免费版Active Directory组在处理AD环境中的安全权限和授权方面发挥着关键作用。未经授权的组更改(例如,添加或删除用户)可能会危及敏感资源的安全,即,为未经授权的用户提供对关键文档的访问权或撤销用户对关键文档的访问权。为了应对这样的事故,使用可跟踪对这些组进行的所有更改的工具会很方便。但是,使用Microsoft工具或PowerShell跟踪每个更改几乎是不可行的。
Microsoft的PowerShell和Ntdsutil为管理员提供了恢复已删除组的功能,但他们没有提供任何方法来跟踪AD组所经历的所有组成员资格更改。这会导致管理员无法实现他们所期望的对这些更改的全面控制。但是,管理员无需担心,因为他们可以部署RecoveryManager Plus来克服本机工具的所有这些限制。查看以下图表以了解这些本机工具与RecoveryManager Plus的对比。
| 功能 | PowerShell | Ntdsutil | RecoveryManager Plus | |
|---|---|---|---|---|
| 复用已删除组 (从回收站恢复已删除用户对象。) |
 |
|
|
|
| 恢复安全权限 (恢复提供给安全组的安全权限及授权。) |
|
|
|
|
| 用户界面 (不需要编写脚本。) |
 |
|
|
|
| 备份调度程序 (自动完成备份过程。) |
|
|
|
|
| 备份版本管理 (将对组及其成员资格进行的每个更改备份为不同版本。) |
|
|
|
|
| 属性级别恢复 (将个别属性恢复至其任何先前版本。) |
|
|
|
|
| 组成员资格历史记录 (在组中添加和移除用户的历史记录。) |
|
|
|
|
| 无需重新启动的恢复 (从备份恢复组而无需重新启动DC。) |
|
|
|
|
正如您在上面的图表中看到的那样,虽然PowerShell和Ntdsutil允许管理员恢复已删除AD用户对象,但它们操作起来不是很方便,也不提供任何其他功能来帮助管理每个对象经历的多个更改。另一方面,RecoveryManager Plus提供有效的替代方案来始终保护AD的安全。借助用于安排备份、保留相同用户对象的多个版本以及粒度恢复功能的选项,RecoveryManager Plus为处理用户备份和恢复提供了最佳解决方案。