使用LDIFDE备份域控制器：导出用户与组

"这篇文档介绍了如何使用LDIFDE工具备份域控制器中的用户、组织单元和组信息，并将这些数据导出到新安装的域控制器。这个过程涉及到在新旧域控制器上安装Support Tools，删除域间信任关系，然后在命令行中执行特定的LDIFDE命令来导出和导入对象。" 在Windows活动目录环境中，域控制器扮演着核心角色，它存储和管理用户账户、组、计算机账户等身份信息。当需要迁移或恢复域控制器时，正确备份和恢复这些信息至关重要。这里提到的LDIFDE（Lightweight Directory Interchange Format Data Export）是Windows的一个实用工具，用于导入和导出活动目录数据，它支持LDAP（轻量级目录访问协议）格式的数据交换。 首先，确保在新旧域控制器上都安装了Support Tools，这是一个包含许多管理工具的组件，通常在安装Windows Server时可选。安装后，需要以域管理员权限登录，因为备份和迁移域数据需要高级权限。 接着，为了确保数据迁移的准确性，应解除新旧域控制器之间可能存在的信任关系。这是因为新域控制器将接管原有域的数据，如果存在信任关系，可能会导致混乱。 接下来是关键的导出步骤： 1. 导出组织单元：使用`ldifde`命令，指定文件输出路径（如`OUList.ldf`），服务器名（`server1`），DNS域名（`testad1,dc=com`），并指定查询条件为 `(objectclass=organizationalunit)`，列出要导出的属性，如dn, managedBy等。 2. 导出组信息：同样使用`ldifde`，但这次设置查询条件为 `(objectclass=group)`，导出文件为`GroupList.ldf`，包含的属性有dn, member等。 3. 导出用户信息：再次运行`ldifde`，查询条件为 `(objectclass=user)`，导出文件为`UserList.ldf`，包含的属性包括dn, manager等个人和账户信息。 完成导出后，这些`.ldf`文件将包含所有必要的域对象信息。在新的域控制器上，你可以使用相同的`ldifde`命令，但改用`-i`参数进行导入，将这些数据导入新环境。 注意，这个过程仅适用于单向迁移，且不涉及DFS（分布式文件系统）、GPO（组策略对象）或其他高级配置。在实际操作前，建议先做充分的规划和测试，以确保数据的完整性和迁移的顺利进行。同时，考虑到数据敏感性，务必在安全的网络环境中操作，并备份现有数据以防意外。