Active Directory管理工具

首先让我们先来了解一下Active Directory浏览器工具（ADExplorer.exe）的使用，您可以将它安装在Windows 2000以上版本的操作系统上。

Active Directory浏览器（AD Explore）是一个高级的Active Directory的查看器与编辑器。IT人员可以通过它来轻易地浏览整个AD数据库的内容、定义自己的导览位置、查看对象的属性内容与设置值、编辑权限设置、查看对象的Schema以及建立自定义的搜寻设置。

图4 AD浏览工具

此外，Active Directory浏览器也可以让您存储AD数据库的快照，以便于可以在脱机的状态下进行查看，或是与现有运行中的在线AD数据库进行各种内容的比较。通过自动化条件设置的比对功能，让IT人员可以迅速得知哪一些对象的设置出了现异常，或是权限的设置已经修正过等。

在点选执行后，将会先开启“Connect to Active Directory”联机页面设置，在此您可以输入所要联机的域名称以及登录的账户密码。如果目前计算机已登录域，则可以直接点选“OK”按钮联机。

此外，后续如果有其他存储AD数据库的快照文档，也可以在此浏览中加载。而对于所建立的AD数据库联机，如果想要储存，则可以将下方的“Save this connection”选项勾选,并且输入一个识别名称即可。

完成登录之后，您也可以在任一容器中新增对象。在“New Object”的下拉选单中，可以选取新增对象的类型。接着只要完成对象属性的各项字段设置即可（如图4）。

对于目前的AD数据库，您可以将它快照到指定的文件夹中，只要执行“Snapshot Active Directory”即可。这样，以后如果需要进行目前AD数据库与之前快照的AD数据库进行差异性比对时，只要点选位于“Compare”下拉选单中的“Compare Snapshots”功能，便可以让我们加载快照的AD数据库文档，并且选择所要比对的容器与与属性字段。最后，点选“Compare”按钮，即可开始进行差异性比对。

Active Directory Explorer下载网址：http://technet.microsoft.com/en-us/sysinternals/bb963907.aspx

搜寻与还原已删除的AD对象

图5 搜寻已删除的对象

当我们在“Active Directory用户及计算机”的界面中删除了某一个对象时，系统会先将该对象的isDeleted属性字段设置为True，一直到其生存时间（TTL）到期时才会真正从Active Directory中删除。而生存时间是多长呢？在默认的状态下，Windows 2000和Windows Server 2003配置的树系为60天，如果是Windows Server 2003 SP1以上版本，所配置的树系则为180天。

因此，如果您在Active Directory中不小心删除的对象还在TTL到期的时间之内，那么您便可以善用AdRestore.exe命令工具来将它还原，它可以在Windows XP或Windows Server 2003以上版本的操作系统上运行。

图5为笔者在此输入AdRestore.exe来搜寻已经删除的tank用户对象，在搜寻结果中告知了我们这个对象仍存在Active Directory的Users容器中。

最后，输入AdRestore.exe -r"tank"来还原此用户对象。执行系统将会询问我们确认要还原该对象吗？输入y，即可完成此用户对象的还原了。

AdRestore下载网址：http://technet.microsoft.com/en-us/sysinternals/bb963906.aspx

查看TCP与UDP联机信息

想要迅速知道在目前的计算机中有哪些执行中的程序正在对外进行TCP与UDP的联机，最简单的方法就执行图形界面的TCPView工具，它可以在Windows XP或Windows Server 2003以上版本的操作系统上运行，可以说是系统内置的netstat命令工具的图形界面版本。

在窗口中可以清楚地查看到，哪些进程（Process）正在通过TCP或UDP通讯协议进行联机，并且可以得知本地端与远程所使用的地址、通讯端口号码以及状态。

如果想要了解特定的执行程序，只要以鼠标连续点选该程序，即可看到该程序的储存路径与所使用的相关参数，并且可以随时将该程序的进程中断掉。此外，您也可以从“Options”选单中点选“Refresh Rate”来变更更新的频率（默认=1秒）。TCPView下载网址：http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx

TCP/UDP端点查看命令工具

除了图形界面的TCPView工具之外，您还可以考虑使用更轻巧的命令工具tcpvcon.exe，它同样可以运行在Windows XP或Windows Server 2003以上版本的操作系统上。默认会显示所有已建立的TCP联机，并且自动解析本地与远程的完整域名称地址（FQDN）。

如果想要显示所有端点，可以使用-a参数，如果想将结果输出成CSV文档，可以使用-c参数，如果不想自动解析地址名称，可以搭配-n参数。

图6 进程浏览器

无论是使用TCPView还是tcpvcon工具，对于本地某些服务占用特定的通讯端口时（例如：网站默认的80端口），就可以通过这一类的工具来迅速找到问题所在。建议您参考一下Microsoft知识库文章http://support.microsoft.com/kb/816944中所描述的IIS网站无法启动的问题。

tcpvcon独立下载网址：http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx

查询Internet地址登记信息

Whois这一个命令工具，可以针对指定的域名称或IP地址执行登录信息的查询，它可以运行在Windows XP或Windows Server 2003以上版本的操作系统上。我们可以从中得知目标域的建立日期、注册的日期、到期的日期、组织的名称、组织的地址、管理员的信息等。

Whois独立下载网址：http://technet.microsoft.com/en-us/sysinternals/bb897435.aspx

进程浏览器与监控工具

相信大家都使用过Windows操作系统内置的任务管理器（Task Manager），来查看目前处理器、内存、网络以及处理程序的使用情形，不过这个默认功能只能让您看到较粗略的信息，并且进行一些较单的管理动作（例如：中断某个执行的应用程序或处理程序）。

如今，可以进行更高级的选择，那就是内含在Sysinternals套件中的处理程序浏览器（Process Explorer），它可以运行在Windows XP（包含IA64版本）或Windows Server 2003（包含IA64版本）以上版本的操作系统上。

您只要执行Procexp.exe，即可开启如图6所示的处理程序浏览器窗口，在此可区分为上下不同信息的浏览窗口，如果处于句柄（Handles）查看模式时，下方窗口将会显示所选取处理程序的相对应句柄（目录、档案、事件、登录机码、进程等）。如果是处于DLL查看模式，则会像示例中那样显示相对应加载的DLL清单。

关于这两种查看模式的切换，可以点选工具栏的图示，或是点选“View”选单下的“Lower Pane View”子选单来完成。至于各类颜色的标记，可以通过“Options”选单下的“Configure Highlighting”项目来设置，例如，您可以设置针对所有以.NET所开发的应用程序以紫色显示。而针对自动显示在右下角任务栏中的动态性能图标，可以从“Options→Tray Icons”下拉选单中选取所要显示的项目，分别有处理器、内存、I/O等。

图7 整合至任务栏

如果您想看某一个处理程序的详细属性信息，只要对该项目点击鼠标右键，选择“Properties”，即可查看到此程序会话所占用的处理器、内存以及I/O资源的使用情形。如果切换到“Performancne”，则可以查看到更详尽的各性能数据，例如：I/O读取与写入的性能或是内存高峰时的使用量等。切换到“Image”页面，则可以看到该执行程序的路径与参数，您可以在这里点选“Kill Process”按钮来进行删除处理程序的操作。针对高级的管理操作，可以从“Process”下拉选单或按下鼠标右键，点选“Kill Process Tree”、“Restart”、“Suspend”任一操作。

在整个系统信息与图表的完整显示部分，可以在“View→ System Information”中查看多处理器核心的平均运行状态，也可以让每个处理器核心个别使用各自的图形来表示。而在最小化的时候，会显示在如图7所示的任务栏中。

最后，如果您希望使用此工具来取代默认的任务管理器，则可以点选位于“Options”下拉选单中的“Replace Task Manager”，以后我们开启任务管理器时，所看到的窗口将处理程序浏览器了。

Process Explorer下载网址：http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

程序监视器

下面介绍专门用于监控目前执行中的程序，对于文档与登录文档的存取情形，有助于诊断系统故障问题或是发现恶意程序、病毒或木马的感染迹象。它可以运行在Windows XP SP2或Windows Server 2003 SP1以上版本的操作系统上。

此工具的使用只要点选“Procmon.exe”即可开启监视画面，默认会根据不同的属性条件，以不同颜色来进行标记。您也可以直接针对目前选取的处理程序，点选“Options”下拉选单中的“Highlight Colors”来设置显示的颜色。

如果您还是觉得想要查看所关心的程序不是很方便，建议您可以在“Filter”下拉选单中点选“Highlight...”，来开启筛选条件设置页面，例如您可以设置只针对特定的几个执行程序来进行监控。