首先DC大多是多台在做同步的，今天如果將某一台DC還原成回昨天，

那台被還原的DC是昨天的狀態，只要他和其他DC的信任關係還在沒失效，

這台DC沒多久就會"被"同步成其他DC的樣子，這台還原DC就恢復上線了，

如果你有刪除的物件想要透過還原來恢復的話，

你就會發現這台DC還原的物件又被砍了，因為"被同步"了，

授權還原就是在解決這個問題的，當授權還原生效後，

只要信任關係還在，這台還原的DC的內容就會同步到其他的DC上面，

而不是其他的DC同步到這台DC，簡單來說就是同步的方向會變成已"還原的DC"為主

這樣應該有解決掉你想問的問題，什麼時候要啟用授權還原這個操作。

授權還原有沒有成功，要檢查的是AD物件裡面的更新序號，

如果微軟沒改過設定的話，授權還原可以針對某個物件或者網域全部物件做序號增加

而序號增加的數字一次就是加10萬，如果微軟沒改過的話，

聽說微軟早期因為加太少還被客戶抱怨過，數字太小又被在線的DC蓋過去

現在很少人會用授權還原了，因為現在多了個AD資源回收桶的功能。

這跟你有沒有異動 AD Object 無關, 但跟你是否有第二台 DC 有關:
How to recover a Domain Controller: Best practices for AD protection (Part 2)

還有: 「沒有人用手工去變更 AD 物件」≠「沒有異動 AD 物件」!!

舉例來說, 有任何一台 AD 內的 Client 端重開機, 他會自動向 DNS 重新註冊自己的名稱, 此時 AD 物件就被他給異動了!! 但是你卻沒有任何人工的介入...所以理論上, 早上九點上班大家電腦開機, AD 內大部分的 AD 物件都會被變更過一輪...

還有, 所有 AD Copmuter 物件, 都會定時向 AD 更新電腦密碼 (不是登入用的, 是 AD 自動發給他的 Computer Password), 這個也會異動到 AD 物件...離開辦公室很久的 NB, 拿回辦公司重新接上網路時, 也是馬上會去異動 AD...

此外, 驗證身分用的 Kerberos Token 也是會定時異動...如果你有 Exchange Server 的話, 改變任何 Exchange 設定都會去異動 AD...

所以不要以為你沒有用人工去修改就沒有異動, AD 自己是隨時隨地都在動的, 如果你用工具去觀察他, 會發現他大約 90~120 分鐘就會發生一次物件的異動 (即使你都沒有去動他也是這樣)....