Active Directory 林恢复 - 标识问题
(例如在事件日志或其他监视解决方案中)出现林范围故障的症状时,请与 Microsoft 支持部门一起确定故障原因,并评估任何可能的补救措施。
[重要]本文不提供有关如何恢复被黑客攻击或遭到入侵的林的安全建议。 通常建议遵循保护 Active Directory 的最佳方案和传递哈希缓解技术来强化环境。 有关详细信息,请参阅降低传递哈希 (PtH) 和其他凭据被盗风险的技术。
林范围故障示例
- 所有 DC 在逻辑上或物理上都已崩坏,已到了无法持续进行业务的地步;例如,依赖于 AD DS 的所有业务应用程序都无法正常运行。
- 恶意管理员入侵了 Active Directory 环境。
- 攻击者有意(或管理员意外)运行一个脚本,将数据损坏传播到整个林中。
- 攻击者有意(或管理员意外)使用恶意或有冲突的更改扩展 Active Directory 架构。
- 内容或域控制器的备份已公开给外部方,但泄露的凭据尚未用于修改 AD 数据。 在这种情况下,可能不需要从备份还原 AD 数据库并重新安装所有 DC。 可能需要重置用户、计算机、信任和 (g)MSA 帐户的所有密码。
- 攻击者在 DC 上成功安装了恶意软件,Microsoft 支持部门建议你从备份恢复林。
- 任何 DC 都不能与其复制伙伴一起复制。
- 不能在任何域控制器上对 AD DS 进行更改。
- 任何域中都不能安装新的 DC。