前提条件

系统要求

总对象数量	一年所需磁盘空间*	仅用于AD备份和恢复附加组件的RAM	推荐的系统RAM
0到100,000	100 GB	3 GB	8 GB
200,000	200 GB	4 GB	8 GB
500,000	350 GB	6 GB	16 GB
1,000,000	500 GB	8 GB	16 GB

*此计算基于每月一次完整备份和每天一次增量备份。

端口

端口号	协议	目的
9270	HTTP	连接到Elasticsearch数据库
9370	TCP	用于集群中节点之间的通信

所需权限

在ADAudit Plus中，AD备份和恢复附加组件所需的权限

ADAudit Plus的AD备份和恢复模块在提供域管理员凭据后可以立即开始备份AD对象。然而，如果您的组织政策限制使用域管理员帐户，您可以为服务帐户分配使用附加组件所需的最低权限。

下表列出了应分配给在ADAudit Plus中配置的服务帐户的权限：

操作	权限
备份AD对象	读取权限、复制目录更改，以及复制目录更改全部权限，适用于域、DomainDNSZones、ForestDNSZones、配置和架构分区。
备份GPO	将服务帐户添加到管理员组。
恢复已删除的GPO	将服务帐户添加到组策略创建者所有者组。
恢复所有AD对象	写入权限。

配置ADAudit Plus中启用AD备份和恢复附加组件所需权限的步骤

为服务帐户提供AD中域、DomainDNSZones、ForestDNSZones、配置和架构分区的读取权限：

1. 打开ADSI编辑。
2. 点击操作 > 连接至。



3. 在出现的连接设置对话框中，提供域分区的可分辨名称，然后点击确定。



4. 右键单击左侧窗格中的域，然后点击属性。



5. 在出现的对话框中，点击安全性选项卡，从组或用户名称部分选择服务帐户。在权限部分，选中对...的复选框。
复制目录更改，复制所有目录更改， 和 读取， 然后点击 应用。





6. 现在用户帐户已获得与域分区相关的所有权限，请在 ADSI 编辑中点击 操作 > 设置。
7. 将 DomainDNSZones, ForestDNSZones, configuration 和 schema 分区添加到 ADSI 编辑，并重复步骤以为帐户提供所有所需的权限。

在这些权限到位后，可以使用用户帐户在 ADAudit Plus 中配置域并执行备份操作。

使用服务帐户添加域时执行恢复

刚才分配给服务帐户的权限仅允许产品对您的 AD 环境进行备份。当您需要执行任何恢复时，产品会验证用于配置域的帐户。

• 如果使用了域管理员帐户，则恢复将在管理员没有进一步输入的情况下进行。
• 如果使用了服务帐户，产品将提示管理员输入一个可以对 AD 进行写操作的用户的用户名和密码。
  • 如果用于在 ADAudit Plus 中配置 AD 域的服务帐户具有写入 AD 的所需权限，请选择 使用默认系统域凭据 选项。
  • 如果该帐户没有写入 AD 的所需权限，请确保未选中该框，并在 用户名 和 密码 字段中提供域管理员或可以对 AD 进行写操作的用户的凭据。

一旦提供凭据，产品将使用这些凭据进行恢复。恢复完成后，产品不会存储凭据。

备份 GPO

要备份 GPO，产品必须运行 PowerShell 命令以访问管理员共享文件夹，并且必须将服务帐户添加到管理组。

如果您希望该帐户也能够恢复删除的 GPO，则必须将服务帐户也添加到组策略创建者拥有者组。