Galileo Computing < openbook > Galileo Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Geleitwort zu diesem Buch
Inhalt des Buchs
1 Warum eine neue Server-Version?
2 Editionen und Lizenzen
3 Hardware und Dimensionierung
4 Protokolle
5 Was überhaupt ist .NET?
6 Installation
7 Core-Installationsoption
8 Active Directory-Domänendienste
9 Netzwerkdienste im AD-Umfeld
10 Active Directory Lightweight Directory Services (AD LDS)
11 Active Directory-Verbunddienste (Federation Services)
12 Active Directory-Zertifikatdienste
13 Active Directory-Rechteverwaltungsdienste (AD RMS)
14 »Innere Sicherheit«
15 Dateisystem und Dateidienste
16 Drucken
17 Webserver (IIS)
18 SharePoint (Windows SharePoint Services, WSS)
19 Remotedesktopdienste (Terminaldienste)
20 Hochverfügbarkeit
21 Datensicherung
22 Servervirtualisierung mit Hyper-V
23 Windows PowerShell
24 Windows 7 und Windows Server 2008 R2
Stichwort

Download:
- ZIP, ca. 104 MB
Buch bestellen
Ihre Meinung?

Spacer
<< zurück
Windows Server 2008 R2 von Ulrich B. Boddenberg
Das umfassende Handbuch
Buch: Windows Server 2008 R2

Windows Server 2008 R2
geb., 1.410 S., 59,90 Euro
Galileo Computing
ISBN 978-3-8362-1528-2
Pfeil 8 Active Directory-Domänendienste
Pfeil 8.1 Aufbau und Struktur
Pfeil 8.1.1 Logische Struktur
Pfeil 8.1.2 Schema
Pfeil 8.1.3 Der globale Katalog (Global Catalog, GC)
Pfeil 8.1.4 Betriebsmasterrollen/FSMO-Rollen
Pfeil 8.1.5 Verteilung von Betriebsmasterrollen und Global Catalog
Pfeil 8.1.6 Schreibgeschützte Domänencontroller, Read Only Domain Controller (RODC)
Pfeil 8.2 Planung und Design des Active Directory
Pfeil 8.2.1 Abbildung des Unternehmens
Pfeil 8.2.2 Übersichtlichkeit und Verwaltbarkeit
Pfeil 8.2.3 Standorte
Pfeil 8.2.4 Replikation
Pfeil 8.2.5 Gruppenrichtlinien
Pfeil 8.3 Ein neues Active Directory einrichten
Pfeil 8.3.1 Den ersten Domänencontroller einrichten
Pfeil 8.3.2 Zusätzliche Domänencontroller einrichten
Pfeil 8.4 Gruppenrichtlinien
Pfeil 8.4.1 Anwendungsbeispiel
Pfeil 8.4.2 Richtlinien für Computer und Benutzer
Pfeil 8.4.3 Verteilung über Domänencontroller
Pfeil 8.4.4 Vererbung
Pfeil 8.4.5 Sicherheit und Vorrang
Pfeil 8.4.6 Filter
Pfeil 8.4.7 Abarbeitungsreihenfolge, Teil II
Pfeil 8.4.8 Lokale GPOs (ab Windows Vista und Windows Server 2008)
Pfeil 8.4.9 Starter-Gruppenrichtlinienobjekte/Starter-GPOs
Pfeil 8.4.10 ADM vs. ADMX
Pfeil 8.4.11 Zuweisen und Bearbeiten von Gruppenrichtlinien
Pfeil 8.4.12 WMI-Filter
Pfeil 8.4.13 Softwareverteilung mit Gruppenrichtlinien
Pfeil 8.4.14 Loopback-Verarbeitung
Pfeil 8.4.15 Gruppenrichtlinien-Voreinstellungen (Preferences)
Pfeil 8.5 Diverses über Gruppen
Pfeil 8.6 Delegierung der Verwaltung
Pfeil 8.7 Das Active Directory aus der Client-Perspektive
Pfeil 8.7.1 DNS-Einträge oder »Wie findet der Client das Active Directory?«
Pfeil 8.7.2 Das Active Directory durchsuchen
Pfeil 8.7.3 Individuelle Erweiterungen
Pfeil 8.8 Zeitdienst
Pfeil 8.8.1 Grundkonfiguration der Zeitsynchronisation
Pfeil 8.8.2 Größere Umgebungen
Pfeil 8.9 Upgrade der Gesamtstruktur auf Active Directory-Domänendienste (AD DS) 2008
Pfeil 8.9.1 Schemaerweiterung und Anpassung der Domänen durchführen
Pfeil 8.9.2 Windows Server 2008 R2 Domänencontroller installieren
Pfeil 8.9.3 Kurze Überprüfung
Pfeil 8.9.4 FSMO-Rollen verschieben
Pfeil 8.9.5 Alte Domänencontroller deinstallieren und einheitlichen Modus wählen
Pfeil 8.9.6 Real-World-Troubleshooting – ein Beispiel
Pfeil 8.10 Umstrukturieren
Pfeil 8.11 Werkzeugkiste
Pfeil 8.12 Windows Server 2008 R2-Domänencontroller
Pfeil 8.12.1 Schema-Erweiterung
Pfeil 8.12.2 2008 R2-Domänencontroller installieren
Pfeil 8.12.3 2008-Domänencontroller auf R2 migrieren
Pfeil 8.13 Active Directory Best Practice Analyzer"
Pfeil 8.14 Der Active Directory-Papierkorb
Pfeil 8.14.1 Voraussetzungen
Pfeil 8.14.2 Active Directory-Papierkorb aktivieren
Pfeil 8.14.3 Gelöschte Objekte anzeigen und wiederherstellen
Pfeil 8.14.4 Wiederherstellen mit der PowerShell
Pfeil 8.15 Active Directory-Verwaltungscenter
Pfeil 8.15.1 Kennwort zurücksetzen
Pfeil 8.15.2 Benutzer suchen und Attribute anzeigen und modifizieren
Pfeil 8.15.3 Navigieren und filtern
Pfeil 8.15.4 Neuanlegen von Objekten
Pfeil 8.15.5 Navigationsknoten und mehrere Domänen
Pfeil 8.15.6 Technik im Hintergrund / Voraussetzungen
Pfeil 8.16 Active Directory-Webdienste (Active Directory Web Services, ADWS)
Pfeil 8.17 Active Directory-Modul für Windows-PowerShell
Pfeil 8.18 Offline-Domänenbeitritt


Galileo Computing - Zum Seitenanfang

8.14 Der Active Directory-Papierkorb Zur nächsten ÜberschriftZur vorigen Überschrift

Das Szenario ist zwar nicht neu, aber seit Beginn des Active Directory-Zeitalters aktuell: Ein Objekt (Benutzer, Gruppe oder gar eine Organisationseinheit) wird versehentlich gelöscht – und dann steht der Administrator ziemlich dumm da in seinem kurzen Hemd. In der Microsoft-Welt gibt es bekanntlich verschiedene Anwendungen, in denen gelöschte Elemente nicht direkt vernichtet, sondern erst in einem Papierkorb zwischengespeichert werden: Exchange und SharePoint arbeiten sogar mit einer zweistufigen »Papierkorb-Hierarchie«, und auch das ansonsten recht »simple« Dateisystem verfügt über die Papierkorbfunktionalität. Das Nichtvorhandensein eines Papierkorbs im AD führte dazu, dass man entweder beim versehentlichen Löschen eines Objekts einen recht komplizierten Weg für die Wiederherstellung gehen musste. Das Active Directory aus einer Sicherung zu rekonstruieren, ist an sich zwar nicht allzu schwierig, allerdings wird dann die komplette Sicherung und nicht nur ein einzelnes Element wiederhergestellt. Dritthersteller (zum Beispiel Quest) bieten Lösungen für die Wiederherstellung eines einzelnen Elements an, diese sind aber nicht ganz billig.

Wie auch immer: Mit Windows Server 2008 R2 gibt es nun endlich einen Active Directory-Papierkorb.


Galileo Computing - Zum Seitenanfang

8.14.1 Voraussetzungen Zur nächsten ÜberschriftZur vorigen Überschrift

Die Liste der Voraussetzungen für die Nutzung des Papierkorbs ist ausnahmsweise richtig kurz: Die Gesamtstruktur muss sich in der Funktionsebene Windows Server 2008 R2 befinden. Das bedeutet, dass sich alle Domänen in der Domänenfunktionsebene Windows Server 2008 R2 befinden müssen, und das wiederum bedeutet, dass es ausschließlich Domänencontroller auf Windows Server 2008 R2-Servern geben kann.


Galileo Computing - Zum Seitenanfang

8.14.2 Active Directory-Papierkorb aktivieren Zur nächsten ÜberschriftZur vorigen Überschrift

Um den Active Directory-Papierkorb zu aktivieren, ist ein wenig Tipparbeit notwendig; es geht nicht über die grafische Oberfläche.

Beim PowerShell-Befehl zur Aktivierung müssen Sie den Distinguished Name des Papierkorb-Features (Recycle Bin Feature) angeben. Da diese »Low-Level-AD-Themen« erfahrungsgemäß Fragezeichen in die Augen vieler Admins zaubern, zeige ich Ihnen, wo Sie im ADSI-Editor den exakten Wert nachsehen können: Abbildung 8.235 hält die notwendigen Infos bereit.

Abbildung 8.235 Den Distinguished Name des Papierkorb-Objekts können Sie im ADSI-Editor ermitteln.

Wenn Sie den Distinguished Name ermittelt haben, können Sie im Startmenü den Menüpunkt Active Directory-Modul für Windows PowerShell aufrufen. Das darin zu startende Cmdlet lautet:

Enable-ADOptionalFeature -Identity <ADOptionalFeature> -Scope <ADOptionalFeatureScope> -Target <ADEntity>

Abbildung 8.236 zeigt den PowerShell-Befehl in der Praxis – ich denke, dass ein kleines Beispiel mehr hilft, als die bloße Wiedergabe der Syntax. Eine Sicherheitsabfrage weist darauf hin, dass die Aktivierung des Papierkorbs nicht mehr rückgängig gemacht werden kann.

Abbildung 8.236 So wird der Papierkorb aktiviert.

Die Papierkorbfunktion ist nun direkt funktionsfähig – im nächsten Abschnitt werden wir das testen.


Galileo Computing - Zum Seitenanfang

8.14.3 Gelöschte Objekte anzeigen und wiederherstellen Zur nächsten ÜberschriftZur vorigen Überschrift

Das kleine Beispiel, das diesem Abschnitt zugrunde liegt, ist eigentlich simpel: Ein Administrator löscht, aus welchen mysteriösen Gründen auch immer, ein Benutzerobjekt (Kathrin S. Clauss, Abbildung 8.237). Bekanntlich kann er nicht schnell, heimlich und leise eine neue Kathrin S. Clauss erstellen, weil es sich um ein neues Objekt handeln würde, das keine Berechtigungen, keine Gruppenmitgliedschaften, keinen Zugriff auf Exchange und so weiter hat.

Sofern in der Umgebung der Active Directory-Papierkorb aktiviert ist, ist aus einem ziemlich großen Problem ein ziemlich kleines geworden. Allerdings muss man genau wissen, was zu tun ist. Wer im Active Directory-Benutzer und -Computer-Snap-In oder im Active Directory-Verwaltungscenter einen Papierkorb-Container erwartet hat, aus dem man die gelöschten Objekte mit einem Mausklick wieder herauszaubern kann, wird ein wenig sparsam schauen.

Es gibt zwei Wege, um gelöschte Objekte anzuzeigen und wiederherzustellen, nämlich die Nutzung von Ldp.exe oder der PowerShell. Ich zeige Ihnen zunächst die Verwendung von Ldp. Das Werkzeug wird durch den Aufruf von Ldp.exe gestartet. In der deutschen Version werden Sie den Eindruck haben, dass die Übersetzung der Menüpunkte und Dialoge von jemandem angefertigt worden ist, der kein Wort Deutsch spricht und einfach die Wörter im Wörterbuch nachgeschlagen hat. Manchmal sind die Microsoft-Übersetzungen etwas zu gut, weil auch englische Fachbegriffe übersetzt worden sind – in Ldp ist die Übersetzung einfach indiskutabel schlecht. Aber nun gut, wir können nichts daran ändern.

Abbildung 8.237 Das ist der Testfall: Ein Benutzerkonto wird mehr oder weniger »versehentlich« gelöscht.

Zunächst bauen Sie mit Ldp.exe eine Verbindung zum Verzeichnisdienst auf. Interessanterweise heißt der erste Menüpunkt des Dropdown-Menüs Remotedesktopverbindung. Es ist irritierend, und warum das so ist, weiß auch kein Mensch. Mein Tipp: Schauen Sie einfach nicht so genau hin, und denken Sie zumindest jetzt nicht über den Sinn des Lebens und/oder diesen Eintrag nach.

  • Rufen Sie den Menüpunkt Verbinden auf (Abbildung 8.238).
  • Es wird sich der in Abbildung 8.239 gezeigte Dialog öffnen. Nehmen Sie keine Eingaben vor, sondern klicken Sie einfach auf OK.
  • Dann rufen Sie den Menüpunkt Gebunden auf (Abbildung 8.238). Wäre der Übersetzer der deutschen Sprache ansatzweise mächtig gewesen, hätte der Menüpunkt »Bindung herstellen« heißen müssen.
  • Abbildung 8.240 zeigt den Dialog zum Herstellen der Bindung. Geben Sie nichts ein, und wählen Sie einfach OK aus.

Abbildung 8.238 Das Werkzeug zum Wiederherstellen des gelöschten Objekts ist »Ldp.exe«.

Abbildung 8.239 Zunächst bauen Sie die Verbindung auf. Bestätigen Sie einfach diesen Dialog, also ohne Eingabe eines Servers.

Abbildung 8.240 Nun stellen Sie eine Bindung als aktuell angemeldeter Benutzer her.

Im nächsten Schritt zeigen Sie das Verzeichnis in einer Baumansicht an:

  • Wählen Sie den Menüpunkt AnsichtStruktur (Abbildung 8.241).
  • Ldp wird daraufhin von Ihnen wissen wollen, welches der Startpunkt der Strukturansicht sein soll. Für die Domäne ubinf.intra heißt die Eingabe DC=ubinf, DC=intra. Für die untergeordnete Domäne sub01.ubinf.intra müssten Sie DC=sub01, DC=ubinf, DC=intra eingeben (Abbildung 8.242).
  • Nun können Sie zum Knoten CN=Deleted Objects navigieren, wo die seit Aktivierung des Active Directory-Papierkorbs gelöschten Objekte zu finden sind (Abbildung 8.243).

Abbildung 8.241 Nun zeigen Sie die Struktur (also die Baumansicht) an.

Abbildung 8.242 Wählen Sie den Startpunkt der Baumansicht.

Abbildung 8.243 Unterhalb des Containers »CN=Deleted Objects« sind die gelöschten Objekte zu sehen.

Nun geht es richtig los. Im Grunde genommen müssen nur zwei Attribute geändert werden:

  • Der Wert im Attribut isDeleted muss gelöscht werden.
  • Der »richtige« Distinguished Name des Objekts muss wiederhergestellt werden.

Um mit Ldp Änderungen an einem Objekt vorzunehmen, rufen Sie zunächst dessen Kontextmenüpunkt Ändern auf (Abbildung 8.244).

In dem nun erscheinenden Dialog gehen Sie folgendermaßen vor:

  • Tragen Sie als Attribut isDeleted ein, und wählen Sie als Vorgang Löschen. Dann klicken Sie auf Eingabe (Abbildung 8.245, links).
  • Nun tragen Sie als Attribut distinguished Name ein und als Wert den Namen, den das Objekt nach der Wiederherstellung erhalten soll. Dieser Name legt letztendlich auch fest, in welchem Container es sich befindet. Um das gelöschte Benutzerobjekt in der OU BMS wiederherzustellen, tragen Sie hier ein: CN=Kathrin S. Clauss,OU=BMS,DC=ubinf,DC=intra. Als Vorgang wählen Sie Ersetzen aus und klicken auf Eingabe (Abbildung 8.245, rechts).

Abbildung 8.244 Im Kontextmenü des gelöschten Eintrags gibt es den Menüpunkt »Ändern«.

Abbildung 8.245 Das Attribut »isDeleted« wird entfernt, der Distinguished Name enthält einen neuen Wert.

Zum Vergleich zeige ich Ihnen in Abbildung 8.246, wie der Dialog aussehen müsste, bevor Sie auf Ausführen klicken: In der Eingabeliste gibt es zwei Elemente, nämlich das Löschen des Attributs isDeleted und das Eintragen eines neuen Werts für den Distinguished Name.

Das Wiederherstellen eines Objekts ist also letztendlich kein Hexenwerk, sondern nur einfaches Ändern der Attribute. Leider gibt es keine einfache grafische Oberfläche mit einem Wiederherstellen-Knopf dafür.

Abbildung 8.246 Wenn alle zu modifizierenden Attribute in der Eingabeliste vorhanden sind, können Sie »Ausführen« wählen.

Die Durchführung des Änderungsvorgangs wird in dem Ausgabefenster von Ldp protokolliert, eventuelle Fehler werden Sie also dort sehen. Wenn der Vorgang erfolgreich war, wird das in etwa wie auf Abbildung 8.247 aussehen. Und die wirklich gute Nachricht ist, dass das Benutzerobjekt wieder an seinem ursprünglichen Ort vorhanden ist (Abbildung 8.248). Anzumerken wäre noch, dass das wiederhergestellte Objekt da zu sehen ist, wo Sie es mit der Auswahl des Distinguished Name-Attributs platziert haben.

Abbildung 8.247 Das Protokollfenster von Ldp zeigt die Durchführung des Änderungsvorgangs an.

Abbildung 8.248 Das Benutzerobjekt ist wieder da – alles bestens.


Galileo Computing - Zum Seitenanfang

8.14.4 Wiederherstellen mit der PowerShell topZur vorigen Überschrift

Bei der zuvor gezeigten Wiederherstellung mithilfe von Ldp lässt sich recht schön erkennen, was im Hintergrund eigentlich passiert. In der Praxis ist dieser Weg aber ein wenig umständlich, ich würde daher eher zur Wiederherstellung mit der PowerShell tendieren.

Die Syntax zum Anzeigen der gelöschten Objekte lautet:

Get-ADObject -Filter {String} -IncludeDeletedObjects

Der Platzhalter String steht für eine geeignete Abfrage, um das wiederherzustellende Objekt zu identifizieren. Im Fall eines Benutzerkontos lässt sich gut nach dem Anzeigenamen suchen, so dass der Displayfilter displayName –eq "Kathrin S. Clauss" lautet. Dass es funktioniert, sehen Sie auf Abbildung 8.249.

Abbildung 8.249 Mit der PowerShell können Sie die gelöschten Objekte anzeigen.

Um das gefundene Objekt oder die gefundenen Objekte wiederherzustellen, ergänzen Sie den Suchaufruf um |Restore-ADObjekt. Die Liste der gefundenen Objekte wird dadurch an den Befehl zur Wiederherstellung derselben weitergegeben. Wie Sie auf Abbildung 8.250 sehen können, ist der Wiederherstellungsvorgang ziemlich stumm – solange kein Fehler auftritt. Der Erfolg ist allerdings, dass sich das wiederherzustellende Objekt am ursprünglichen Ort wiederfindet.

Abbildung 8.250 Der Wiederherstellungsvorgang ist ziemlich stumm – trotzdem klappt’s.



Ihr Kommentar

Wie hat Ihnen das <openbook> gefallen? Wir freuen uns immer über Ihre freundlichen und kritischen Rückmeldungen.






<< zurück
  Zum Katalog
Zum Katalog: Windows Server 2008 R2

Windows Server 2008 R2
Jetzt bestellen


 Ihre Meinung?
Wie hat Ihnen das <openbook> gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Katalog: Windows 7 für Administratoren






 Windows 7 für
 Administratoren


Zum Katalog: Konzepte und Lösungen für Microsoft-Netzwerke






 Konzepte und
 Lösungen für
 Microsoft-Netzwerke


Zum Katalog: Office SharePoint Server 2007 und Windows SharePoint Services 3.0






 Office SharePoint
 Server 2007 und
 Windows SharePoint
 Services 3.0


Zum Katalog: Exchange Server 2007 und Office Communications Server 2007






 Exchange Server 2007
 und Office
 Communications
 Server 2007


Zum Katalog: Citrix XenApp 5






 Citrix XenApp 5


Zum Katalog: PC-Netzwerke






 PC-Netzwerke


Zum Katalog: VMware vSphere 4






 VMware vSphere 4


Zum Katalog: VMware vSphere 4 - Videotraining






 VMware vSphere 4
 - Videotraining


Zum Katalog: VirtualBox






 VirtualBox


 Shopping
Versandkostenfrei bestellen in Deutschland und Österreich
InfoInfo




Copyright © Galileo Press 2010
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das <openbook> denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


[Galileo Computing]

Galileo Press, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, info@galileo-press.de