которого на этот день была назначена важная встреча, или сотрудникам подразделений по распространению и логистике.

ПРИЛОЖЕНИЕ QUEST RECOVERY MANAGER ДЛЯ ACTIVE DIRECTORY

Приложение Quest Recovery Manager for Active Directory обладает интуитивным интерфейсом и позволяет эффективно создавать резервные копии данных, решать проблемы и восстанавливать объекты AD на любых контроллерах домена вне зависимости от того, какая версия Windows на них установлена. Это приложение идеально подходит компаниям среднего бизнеса и крупным предприятиям, которые используют элементы AD для управления пользовательским доступом к деловым приложениям. Приложение Recovery Manager представляет собой единое решение для самых разных задач и позволяет сократить время и средства, затрачиваемые на обучение управлению различными процессами создания резервных копий и восстановления объектов AD. Поскольку это приложение позволяет создавать резервные копии данных и осуществлять восстановление удаленных контроллеров домена, это существенно сокращает время и издержки на администрирование удаленных сайтов. К тому же, использование удобных мастеров настройки приложения позволяет быстро настроить параметры создания резервных копий и коррекции ошибок. Кроме того, пользование мастерами настройки снимает необходимость вручную вводить цепочки команд в интерфейсе командной строки, что зачастую приводит к ошибкам.

Создание резервной копии данных

Приложение Recovery Manager обладает простым интерфейсом Мастера создания резервных копий (Backup Wizard), который поддерживает все версии Windows AD, от 2000 до 20084. В отличие от утилиты Windows Server Backup, приложение Recovery Manager позволяет создавать резервные копии только данных о состоянии системы (System State), не затрачивая лишнего времени и пространства на создание копии целого раздела жесткого диска сервера. Резервные копии можно хранить в одном месте, в нескольких или на самих контроллерах домена.

Решение проблем

Обычно поиск причины, вызвавшей сбой в работе системы, — утомительное занятие. Приложение Recovery Manger позволяет с легкостью выбрать из списка одну из резервных копий для просмотра, при этом загружаются резервные копии быстро, поскольку они постоянно находятся в сети. Инструмент сравнения Recovery Manager осуществляет автоматическое сравнение текущего состояния AD с выбранной резервной копией, выделяя изменения (см. рис. 5), причем выводит не только сведения о том, какие учетные записи и группы были изменены, но и подробные данные о том, какие атрибуты подверглись изменениям.

Рисунок 5 – Инструмент сравнения приложения Recovery Manager выделяет все измененные и удаленные объекты, облегчая решение проблем

Восстановление

Приложение Recovery Manager позволяет восстанавливать отдельные группы данных AD DS, не выходя из сети. Мастер онлайн-восстановления предлагает ряд последовательных шагов по восстановлению данных о состоянии системы (System State) и групповой политике (Group Policy). Восстановить можно как весь домен, так и подразделение организации (OU), объекты групповой политики (GPO), учетные записи отдельных пользователей или индивидуальные атрибуты – все это одним нажатием кнопки мыши, не вызывая при этом вынужденного простоя системы (см. рис. 6). Восстановление системы в режиме онлайн сводит к минимуму негативные последствия для пользователей, поскольку не требует перезапуска контроллеров домена.

Рисунок 6 – Быстрое восстановление объектов с помощью мастера онлайн-восстановления приложения Recovery Manager

СРАВНИТЕЛЬНЫЙ АНАЛИЗ: СОЗДАНИЕ РЕЗЕРВНОЙ КОПИИ ДАННЫХ И ВОССТАНОВЛЕНИЕ ОБЪЕКТОВ AD НА ПРЕДПРИЯТИИ

В приведенных ниже таблицах сравниваются методы создания резервной копии данных, решения проблем и восстановления объектов с помощью инструментов Windows Server 2003, Windows Server 2008 и приложения Quest Recovery Manager for Active Directory.

Инструменты Windows Server 2003

Инструменты Windows Server 2008

Приложение Quest Recovery Manager for Active Directory

ЗАКЛЮЧЕНИЕ

Хотя новая серверная платформа Windows Server 2008 предлагает ряд улучшений, механизмы создания резервных копий данных и восстановления объектов AD DS существенно не изменились. Новые инструменты несколько облегчают осуществление некоторых процедур, но не приводят к существенному сокращению времени вынужденного простоя системы при восстановлении удаленных или измененных объектов AD.

Приложение Quest Recovery Manager for Active Directory разработано для крупных предприятий и организаций малого бизнеса, которые нуждаются в надежных и эффективных способах быстрого восстановления объектов AD, пострадавших из-за неправильной настройки, вредоносного программного обеспечения, действий злоумышленников, проблем с оборудованием и других серьезных неполадок с AD. Приложение Recovery Manager идеально подходит тем предприятиям, на которых используются различные версии серверных платформ Windows Server, а также для тех компаний, компьютерные сети которых имеют широкий географический охват и, как следствие, нуждаются в централизованном администрировании резервного копирования и восстановления AD. Тысячи предприятий полагаются на приложение Quest Recovery Manager for Active Directory, которое позволяет им избежать простоя системы из-за повседневных проблем AD, связанных со сбоями в функционировании программного обеспечения и ошибками пользователей.

Недавно корпорация Microsoft второй раз за последние четыре года присудила компании Quest Software звание «Лучшего партнера – независимого мирового поставщика программного обеспечения (ISV) – 2007». Компания Quest обеспечивает поддержку продуктам для предприятий, разработанным Microsoft, с 1993 года. Сегодня компания Quest занимает второе после компании Microsoft место по количеству сотрудников, занятых в разработке продуктов AD. Почти семь тысяч компаний полагаются на программное обеспечение Quest в том, что касается управления более чем 45 миллионами учетных записей пользователей на основе AD.

ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ

Recovery Manager for Active Directory

Официальный сайт программы:

http://www.quest.com
Информация о программе: http://www.quest.com/events/listdetails.aspx
Обзор программы: http://www.quest.com/recovery_manager_for_…directory/demo/

Автор: Shawn Barker
Copyright:

Quest Software, Inc.
Источник: whitepapers.silicon.com
Копирование и использование материалов русской версии статьи разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.

Оцените статью: Голосов

Этой статьей я завершаю тему восстановления данных в Active Directory. Напоследок я приберег самый тяжелый вариант — авторитативное восстановление Active Directory из резервной копии.  Авторитативное восстановление (англ. Authoritative restore) — процесс достаточно сложный и долгий, могущий привести к различным неприятным последствиям, поэтому применять его стоит очень аккуратно. Однако ситуации бывают разные, поэтому все, кто работает с Active Directory, должны знать об этом способе восстановления и уметь им пользоваться.

Вот что представляет из себя авторитативное восстановление:

1) Контроллер домена загружается в режиме Directory Services Restore Mode (DSRM).  В этом режиме служба AD не запускается, а база данных переводится в автономный режим;
2) База данных AD восстанавливается из резервной копии;
3) Восстанавливаемые объекты помечаются как авторитативные с помощью утилиты Ntdsutil;
4) Контроллер домена загружается в нормальном режиме.

Это если коротко. Более подробно рассмотрим процесс авторитативного восстановления на примере восстановления удаленной организационной единицы. Все действия будут проводится на Windows Server 2008 R2 с использованием встроенных средств, уровень леса Server 2008 R2.

Для авторитативного восстановления Active Directory нам потребуется резервная копия состояния системы (System State). System State включает в себя:

• Файл ntds.dit – база данных Active Directory;
• Системный реестр контроллера домена;
• База данных Certification Authority (служб сертификации);
• Системный том SYSVOL, хранящий сценарии входа в систему и групповые политики домена;
• Системные файлы, необходимые для загрузки операционной системы;
• База данных регистрации классов COM+, которая содержит информацию о приложениях COM+ ;
• Сведения Cluster Services (служб кластеров),  если данный сервер является компонентом кластера.

Для создания резервной копии я воспользуюсь встроенной в Windows Server 2008 программой для резервного копирования Wbadmin. Открываем командную консоль и создаем бэкап System State на диске E следующей командой:

wbadmin start systemstatebackup -backupTarget:E:

Создав резервную копию, открываем оснастку Active Directory Users and Computers (ADUC) и, совершенно случайно 🙂  удаляем подразделение Managers со всем содержимым.

Кстати, в отличие от других объектов (учетных записей пользователей, компьютеров и групп) у контейнеров предусмотрена защита от случайного удаления. Поэтому, прежде чем удалять объект, в оснастке ADUC в меню View включаем пункт Advanced Features. Затем открываем свойства объекта и на вкладке Object снимаем галку с чек-бокса «Protect object from accidental deletion».

Теперь мы должны перезагрузить контроллер домена в режиме восстановления Directory Services Restore Mode. Если в Windows Server 2003 для этого достаточно было нажать клавишу F8 при загрузке, то в Server 2008 необходимо внести изменения в загрузочное меню. Сделать это можно двумя способами.

Из командной строки, запущенной с правами администратора, введя команду:

bcdedit /set safeboot dsrepair

И перезагрузить сервер:

shutdown -r -t 0

Либо нажать Win+R и в строке выполнить (Run) ввести msconfig. Откроется оснастка System Configuration. В ней на вкладке Boot в поле «Boot options» надо отметить режим Safe boot, установить переключатель на Active Directory repair и нажать OK. И затем перезагрузиться.

После перезагрузки контроллер будет загружен в режиме восстановления. Имейте в виду, в этом режиме зайти на него можно только под локальной учетной записью DSRM администратора. Поэтому нужно напрячь память и вспомнить пароль, который вводился при установке ОС.

Приступим к восстановлению. Опять задействуем Wbadmin и восстановим созданный ранее System State командой:

wbadmin start systemstaterecovery -version:11/20/2012-08:29

Восстановление может занять довольно много времени, по окончании которого будет выдан запрос на перезагрузку. Не будем с этим торопиться. Для проведения авторитативного восстановления нам еще нужно пометить восстанавливаемый объект как авторитативный.

Немного теории

У каждого объекта Active Directory существует свойство USN (Update Sequence Numbers), или номер последовательного восстановления. При каждом изменении объекта в Active Directory к его значению USN прибавляется 1. Таким образом Active Directory определяет актуальность информации об объекте, т.е. чем больше USN, тем объект актуальнее.
Каждый контроллер домена имеет свой собственный USN, отличный от других. При репликации контроллеры обмениваются значениями USN и каждый запоминает значение USN партнера по репликации, чтобы после оповещения об изменениях партнер забрал произведенные изменения. Таким образом объект с более низким USN будет при репликации перезаписан объектом с более высоким USN.
Так вот, авторитативное восстановление объекта заключается в том, что значение его USN принудительно увеличивается на 100000. Это делает объект авторитативным, и при последующей репликации он будет сохранен.

На самом деле механизм репликации гораздо сложнее, но для понимания процесса этого хватит.

Чтобы пометить объект как авторитативный:

• В меню Start -> Run набираем ntdsutil и жмем ENTER;
• В строке ntdsutil набираем activate instance ntds и жмем ENTER;
• В строке ntdsutil набираем authoritative restore и жмем ENTER.

Теперь мы находимся в приглашении командной строки утилиты Ntdsutil для авторитативного восстановления. Синтаксис команд следующий:

restore object <DistinguishedName> — помечает одиночный объект (компьютер, пользователя или группу) как авторитативный для репликации;
restore subtree <DistinguishedName> — помечает поддерево (напр. подразделение (OU) со всем содержимым) как авторитативный объект;
restore database — помечает всю базу данных Active Directory как авторитативную. Это приведет к перезаписи содержимого базы данных Active Directory на всех контроллерах домена;
-verinc <increment> — параметр, который позволяет вручную задавать USN. По умолчанию при авторитативном восстановлении USN данных увеличивается на 100000. Параметр verinc оказывается полезен, если выполняется авторитетное восстановление данных поверх других авторитетно восстановленных данных, то есть значение USN должно быть увеличено больше, чем на 100000.

Пометим для восстановления подразделение Managers:

restore subtree ″OU=Managers,DC=contoso,DC=com″ 

Дело практически сделано. Теперь остается загрузить контроллер в нормальном режиме и дождаться репликации. Не забудьте отключить безопасную загрузку, сделать это можно командой bcdedit /deletevalue safeboot или из оснастки System Configuration.

На этом процесс авторитативного восстановления можно считать законченным. Для ускорения репликации можно выполнить команду repadmin /syncall.

Некоторые моменты, с которыми можно столкнуться при авторитативном восстановлении.

1) При авторитативном восстановлении может пропасть членство в группах. На этот случай Ntdsutil создает в процессе специальный ldf-файл примерно такого вида ar_20121120-134529_links_contoso.com.ldf. Для восстановления членства в группах надо запустить команду ldifde -i -k -f <FileName>;
2) И наоборот, возможно восстановление членства пользователей в группах, из которых они были удалены;
3) При наличии в организации Exchange 2003 при авторитативном восстановлении у пользователей могут создасться новые пустые почтовые ящики, подключенные к First Storage Group на First Mailbox Store. Подробнее здесь;
4) И еще, нельзя восстанавливать AD  из архива, который старше чем время жизни объектов-захоронений. Это чревато возникновением USN Rollback (откат USN), в результате чего может быть полностью заблокирована репликация в домене.