Rheinwerk Computing < openbook > Rheinwerk Computing - Professionelle Bücher. Auch für Einsteiger.
Professionelle Bücher. Auch für Einsteiger.

Inhaltsverzeichnis
Geleitwort
1 Warum eine neue Server-Version?
2 Editionen und Lizenzen
3 Hardware und Dimensionierung
4 Protokolle
5 Was ist .NET?
6 Installation
7 Die Core-Installationsoption
8 Active Directory-Domänendienste
9 Netzwerkdienste im AD-Umfeld
10 Active Directory Lightweight Directory Services (AD LDS)
11 Active Directory-Verbunddienste (Federation Services)
12 Active Directory-Zertifikatdienste
13 Active Directory-Rechteverwaltungsdienste (AD RMS)
14 »Innere Sicherheit«
15 Dateisystem und Dateidienste
16 Drucken
17 Webserver (IIS)
18 SharePoint Foundation und SharePoint Server
19 Remotedesktopdienste (Terminaldienste)
20 Hochverfügbarkeit
21 Datensicherung
22 Servervirtualisierung mit Hyper-V
23 Windows PowerShell
Stichwort

Jetzt Buch bestellen
Ihre Meinung?

Spacer
Windows Server 2012 R2 von Ulrich B. Boddenberg
Das umfassende Handbuch
Buch: Windows Server 2012 R2

Windows Server 2012 R2
Rheinwerk Computing
1392 S., 4., aktualisierte Auflage 2014, geb.
59,90 Euro, ISBN 978-3-8362-2013-2
Pfeil 8 Active Directory-Domänendienste
Pfeil 8.1 Aufbau und Struktur
Pfeil 8.1.1 Logische Struktur
Pfeil 8.1.2 Schema
Pfeil 8.1.3 Der globale Katalog (Global Catalog, GC)
Pfeil 8.1.4 Betriebsmasterrollen/FSMO-Rollen
Pfeil 8.1.5 Verteilung von Betriebsmasterrollen und Global Catalog
Pfeil 8.1.6 Schreibgeschützte Domänencontroller – Read Only Domain Controller (RODC)
Pfeil 8.2 Planung und Design des Active Directory
Pfeil 8.2.1 Abbildung des Unternehmens
Pfeil 8.2.2 Übersichtlichkeit und Verwaltbarkeit
Pfeil 8.2.3 Standorte
Pfeil 8.2.4 Replikation
Pfeil 8.2.5 Gruppenrichtlinien
Pfeil 8.3 Ein neues Active Directory einrichten
Pfeil 8.3.1 Den ersten Domänencontroller einrichten
Pfeil 8.3.2 Zusätzliche Domänencontroller einrichten
Pfeil 8.4 Gruppenrichtlinien
Pfeil 8.4.1 Anwendungsbeispiel
Pfeil 8.4.2 Richtlinien für Computer und Benutzer
Pfeil 8.4.3 Verteilung über Domänencontroller
Pfeil 8.4.4 Vererbung
Pfeil 8.4.5 Sicherheit und Vorrang
Pfeil 8.4.6 Filter
Pfeil 8.4.7 Abarbeitungsreihenfolge, mehr Details
Pfeil 8.4.8 Lokale GPOs (ab Windows Vista und Windows Server 2008)
Pfeil 8.4.9 Starter-Gruppenrichtlinienobjekte / Starter-GPOs
Pfeil 8.4.10 ADM vs. ADMX
Pfeil 8.4.11 Zuweisen und Bearbeiten von Gruppenrichtlinien
Pfeil 8.4.12 WMI-Filter
Pfeil 8.4.13 Softwareverteilung mit Gruppenrichtlinien
Pfeil 8.4.14 Loopbackverarbeitung
Pfeil 8.4.15 Gruppenrichtlinien-Voreinstellungen (Preferences)
Pfeil 8.5 Diverses über Gruppen
Pfeil 8.6 Delegierung der Verwaltung
Pfeil 8.7 Das Active Directory aus der Client-Perspektive
Pfeil 8.7.1 DNS-Einträge oder »Wie findet der Client das Active Directory?«
Pfeil 8.7.2 Das Active Directory durchsuchen
Pfeil 8.7.3 Individuelle Erweiterungen
Pfeil 8.8 Zeitdienst
Pfeil 8.8.1 Grundkonfiguration der Zeitsynchronisation
Pfeil 8.8.2 Größere Umgebungen
Pfeil 8.9 Upgrade der Gesamtstruktur auf Active Directory-Domänendienste (AD DS) 2008/2012/R2
Pfeil 8.9.1 Schemaerweiterung und Anpassung der Domänen durchführen
Pfeil 8.9.2 Windows Server 2012 R2-Domänencontroller installieren
Pfeil 8.9.3 Kurze Überprüfung
Pfeil 8.9.4 FSMO-Rollen verschieben
Pfeil 8.9.5 Alte Domänencontroller deinstallieren und einheitlichen Modus wählen
Pfeil 8.9.6 Real-World-Troubleshooting – ein Beispiel
Pfeil 8.10 Umstrukturieren
Pfeil 8.11 Werkzeugkiste
Pfeil 8.12 Active Directory Best Practice Analyzer
Pfeil 8.13 Der Active Directory-Papierkorb
Pfeil 8.13.1 Voraussetzungen
Pfeil 8.13.2 Active Directory-Papierkorb aktivieren
Pfeil 8.13.3 Gelöschte Objekte anzeigen und wiederherstellen
Pfeil 8.13.4 Wiederherstellen mit der PowerShell
Pfeil 8.14 Active Directory-Verwaltungscenter
Pfeil 8.14.1 Kennwort zurücksetzen
Pfeil 8.14.2 Benutzer suchen und Attribute anzeigen und modifizieren
Pfeil 8.14.3 Navigieren und filtern
Pfeil 8.14.4 Neuanlegen von Objekten
Pfeil 8.14.5 Navigationsknoten und mehrere Domänen
Pfeil 8.14.6 Technik im Hintergrund und Voraussetzungen
Pfeil 8.15 Active Directory-Webdienste (Active Directory Web Services, ADWS)
Pfeil 8.16 Active Directory-Modul für Windows-PowerShell
Pfeil 8.17 Offline-Domänenbeitritt

Rheinwerk Computing - Zum Seitenanfang

8.13 Der Active Directory-Papierkorb Zur nächsten Überschrift

Das Szenario ist zwar nicht neu, aber seit Beginn des Active Directory-Zeitalters aktuell: Ein Objekt (Benutzer, Gruppe oder gar eine Organisationseinheit) wird versehentlich gelöscht – und dann steht der Administrator ziemlich dumm da. In der Microsoft-Welt gibt es bekanntlich verschiedene Anwendungen, in denen gelöschte Elemente nicht direkt vernichtet, sondern erst in einem Papierkorb zwischengespeichert werden: Exchange und SharePoint arbeiten sogar mit einer zweistufigen »Papierkorb-Hierarchie«, und auch das ansonsten recht »simple« Dateisystem verfügt über die Papierkorbfunktionalität. Das Nichtvorhandensein eines Papierkorbs im AD führte dazu, dass man beim versehentlichen Löschen eines Objekts einen recht komplizierten Weg für die Wiederherstellung gehen musste. Das Active Directory aus einer Sicherung zu rekonstruieren ist an sich zwar nicht allzu schwierig, allerdings wird dann die komplette Sicherung und nicht nur ein einzelnes Element wiederhergestellt. Dritthersteller (z. B. Quest) bieten Lösungen für die Wiederherstellung eines einzelnen Elements an; diese sind aber nicht ganz billig.

Wie auch immer: Seit Windows Server 2008 R2 gibt es nun endlich einen Active Directory-Papierkorb.


Rheinwerk Computing - Zum Seitenanfang

8.13.1 Voraussetzungen Zur nächsten ÜberschriftZur vorigen Überschrift

Die Liste der Voraussetzungen für die Nutzung des Papierkorbs ist ausnahmsweise richtig kurz: Die Gesamtstruktur muss sich in der Funktionsebene Windows Server 2008 R2 befinden. Das bedeutet, dass sich alle Domänen in der Domänenfunktionsebene Windows Server 2008 R2 befinden müssen, und das wiederum bedeutet, dass es ausschließlich Domänencontroller auf Windows Server 2008 R2-Servern geben kann.


Rheinwerk Computing - Zum Seitenanfang

8.13.2 Active Directory-Papierkorb aktivieren Zur nächsten ÜberschriftZur vorigen Überschrift

Um den Active Directory-Papierkorb zu aktivieren, ist ein wenig Tipparbeit notwendig; es geht nicht über die grafische Oberfläche.

Beim PowerShell-Befehl zur Aktivierung müssen Sie den Distinguished Name des Papierkorb-Features (Recycle Bin Feature) angeben. Da diese »Low-Level-AD-Themen« erfahrungsgemäß Fragezeichen in die Augen vieler Admins zaubern, zeige ich Ihnen, wo Sie im ADSI-Editor den exakten Wert nachsehen können: Abbildung 8.228 hält die notwendigen Infos bereit.

Wenn Sie den Distinguished Name ermittelt haben, können Sie im Startmenü den Menüpunkt Active Directory-Modul für Windows PowerShell aufrufen. Das darin zu startende Cmdlet lautet:

Enable-ADOptionalFeature -Identity <ADOptionalFeature> 
-Scope <ADOptionalFeatureScope> -Target <ADEntity>

Abbildung

Abbildung 8.228 Den Distinguished Name des Papierkorb-Objekts können Sie im ADSI-Editor ermitteln.

Abbildung 8.229 zeigt den PowerShell-Befehl in der Praxis – ich denke, dass ein kleines Beispiel mehr hilft, als die bloße Wiedergabe der Syntax. Eine Sicherheitsabfrage weist darauf hin, dass die Aktivierung des Papierkorbs nicht mehr rückgängig gemacht werden kann.

Abbildung

Abbildung 8.229 So wird der Papierkorb aktiviert.

Die Papierkorbfunktion ist nun direkt funktionsfähig – im nächsten Abschnitt werden wir das testen.


Rheinwerk Computing - Zum Seitenanfang

8.13.3 Gelöschte Objekte anzeigen und wiederherstellen Zur nächsten ÜberschriftZur vorigen Überschrift

Das kleine Beispiel, das diesem Abschnitt zugrunde liegt, ist eigentlich simpel: Ein Administrator löscht, aus welchen mysteriösen Gründen auch immer, ein Benutzerobjekt (Kathrin S. Clauss, Abbildung 8.230). Bekanntlich kann er nicht schnell, heimlich und leise eine neue Kathrin S. Clauss erstellen, weil es sich um ein neues Objekt handeln würde, das keine Berechtigungen, keine Gruppenmitgliedschaften, keinen Zugriff auf Exchange und so weiter hat.

Abbildung

Abbildung 8.230 Das ist der Testfall: Ein Benutzerkonto wird mehr oder weniger »versehentlich« gelöscht.

Sofern in der Umgebung der Active Directory-Papierkorb aktiviert ist, ist aus einem ziemlich großen Problem ein ziemlich kleines geworden. Allerdings muss man genau wissen, was zu tun ist. Wenn Sie im Active Directory-Benutzer und -Computer-Snap-In oder im Active Directory-Verwaltungscenter einen Papierkorb-Container erwarten, aus dem man die gelöschten Objekte mit einem Mausklick wieder herauszaubern kann, werden Sie enttäuscht sein.

Es gibt zwei Wege, um gelöschte Objekte anzuzeigen und wiederherzustellen, nämlich die Nutzung von Ldp.exe oder der PowerShell. Ich zeige Ihnen zunächst die Verwendung von Ldp. Das Werkzeug wird durch den Aufruf von Ldp.exe gestartet. In der deutschen Version werden Sie den Eindruck haben, dass die Übersetzung der Menüpunkte und Dialoge von jemandem angefertigt worden ist, der kein Wort Deutsch spricht und einfach die Wörter im Wörterbuch nachgeschlagen hat. Manchmal sind die Microsoft-Übersetzungen etwas zu gut, weil auch englische Fachbegriffe übersetzt worden sind – aber in Ldp ist die Übersetzung einfach indiskutabel schlecht. Aber nun gut, wir können nichts daran ändern.

Zunächst bauen Sie mit Ldp.exe eine Verbindung zum Verzeichnisdienst auf. Interessanterweise heißt der erste Menüpunkt des Dropdown-Menüs Remotedesktopverbindung. Es ist irritierend, und warum das so ist, weiß auch kein Mensch. Mein Tipp: Schauen Sie einfach nicht so genau hin, und denken Sie zumindest jetzt nicht über den Sinn des Lebens und/oder diesen Eintrag nach.

  1. Rufen Sie den Menüpunkt Verbinden auf (Abbildung 8.231).
  2. Jetzt öffnet sich der Dialog aus Abbildung 8.232. Nehmen Sie keine Eingaben vor, sondern klicken Sie einfach auf OK.
  3. Dann rufen Sie den Menüpunkt Gebunden auf (Abbildung 8.231). Wäre der Übersetzer der deutschen Sprache ansatzweise mächtig gewesen, hätte der Menüpunkt »Bindung herstellen« heißen müssen.
  4. Abbildung 8.233 zeigt den Dialog zum Herstellen der Bindung. Geben Sie nichts ein, und wählen Sie einfach OK aus.

Abbildung

Abbildung 8.231 Das Werkzeug zum Wiederherstellen des gelöschten Objekts ist »Ldp.exe«.

Abbildung

Abbildung 8.232 Zunächst bauen Sie die Verbindung auf. Bestätigen Sie einfach diesen Dialog, also ohne Eingabe eines Servers.

Abbildung

Abbildung 8.233 Nun stellen Sie eine Bindung als aktuell angemeldeter Benutzer her.

Im nächsten Schritt zeigen Sie das Verzeichnis in einer Baumansicht an:

  1. Wählen Sie den Menüpunkt Ansicht · Struktur (Abbildung 8.234).
  2. Ldp wird daraufhin von Ihnen wissen wollen, welches der Startpunkt der Strukturansicht sein soll. Für die Domäne ubinf.intra heißt die Eingabe DC=ubinf, DC=intra. Für die untergeordnete Domäne sub01.ubinf.intra müssten Sie DC=sub01, DC=ubinf, DC=intra eingeben (Abbildung 8.235).
  3. Nun können Sie zum Knoten CN=Deleted Objects navigieren, wo die Objekte zu finden sind, die seit Aktivierung des Active Directory-Papierkorbs gelöscht wurden (Abbildung 8.236).

Abbildung

Abbildung 8.234 Nun zeigen Sie die Struktur (also die Baumansicht) an.

Abbildung

Abbildung 8.235 Wählen Sie den Startpunkt der Baumansicht.

Abbildung

Abbildung 8.236 Unterhalb des Containers »CN=Deleted Objects« sind die gelöschten Objekte zu sehen.

Nun geht es richtig los. Im Grunde genommen müssen nur zwei Attribute geändert werden:

  • Der Wert im Attribut isDeleted muss gelöscht werden.
  • Der »richtige« Distinguished Name des Objekts muss wiederhergestellt werden.

Um mit Ldp Änderungen an einem Objekt vorzunehmen, rufen Sie zunächst dessen Kontextmenüpunkt Ändern auf (Abbildung 8.237).

Abbildung

Abbildung 8.237 Im Kontextmenü des gelöschten Eintrags gibt es den Menüpunkt »Ändern«.

In dem nun erscheinenden Dialog gehen Sie folgendermaßen vor:

  1. Tragen Sie als Attribut isDeleted ein, und wählen Sie als Vorgang Löschen. Dann klicken Sie auf Eingabe (Abbildung 8.238, links).
  2. Nun tragen Sie als Attribut distinguished Name ein und als Wert den Namen, den das Objekt nach der Wiederherstellung erhalten soll. Dieser Name legt letztendlich auch fest, in welchem Container es sich befindet. Um das gelöschte Benutzerobjekt in der OU BMS wiederherzustellen, tragen Sie hier ein: CN=Kathrin S. Clauss,OU=BMS,DC=ubinf,DC=intra. Als Vorgang wählen Sie Ersetzen aus und klicken dann auf Eingabe (Abbildung 8.238, rechts).

Abbildung

Abbildung 8.238 Das Attribut »isDeleted« wird entfernt, der Distinguished Name enthält einen neuen Wert.

Zum Vergleich zeige ich Ihnen in Abbildung 8.239, wie der Dialog aussehen müsste, bevor Sie auf Ausführen klicken: In der Eingabeliste gibt es zwei Elemente, nämlich das Löschen des Attributs isDeleted und das Eintragen eines neuen Werts für den Distinguished Name.

Abbildung

Abbildung 8.239 Wenn alle zu modifizierenden Attribute in der Eingabeliste vorhanden sind, können Sie »Ausführen« wählen.

Das Wiederherstellen eines Objekts ist also letztendlich kein Hexenwerk, sondern nur einfaches Ändern der Attribute. Leider gibt es keine einfache grafische Oberfläche mit einem Wiederherstellen-Knopf dafür.

Die Durchführung des Änderungsvorgangs wird in dem Ausgabefenster von Ldp protokolliert, eventuelle Fehler werden Sie also dort sehen. Wenn der Vorgang erfolgreich war, wird das in etwa wie auf Abbildung 8.240 aussehen. Und die wirklich gute Nachricht ist, dass das Benutzerobjekt wieder an seinem ursprünglichen Ort vorhanden ist (Abbildung 8.241). Anzumerken wäre noch, dass das wiederhergestellte Objekt da zu sehen ist, wo Sie es mit der Auswahl des Distinguished Name-Attributs platziert haben.

Abbildung

Abbildung 8.240 Das Protokollfenster von Ldp zeigt die Durchführung des Änderungsvorgangs an.

Abbildung

Abbildung 8.241 Das Benutzerobjekt ist wieder da – alles bestens.


Rheinwerk Computing - Zum Seitenanfang

8.13.4 Wiederherstellen mit der PowerShell Zur vorigen Überschrift

Bei der zuvor gezeigten Wiederherstellung mithilfe von Ldp lässt sich recht schön erkennen, was im Hintergrund eigentlich passiert. In der Praxis ist dieser Weg aber ein wenig umständlich, ich würde daher eher zur Wiederherstellung mit der PowerShell tendieren.

Die Syntax zum Anzeigen der gelöschten Objekte lautet:

Get-ADObject -Filter {String} -IncludeDeletedObjects

Der Platzhalter String steht für eine geeignete Abfrage, um das wiederherzustellende Objekt zu identifizieren. Im Fall eines Benutzerkontos lässt sich gut nach dem Anzeigenamen suchen, sodass der Displayfilter displayName –eq "Kathrin S. Clauss" lautet. Dass es funktioniert, sehen Sie auf Abbildung 8.242.

Abbildung

Abbildung 8.242 Mit der PowerShell können Sie die gelöschten Objekte anzeigen.

Um das gefundene Objekt oder die gefundenen Objekte wiederherzustellen, ergänzen Sie den Suchaufruf um |Restore-ADObjekt. Die Liste der gefundenen Objekte wird dadurch an den Befehl zur Wiederherstellung derselben weitergegeben. Wie Sie auf Abbildung 8.243 sehen können, ist der Wiederherstellungsvorgang ziemlich stumm – solange kein Fehler auftritt. Der Erfolg ist allerdings, dass sich das wiederherzustellende Objekt am ursprünglichen Ort wiederfindet.

Abbildung

Abbildung 8.243 Der Wiederherstellungsvorgang ist ziemlich stumm – trotzdem klappt’s.



Ihre Meinung

Wie hat Ihnen das Openbook gefallen? Wir freuen uns immer über Ihre Rückmeldung. Schreiben Sie uns gerne Ihr Feedback als E-Mail an kommunikation@rheinwerk-verlag.de.

<< zurück




Copyright © Rheinwerk Verlag GmbH, Bonn 2014
Für Ihren privaten Gebrauch dürfen Sie die Online-Version natürlich ausdrucken. Ansonsten unterliegt das Openbook denselben Bestimmungen, wie die gebundene Ausgabe: Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt.
Alle Rechte vorbehalten einschließlich der Vervielfältigung, Übersetzung, Mikroverfilmung sowie Einspeicherung und Verarbeitung in elektronischen Systemen.


Nutzungsbestimmungen | Datenschutz | Impressum

Rheinwerk Verlag GmbH, Rheinwerkallee 4, 53227 Bonn, Tel.: 0228.42150.0, Fax 0228.42150.77, service@rheinwerk-verlag.de

Cookie-Einstellungen ändern


  Zum Rheinwerk-Shop
Zum Rheinwerk-Shop: Windows Server 2012 R2






Windows Server 2012 R2
Jetzt Buch bestellen


 Ihre Meinung?
Wie hat Ihnen das Openbook gefallen?
Ihre Meinung

 Buchempfehlungen
Zum Rheinwerk-Shop: Office 365






 Office 365


Zum Rheinwerk-Shop: Microsoft Hyper-V






 Microsoft Hyper-V


Zum Rheinwerk-Shop: Linux-Server






 Linux-Server


Zum Rheinwerk-Shop: Vmware vSphere 5






 Vmware vSphere 5


Zum Rheinwerk-Shop: Windows 8 für Administratoren






 Windows 8 für
 Administratoren


 Lieferung
Versandkostenfrei bestellen in Deutschland, Österreich und der Schweiz
InfoInfo