Mit dem Windows Server 2008 R2 führte Microsoft eine neue Funktionsebene für Active Directory ein. Diese Ebene ist erforderlich, damit sich einige der neuen Verbesserungen des Active Directory nutzen lassen. Beispiel: die Einführung des Papierkorbs im Active Directory. Mit ihm lassen sich gelöschte Objekte einfach wiederherstellen. Als neue Verwaltungsoberfläche kommt jetzt das Active Directory Administration Center zum Einsatz.
Anders als bisher ist der Aufbau dieses Verwaltungs-Tools nach den Aufgaben orientiert. Diese Aufgaben wiederum lassen sich über Befehle aus der PowerShell realisieren. Die Version 2.0 der PowerShell beinhaltet ihrerseits mehr als 30 neue Befehle zur Verwaltung von Active Directory. Welche Neuerungen der Windows Server 2008 R2 sonst noch mit sich bringt, verrät Ihnen der Beitrag Windows Server 2008 R2: PowerShell 2.0, Hyper-V und VDI.
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation TecChannel. (ph)
Active Directory Administration Center
Mit der neuen Verwaltungsoberfläche bietet Microsoft eine zentrale Anlaufstelle für alle Routineaufgaben im Active Directory in einer einzelnen Oberfläche. Der Aufbau der Konsole ist stark aufgabenorientiert. Im Gegensatz zu den anderen Verwaltungs-Tools basieren die Aufgaben im Administrative Center auf Befehlen aus der PowerShell, ähnlich wie die Exchange-Verwaltungskonsole von Exchange Server 2007 Befehle aus der Exchange-Verwaltungsshell umsetzt.
Sie finden die Verknüpfung zur neuen Verwaltungsoberfläche in der Programmgruppe Verwaltung. Die Standard-Verwaltungskonsolen für Active Directory, zum Beispiel Active Directory-Benutzer und -Computer, sind immer noch verfügbar. Hier haben sich im Vergleich zu Windows Server 2008 keine Änderungen ergeben. Das gilt auch für die Snap-Ins-Active Directory-Standorte und -Dienste sowie für die Active-Directory-Domänen und Vertrauensstellungen.
Das Active Directory Administration Center bietet auch nicht alle Möglichkeiten der anderen beschriebenen Snap-Ins, sondern dient vor allem dem Abarbeiten von Routineaufgaben, wie das Zurücksetzen von Kennwörtern oder das Anlegen von neuen Objekten. Das Snap-In verbindet sich hierfür mit allen Domänen in der Gesamtstruktur, um Routineaufgaben durchführen zu können, ohne zu wissen, in welcher Domäne die jeweiligen Objekte gespeichert sind. Entsprechende Rechte sind natürlich vorausgesetzt. Erstellen Sie neue Objekte wie etwa Organisationseinheiten, zeigt das Center übersichtlichere und leicht verständlichere Formulare an als andere Assistenten.
Die Formulare wurden vor allem für Systemadministratoren oder Support-Mitarbeiter entwickelt, die sich weniger um die interne Verwaltung der Domänen kümmern, sondern Benutzer und Organisationseinheiten möglichst benutzerfreundlich pflegen wollen.
Best Practices Analyzer – Überprüfung von Active Directory
Eine weitere Neuerung ist die Integration des Best Practices Analyzers für Active Directory in den Server-Manager von Windows Server 2008 R2. Sobald die Active-Directory-Domänendienste installiert und eingerichtet sind, finden Sie im Server-Manager unter Rollen/Active Directory-Domänendienste in der Mitte der Konsole den Bereich Best Practices. Dieser ermöglicht eine schnelle Konsistenzüberprüfung von Active Directory und dem lokalen Server.
Vor allem den DNS-Bereich überprüft das Tool intensiv. Während der Tests stellt der Best Pracices Analyzer unter anderem folgende Überprüfungen an:
-
Konsistenz der SRV-Records der Domänencontroller.
-
Schemamaster und Domänennamenmaster sind auf dem gleichen Domänencontroller positioniert.
-
RDC und PDC sind auf dem gleichen Domänencontroller positioniert.
-
Korrekter Computername der Domänencontroller.
-
Anzahl der Domänencontroller in der Domäne.
-
LDAP-Anbindung der Domänencontroller.
-
Globale Kataloge und deren Funktionalität.
Alle Tests sowie deren Status zeigt das Tool im Server-Manager an. Sie können die Tests auch jederzeit wiederholen lassen, wenn Sie eine Diagnose durchführen wollen. Sie starten den Analyzer durch Auswählen der Option Diese Rolle überprüfen Sie im Server-Manager unter Rollen/Active Directory-Domänendienste.
Wenn Sie auf eine der Meldungen des Best Practices Analyzers doppelklicken, erhalten Sie ausführlichere Informationen über den Test. Den Best Practices Analyzer gibt es übrigens nicht nur für Active Directory, sondern für jede Rolle, die Windows Server 2008 R2 bereitstellt.
Papierkorb für Active Directory
Neu ist die Einführung eines Papierkorbs im Active Directory, über den sich gelöschte Objekte ohne Zusatzwerkzeuge wiederherstellen lassen. Windows Server 2008 R2 bietet eine neue Funktionsebene für Active Directory an. Diese Funktionsebene benötigen Unternehmen, um die neuen Active-Directory-Verbesserungen nutzen zu können, zum Beispiel auch den Papierkorb. Der Papierkorb steht erst dann zur Verfügung, wenn ein Benutzer mit Enterprise-Administrator-Rechten ihn aktiviert.
Da der Papierkorb ein optionales Feature ist, sollten Sie dieses erst dann aktivieren, wenn Sie diese Funktion produktiv nutzen wollen. Die Aktivierung erfolgt über das Active-Directory-Modul der PowerShell. Dieses starten Sie in der Programmgruppe Verwaltung über den Link Active Directory Module for Windows PowerShell. Geben Sie in der PowerShell nach dem Start den Befehl Get-ADOptionalFeature ein. Anschließend fragt Sie die Befehlszeile nach dem Filter. Hier verwenden Sie am besten den Platzhalter *. Als Nächstes zeigt die PowerShell Informationen zu den optionalen Features an – beispielsweise im Bereich EnabledScopes zeigt den Wert { }, was bedeutet, dass das Feature noch deaktiviert ist. Wichtig ist, dass der Wert bei RequiredForestMode auf WindowsServer2008R2Forest steht und dieser Wert aktiviert ist.
Um den Papierkorb zu aktivieren, geben Sie den Befehl Enable-ADOptionalFeature "Recycle Bin Feature" ein. Anschließend fragt die PowerShell nach dem Scope. Hier verwenden Sie ForestOrConfigurationSet. Als Nächstes benötigen Sie das Target. Geben Sie hier als Wert die Bezeichnung Ihrer Gesamtstruktur ein, also den FQDN, zum Beispiel contoso.com. Danach müssen Sie die Aktivierung noch bestätigen. Wenn Sie anschließend nochmals mit dem Befehl Get-ADOptionalFeature den Status abrufen, wird das Feature als aktiv gekennzeichnet. Die Aktivierung ist übrigens einmalig, sie lässt sich nicht mehr rückgängig machen. Das bedeutet, dass Sie die entsprechende Domäne oder die Gesamtstruktur löschen und neu erstellen müssen, um die Funktion wieder zu deaktivieren. Um die Funktion zu testen, legen Sie eine neue Organisationseinheit ein, zum Beispiel mit dem Active Directory Administrative Center. Klicken Sie dazu mit der rechten Maustaste auf die Domäne, wählen Sie Neu und dann Organisationseinheit. Sie können diese durch Drücken der Entf-Taste auf der Tastatur löschen oder durch das Kontextmenü und Auswählen von Löschen. Wollen Sie den Inhalt des Papierkorbs anzeigen, verwenden Sie im Active-Directory-Modul der PowerShell, das Sie über die Programmgruppe Verwaltung starten, den Befehl Get-ADObject –SearchBase “CN=Deleted Objects,DC=<Domänenname>,DC=<Top-Level-Domänenname>" –ldapFilter “(objectClass=*)” -includeDeletedObjects.
Die Option -includeDeletedObjects stellt sicher, dass nicht nur alle herkömmlichen Objekte angezeigt werden, sondern dass die PowerShell gelöschte Objekte berücksichtigt. Die Anzeige erfolgt allerdings nicht nur in Klartext, vielmehr zeigt die PowerShell die GUID des entsprechenden Objektes an. Diese GUID benötigen Sie für die Wiederherstellung. Über das Menü und dann Auswahl von Bearbeiten/Markieren können Sie die GUID in die Zwischenablage kopieren und mit dem Befehl Restore-ADObject –Identity <GUID> wiederherstellen. Um Benutzerkonten oder Domänen wiederherzustellen, benötigen Sie das ehemalige übergeordnete Objekt des gelöschten Objekts. Diese Info erhalten Sie über die Option -properties
lastknownparent des Befehls Get-ADObject.
Objekte vor dem versehentlichen Löschen schützen
Generell können Sie verhindern, dass Objekte versehentlich gelöscht werden, wenn Sie bei der Erstellung die Option Container vor zufälliger Löschung schützen aktivieren. Standardmäßig sehen Sie diese Option nicht in den Eigenschaften erstellter Objekte. Sie können aber im Snap-In Active-Directory-Benutzer und -Computer über Ansicht die Option Erweitere Features aktivieren.
Erst dann zeigt das Snap-In alle Möglichkeiten der Konsole an. Nach Aktivierung sehen Sie auch in den Eigenschaften von Objekten mehr Registerkarten, beispielsweise die Registerkarte Objekt. Hier finden Sie die gleiche Option, um die Organisationseinheit vor dem Löschen zu schützen, wie bei der Erstellung durch den Assistenten.
Offline-Domänenaufnahme
Ebenfalls neu ist die Möglichkeit, dass Server-Anwendungen, die Systemdienste mit einer Anmeldung benötigen, selbstständig Kennwörter anpassen können, wenn die Richtlinien des Unternehmens das voraussetzen. Bisher war es nicht möglich, einen Client in die Domäne aufzunehmen, ohne dass dieser eine Netzwerkverbindung zur Domäne hat. Zwar konnten Sie das Konto vor der Aufnahme in der Domäne erstellen, aber zur endgültigen Aufnahme beim Client musste dieser einen Domänencontroller erreichen können. Das ist jetzt nicht mehr notwendig.
Unternehmen, die Windows 7 im Unternehmen verteilen, können Computer in die Domäne aufnehmen, ohne dass eine Verbindung zum Domänencontroller besteht. Bei der ersten Anmeldung suchen solche Computer den Controller und melden sich an der Domäne ordnungsgemäß an. Der Ablauf bei einer solchen Aktion besteht generell aus zwei Schritten. Im ersten Schritt erstellen Sie ein Computerkonto in der Domäne, ohne dass der entsprechende Computer verfügbar sein muss. Anschließend speichern Sie die Informationen in einer Datei. Im zweiten Schritt nutzen Sie diese Datei auf dem entsprechenden Computer zur Domänenaufnahme. Verwenden Sie für diese Aufgabe die herkömmliche Befehlszeile in Windows Server 2008 R2.
Zum Erstellen des Computerkontos und der ansprechenden Erstellung der Datei, geben Sie den Befehl djoin ein. Ein Befehl könnte beispielsweise wie folgt aussehen: DJOIN /Provision /domain <Domänenname> /Machine <Computername> /SaveFile <Dateiname>.DJoin. Der Inhalt der Datei ist verschlüsselt, sodass hier keine Sicherheitsgefahr besteht. Sie können sich die Datei mit einem Editor, zum Beispiel Notepad, anzeigen lassen und werden feststellen, dass keine verwertbaren Informationen zu lesen sind. Nach der Ausführung des Befehls sehen Sie das erstellte Computerkonto in der OU des Computers innerhalb der Domäne. Als Nächstes müssen Sie die Datei auf dem entsprechenden Client-Computer verfügbar machen. Mit dem Befehl DJOIN /Requestodj /LoadFile <Dateiname> /windowspath <Pfad zu Windows> nehmen Sie den Computer in die Domäne auf, ohne dass eine Verbindung zur Domäne bestehen muss.
Neue Version der PowerShell
Windows Server 2008 R2 verfügt über die neue Version 2.0 der PowerShell, die standardmäßig bereits installiert ist. Die neue Version der PowerShell bietet jetzt mehr als 30 neue Befehle zur Verwaltung von Active Directory. Allerdings sind die CMDlets auch in der neuen Version der PowerShell nicht gerade einfach und intuitiv einzusetzen. Auch hier gehärt ein wenig Übung dazu, doch die lohnt sich. Die wichtigsten Befehle zur Verwaltung von Active Directory über die PowerShell finden Sie in der Liste am Ende des Beitrages. Wenn Sie in der PowerShell <Befehl> /help eingeben, erhalten Sie ausführliche Informationen darüber, was der Befehl kann und wie die Syntax des Befehls lautet. Die Aufgaben der meisten Befehle sind bereits aus dem Namen klar ersichtlich.
Nachdem Sie Active Directory installiert haben – hier gibt es im Vergleich zu Windows Server 2008 keine Unterschiede –, müssen Sie in der PowerShell 2.0 zunächst das Active-Directory-Modul laden, um alle Befehle nutzen zu können. Geben Sie dazu den Befehl add-module active Directory in der PowerShell ein, gefolgt vom Befehl get-module. Mit dem Befehl get-command *ad* zeigt die PowerShell die entsprechende Aufstellung der Befehle an. Windows Server 2008 R2 stellt in der Programmgruppe Verwaltung eine Verknüpfung direkt zu dem Modul bereit. Ebenfalls neu ist die Oberfläche zum Erstellen von Skripten und zum Ausführen von Befehlen für die Windows-PowerShell 2.0, die sogenannte Windows PowerShell Integrated Scripting Environment (ISE).
Diese Umgebung installiert Windows Server 2008 R2 allerdings nicht standardmäßig, Sie müssen dieses Feature über Features/Features hinzufügen/Windows PowerShellShell Integrated Scripting Environment (ISE) erst installieren. Anschließend sehen Sie in der Programmgruppe Alle Programme/Zubehör/Windows PowerShell eine neue Verknüpfung für diese Oberfläche. Öffnen Sie diese, lädt die PowerShell nur einige wenige CMDlets zur Verwaltung des Betriebssystems. Wollen Sie andere CMDlets zur Verwaltung von Rollen nachladen, müssen Sie dazu Befehle in die ISE eingeben und Module hinzufügen.
Wollen Sie zum Beispiel die Active-Directory-Befehle laden, geben Sie in der ISE im Ausführungsfenster ganz unten den Befehl import-module ActiveDirectory ein. Durch Eingabe des Befehls Get-Module zeigt die ISE dann die entsprechend geladenen Module an. Auch hier erhalten Sie über get-command *ad* fast alle Active-Directory-Befehle angezeigt. Damit Sie die Befehle des Moduls nutzen können, müssen Sie zunächst mit cd ad: in den Kontext von Active Directory wechseln. Mit CD "dc=<Domänen>,dc=<Top-Level-Domäne>, wechseln Sie in den Kontext Ihrer Domäne, zum Beispiel cd "dc=contoso,dc=com", wenn die Domäne die Bezeichnung contoso.com hat. Mit ihr lassen Sie sich den Inhalt der Domäne anzeigen. Über dir |format-table -auto, lassen Sie die Ausgabe als Tabelle formatieren. Mit cd cn=users können Sie noch in die Ebene der Benutzer wechseln und auch hier wieder mit ihr und den verschiedenen Optionen arbeiten. (mje)
Wichtige PowerShell-Befehle
In der nachfolgenden Liste finden Sie wichtige PowerShell-Befehle. Ausführliche Informationen über die Funktion des Befehls und dessen Syntax erhalten Sie über <Befehl> /help in der PowerShell. Häufig kann man die Funktion des Befehls bereits am Namen erkennen.
|
Add-ADDomainControllerPasswordReplicationPolicy |
|
Add-ADGroupMember |
|
Clear-ADAccountExpiration |
|
Disable-ADOptionalFeature |
|
Enable-ADOptionalFeature |
|
Get-ADAccountResultantPasswordReplicationPolicy |
|
Get-ADComputerServiceAccount |
|
Get-ADDomain |
|
Get-ADDomainControllerPasswordReplicationPolicy |
|
Get-ADFineGrainedPasswordPolicy |
|
Get-ADForest |
|
Get-ADGroupMember |
|
Get-ADOptionalFeature |
|
Get-ADPrincipalGroupMembership |
|
Get-ADServiceAccount |
|
Get-ADUserResultantPasswordPolicy |
|
Move-ADDirectoryServer |
|
Move-ADObject |
|
New-ADFineGrainedPasswordPolicy |
|
New-ADObject |
|
New-ADServiceAccount |
|
Remove-ADComputer |
|
Remove-ADDomainControllerPasswordReplicationPolicy |
|
Remove-ADFineGrainedPasswordPolicySubject |
|
Remove-ADGroupMember |
|
Remove-ADOrganizationalUnit |
|
Remove-ADServiceAccount |
|
Rename-ADObject |
|
Restore-ADObject |
|
Set-ADAccountControl |
|
Set-ADAccountPassword |
|
Set-ADDefaultDomainPasswordPolicy |
|
Set-ADDomainMode |
|
Set-ADForest |
|
Set-ADGroup |
|
Set-ADOrganizationalUnit |
|
Set-ADUser |
|
Unlock-ADAccount |