公司會竭盡全力確保合適的活動目錄備份程序、各種冗余解決方案以及其它有助于防止和減輕災難的方案。在大多數情況下，這些方案主要是反應性的解決方案。

很多工程師對備份已經過于得意以至于他們忘記了一個非常重要的要素，那就是要把活動目錄的健康放在首位。當活動目錄損壞時，可以通過快照來恢復或者使用Ntdsutil.exe來修復。

推薦專題：聽專家講述Windows活動目錄

提前預防并不意味著災難計劃就不受重視。災難預防的關鍵因素包括維持良好的備份，如果有的話，確保在存儲區域網絡（SAN）上快照已完成。然而，在活動目錄功能里有一些技巧和竅門，它們有助于保持整個環境更加穩定和健康。

防范活動目錄的“意外”對象刪除

幾乎每個工程師都在活動目錄里犯過錯誤。有時它是一個簡單的用戶名拼寫錯誤，其它時候可能會更加嚴重。已經存在這樣一些實例：管理員登錄到活動目錄執行一些管理操作，然后意外地刪除了整個組織單元(OU)。如果這個組織單元中包含了3000個用戶呢？那么現在該怎么辦呢？

在許多解決方案中，管理員將不得不恢復活動目錄數據庫或者試圖找到最近的活動目錄快照。然而，在Windows Server 2008 R2中，微軟為IT管理員提供了一個設計來防止活動目錄對象被意外刪除的很好選項。這個選項對通過活動目錄用戶和計算機來管理的所有對象都可用，并且當你創建一個新的組織單元時，它是默認啟用的。通過選擇“防止容器被意外刪除”選項，一個訪問控制條目會被添加到對象的訪問控制列表。

備注：默認情況下，意外刪除保護僅僅對組織單元是默認啟用的，并且不適用于用戶對象。這意味著，如果你試圖刪除一個或者多個用戶對象，即使你是位于一個受保護的組織單元內，你將會成功的（徹底刪除）。

提到這一點，如果想要防止用戶、組或者計算機對象被意外刪除，那么你必須在對象屬性里手動啟用這個選項。更改ADUC里的查看選項，使其顯示高級特性，打開對象屬性窗口，并點擊對象選項卡。你就可以在這里選擇意外刪除保護選項。

通過執行離線的碎片整理來管理活動目錄大小

存在一些后臺運行的預設的活動目錄功能來保持環境健康。比如，在線維護周期保持定期檢查數據庫并且不需要管理員交互。然而，雖然數據庫里的數據會定期進行碎片整理，但是數據庫自身具有隨著時間推移增加其規模的趨勢。

如果管理員定期清除數據庫記錄的話，這一點會是特別真實的。例如，一個4GB的活動目錄很有可能只包含不到1GB的數據，同時包含超過3GB的空白空間。這些空間可以通過執行一個離線的碎片整理來回收。

在Windows Server 2008中，活動目錄是一個服務。在任何時候，只要你想要執行活動目錄數據庫的維護，你可以僅僅通過終止活動目錄域服務來使其離線即可。

通過執行一個完整的系統狀態備份來啟動這個過程也是一個好主意。一旦一個成功的備份通過驗證，那么請打開Windows資源管理器并定位到C:\Windows\NTDS文件夾。活動目錄數據庫就存儲在NTDS.DIT文件里。你應該注意這個文件的大小，以便你可以稍后返回并計算出你收回了多少空間。

此時，你應該打開服務控制管理器，并終止活動目錄域服務的服務。在這步完成之后，你將會看見一條信息，告訴你一些依賴服務也需要被終止。點擊“Yes”來終止這些額外的服務。

一旦所有這些必需的服務已經被終止，那么請在服務器上打開命令提示符，并輸入以下命令：

NTDSUTIL
Activate Instance NTDS
Files
Info

此時，你應該會看到活動目錄數據庫使用的文件的一覽表。你現在就可以通過輸入以下命令來開始碎片整理過程：

Compact to c:\windows\ntds\defragged

請記住，根據你的數據庫的大小，這個過程可能會花相當長一段時間才能完成，同時除非活動目錄域服務以及所有依賴服務都恢復在線狀態，你正在進行碎片整理的域控制器才可用。

當這個過程完成后，請轉到C:\Windows\NTDS文件夾并把NTDS.DIT文件重新命名為NTDS.OLD。你可以稍后刪除這個文件，但是把它保留到現在僅僅是以防數據庫的碎片整理副本出現任何錯誤。現在，請把經過碎片整理的數據庫從C:\Windows\NTDS\Defragged復制到C:\Windows\NTDS。

最后，重新啟動活動目錄域服務（依賴服務將會自動重新啟動）。現在，你可以回過頭看看，參照碎片整理之前，減少了多少空間。

主動預防技巧以及最佳做法

保持你的活動目錄環境健壯的方法有許多。鑒于它的關鍵性質，應該采取各種方法來確保活動目錄不會崩潰。當涉及到活動目錄的穩定性、安全性以及健康性時，以下是一些主動預防方法的簡要列表：

在每個域里重命名或者關閉管理員賬戶（以及訪客賬戶）來防止對你的域的攻擊。

管理兩個森林之間的安全關系并簡化跨森林的管理和身份認證。

在每個站點至少放置一個域控制器，同時為每個站點的域控制器編制一個全局目錄。

不具有它們自己的域控制器以及至少一個全局目錄的站點需要依賴其它站點來獲取目錄信息，并且效率相對較低。

當在復制到全局目錄的目錄對象上制定權限時，請使用全局組或者通用組而不是域本地組。

始終具有最新的備份并驗證其一致性。

為了對活動目錄架構提供額外的保護，請刪除架構管理員組里的所有用戶，并僅當需要進行架構更改時才添加一個用戶到這個組。一旦更改已經完成，再把這個用戶從該組刪除。

通過確保合適的權限、良好的組織單元管理以及執行預防性維護來始終監控活動目錄的健康。

【編輯推薦】

1. 活動目錄的域控制器中如何創建漫游用戶？
2. 使用ADMT進行活動目錄遷移的準備工作
3. 利用組策略如何修改活動目錄域緩存登錄次數？
4. 升級Server 2008 R2活動目錄林功能級別
5. 巧用活動目錄省卻Linux認證的麻煩