Neue Möglichkeiten mit Windows Server 2008 R2

Transkript

1 Active Directory Neue Möglichkeiten mit Windows Server 2008 R2 Active Directory In diesem Kapitel: Offline-Domänenbeitritt Djoin.exe 486 Verwaltete Dienstkonten Managed Service Accounts 489 Der Active Directory-Papierkorb im Praxiseinsatz 493 Zusammenfassung

2 Active Directory Neue Möglichkeiten mit Windows Server 2008 R2 In diesem Kapitel gehen wir speziell auf die neuen Möglichkeiten von Active Directory in Windows Server 2008 R2 ein. Lesen Sie, wie Sie Computer offline zur Domäne hinzufügen können, zum Beispiel bei einer Verteilung von Windows 7 in Unternehmen. Auch die neuen verwalteten Dienste (Managed Services) sind Thema dieses Kapitels. Der neue Active Directory-Papierkorb ist der letzte Abschnitt in diesem Kapitel. Offline-Domänenbeitritt Djoin.exe In Windows Server 2008 R2 können Sie Computerkonten von Windows 7-Computern auch dann einer Domäne hinzufügen, wenn diese aktuell keine Verbindung mit dem Domänencontroller haben. Sobald der Client eine Verbindung hat, wendet er die notwendigen Einstellungen und Berechtigungen an, die für einen Domänenbeitritt notwendig sind. So können Sie zum Beispiel Clients von Niederlassungen in Domänen aufnehmen, wenn aktuell keine Verbindung zur Domäne besteht. Vorteile und technische Hintergründe zum Offline-Domänenbeitritt Wollen Sie zum Beispiel viele virtuelle Computer auf einmal zur Domäne aufnehmen, beispielsweise in einem Virtual Desktop Infrastructure-Szenario, können Sie Active Directory so vorbereiten, dass sich die Computer schnell und problemlos anbinden lassen. Sobald ein solcher Client das erste Mal startet, führt er die notwendigen Änderungen durch, ein erneuter Start des Rechners ist nicht notwendig. Das beschleunigt auch das Bereitstellen von Windows 7-Computern im Netzwerk. Djoin funktioniert auch zusammen mit schreibgeschützten Domänencontrollern (RODC). Dazu nehmen Sie mit Djoin.exe die Computer auf und lassen die Konten zum RODC replizieren. Sobald sich die Computer in der Niederlassung mit dem Netzwerk verbinden, authentifizieren Sie sich am schreibgeschützten Domänencontroller und sind in Active Directory verfügbar. Ein weiterer Vorteil ist der automatisierte Domänenbeitritt von neuen Computern beim Deployment von Windows 7 im Unternehmen, da Sie die notwendigen Befehle für den Domänenbeitritt in die Antwortdatei der automatischen Installation aufnehmen können. Voraussetzungen für die Verwendung des Offline-Domänenbeitritts Damit Sie den Offline-Domänenbeitritt verwenden können, müssen Sie Windows 7 oder Windows Server 2008 R2 als Betriebssystem einsetzen. Sie können diese Betriebssysteme aber auch in Domänen aufnehmen, die noch keine Domänencontroller unter Windows Server 2008 R2 betreiben. In diesem Fall verwenden Sie die Option /downlevel. Standardmäßig geht Djoin.exe davon aus, dass eine Verbindung zu einem Domänencontroller unter Windows Server 2008 R2 besteht. Zusammenfassend heißt das, dass Sie nur Computer, auf denen Windows 7 oder Windows Server 2008 R2 installiert sind, per Djoin.exe zu einer Domäne aufnehmen können. Bei der Domäne kann es sich auch um Active Directory unter Windows Server 2008 handeln. Nur Benutzer, die über die Rechte verfügen, Computer einer Domäne hinzuzufügen, können Djoin.exe nutzen. Dazu müssen Sie entweder über Domänen-Adminrechte verfügen oder ein Administrator muss die entsprechenden Rechte delegieren. TIPP Die Rechte, Computer in eine Domäne aufzunehmen, können Sie über den Editor für lokale Gruppenrichtlinien (gpedit.msc) setzen. Bearbeiten Sie dazu den Wert Hinzufügen von Arbeitsstationen zur Domäne unter Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/ Zuweisen von Benutzerrechten. Nehmen Sie hier die Benutzerkonten auf, die über die entsprechenden Rechte verfügen sollen. 486

3 Offline-Domänenbeitritt Djoin.exe Tabelle 11.1 Offline-Domänenbeitritt durchführen Der Offline-Domänenbeitritt erfolgt über das Tool Djoin.exe in der Befehlszeile auf einem Computer unter Windows 7 oder Windows Server 2008 R2, der bereits Mitglied der Domäne ist. Sie müssen für die Verwendung über das Kontextmenü eine Eingabeaufforderung mit Administratorrechten starten und über Rechte verfügen, Computerkonten zur Domäne hinzuzufügen. Die Ausgabe in die Datei oder auf dem Bildschirm enthält die Metadaten für den Domänenbeitritt. Microsoft bezeichnet diese auch als Blob. Bei der Ausführung können Sie entweder eine verschlüsselte Datei erstellen, die Sie auf dem Clientrechner dann verwenden müssen, oder Sie speichern die Daten in einer Datei unattend.xml, um Antwortdateien vollkommen zu automatisieren. Das Tool Djoin.exe hat verschiedene Optionen, die wir in der nächsten Tabelle genauer auflisten. Optionen von Djoin.exe Option von djoin.exe /provision /domain <Name der Domäne> /machine <Name> Erläuterung Erstellen eines Computerkontos in der Domäne Domäne, in der Sie das Konto erstellen wollen Name des Computers, der der Domäne beitreten soll Active Directory /machineou <Organisationseinheit> /dcname <Name> /reuse /downlevel /savefile <Name der Datei>.txt /defpwd /nosearch /printblob /requestodj /loadfile /windowspath <Pfad> /loalos OU, in der das Konto erstellt werden soll. Ohne Angabe einer OU verwendet Djoin die OU Computer. Name des Domänencontrollers, auf dem das Konto zuerst verfügbar sein soll Verwenden eines bereits vorhandenen Computerkontos, dessen Kennwort zurückgesetzt wird Beitritt eines Computers zu einem Domänencontroller, auf dem nicht Windows Server 2008 R2 installiert ist Textdatei, in der Daten des Domänenbeitritts gespeichert werden, für die Ausführung auf dem Client. Der Inhalt der Datei ist verschlüsselt. Verwendet das standardmäßige Kennwort für Computerkonten (nicht notwendig) Überspringt Konflikte, wenn das Konto bereits vorhanden ist. Benötigt die Option /dcname. Gibt einen base64-kodierten Wert für Antwortdateien aus Führt beim nächsten Neustart einen Offline-Domänenbeitritt durch Verwendet die Ausgabe einer vorherigen Ausführung von Djoin.exe Pfad zum Windows-Verzeichnis, wenn nicht der Standard verwendet werden soll Zielcomputer, den Sie der Domäne hinzufügen wollen. Diese Option kann nicht auf einem Domänencontroller durchgeführt werden. Generell ist der Ablauf bei einem Domänenbeitritt recht einfach. Sie führen im Grunde genommen folgende Schritte durch: 1. Verwenden Sie djoin /provision, um die Metadaten für den Domänenbeitritt des Zielcomputers zu erstellen. Als Option geben Sie die Domäne an. Achten Sie darauf, dass Sie die Eingabeaufforderung im Administratormodus öffnen. Ein Beispiel für die Datei wäre djoin /provision /domain contoso.com /machine client134 /savefile c:\client134.txt. Inhalt der Datei sind das Kennwort der Maschine, Name der Domäne und des Domänencontrollers sowie die SID der Domäne. 487

4 Active Directory Neue Möglichkeiten mit Windows Server 2008 R2 2. Kopieren Sie die Datei auf den Rechner, der der Domäne beitreten soll. Der Inhalt ist verschlüsselt und bringt Außenstehenden nichts. Abbildg Hinzufügen eines Kontos zur Domäne 3. Auf dem Zielcomputer verwenden Sie djoin /requestodj /loadfile c:\client134.txt /windowspath %System- Root% /localos, um den Rechner in die Domäne aufzunehmen. Abbildg Offline-Domänenbeitritt eines Clients 4. Starten Sie den Zielcomputer neu, wird der Computer automatisch in die Domäne aufgenommen, sobald eine Verbindung zu einem Domänencontroller besteht. Offline-Domänenbeitritt bei einer unbeaufsichtigten Installation über Antwortdatei Wollen Sie einen Offline-Domänenbeitritt während der Installation zum Beispiel im unbeaufsichtigten Modus durchführen, ist das ebenfalls möglich. Dazu müssen Sie beim Erstellen des Computerkontos auf der Domäne den Inhalt der Metadaten anstatt in einer verschlüsselten Datei in eine Antwortdatei integrieren. Antwortdateien unter Windows Server 2008 R2 und Windows 7 tragen normalerweise die Bezeichnung Unattend.xml. Sie müssen in der Antwortdatei dazu eine neue Sektion erstellen. Diese trägt die Bezeichnung: Microsoft-Windows-UnattendJoin/Identification/Provisioning Diese Sektion enthält darüber hinaus eine Unterstruktur, die folgendermaßen aussieht: <Component> <Component name=microsoft-windows-unattendedjoin> <Identification> <Provisioning> <AccountData>Base64Encoded Blob</AccountData> </Provisioning> </Identification> </Component> 488

5 Verwaltete Dienstkonten Managed Service Accounts Sie müssen die Metadaten, die Sie beim Erstellen der Datei erhalten, zwischen die Tags <AccountData> und </ AccountData> einfügen. Nachdem Sie die Datei erstellt haben, können Sie den Computer unbeaufsichtigt installieren. Die Syntax bei Antwortdateien ist setup /unattend:<antwortdatei>. Verwaltete Dienstkonten Managed Service Accounts Die verwalteten Dienstkonten sind eine Neuerung in Windows Server 2008 R2. Im Fokus der neuen Funktion stehen die Dienstkonten von Serveranwendungen wie Exchange Server oder SQL Server, die zum einen wichtig für den Betrieb, zum anderen aber auch kritisch im Bereich Sicherheit sind, da die Benutzerkonten, mit denen diese Dienste starten, oft über weitreichende Rechte verfügen. Vor allem die Dienste Lokaler Dienst, Netzwerkdienst und Lokales System werden oft für Serveranwendungen verwendet. Der Nachteil dieser lokalen Dienste ist die fehlende Möglichkeit, Einstellungen auf Domänenebene vorzunehmen. Verwenden Administratoren statt diesen Konten Benutzerkonten aus Active Directory, ergeben sich neue Probleme bezüglich der Verwaltung der Kennwörter. Um diese Probleme zu lösen, gibt es in Windows Server 2008 R2 und Windows 7 zwei neue Dienstarten: Verwaltete Dienstkonten (Managed Service Accounts) und Virtuelle Konten. Active Directory Abbildg Verwaltung der Managed Service Accounts in der Verwaltungskonsole Active Directory-Benutzer und -Computer Damit Sie die OU Managed Service Accounts und die darin angelegten Dienstkonten sehen, müssen Sie unter Umständen im Snap-In Active Directory-Benutzer und -Computer die erweiterte Ansicht über das Menü Ansicht aktivieren. HINWEIS Die Verwaltung der Managed Service Accounts findet ausschließlich in der PowerShell statt. Verwenden Sie nicht das Snap-In Active Directory-Benutzer und -Computer. Verwaltete Dienstkonten Technische Hintergründe Verwaltete Dienstkonten sind bestimmte Benutzerkonten in Active Directory, die zur Verwendung von lokalen Diensten taugen. Dabei werden die Kennwörter dieser Konten nicht manuell, sondern automatisch bei bestimmten Bedingungen durch Active Directory geändert. Administratoren können solche Änderungen manuell anstoßen. Der Vorteil ist, dass die Systemdienste, welche diese Benutzerkonten verwenden, bei Kennwortänderungen nicht von Administratoren konfiguriert werden müssen, sondern die Änderung der Kennwörter automatisch übernehmen. Die Verwaltung solcher Dienstkonten lässt sich auch an Nicht-Administratoren delegieren, zum Beispiel internen Programmierern des Datenbanksystems. Diese Dienste werden nur unter Windows Server 2008 R2 und Windows 7 unterstützt, auf anderen Windows-Versionen können Sie diese Dienste nicht nutzen. Außerdem darf es auf jedem Computer immer nur ein verwaltetes Dienstkonto geben. Aus diesem Grund sind diese Dienste auch nicht clusterfähig, da hier Serveranwendungen auf mehreren Kno- 489

6 Active Directory Neue Möglichkeiten mit Windows Server 2008 R2 ten verteilt sein können. Die Domäne darf allerdings noch Domänencontroller mit Windows Server 2003/2008 enthalten, wobei Sie dann jedoch zusätzliche Konfigurationen durchführen müssen. Damit Sie verwaltete Dienstkonten in Domänen mit Windows Server 2003/2008-Domänencontrollern nutzen können, müssen Sie das Schema erweitern. Sie müssen in der Domäne adprep /domainprep ausführen und in der Gesamtstruktur adprep /forestprep. Mindestens ein Domänencontroller muss unter Windows Server 2008 R2 laufen. Adprep.exe finden Sie auf der Windows Server 2008 R2-DVD im Verzeichnis Support\adprep. Bei den Schemaänderungen integriert Windows Server 2008 R2 ein neues Objekt msds-managedserviceaccount. Dieses Benutzerkonto hat die Attribute von Benutzerkonten und von Computerkonten vereint. Das Kennwort des Computers verhält sich wie das Kennwort eines Computerkontos in Active Directory, lässt sich also zentralisiert durch das System selbst steuern. Dies bedeutet, dass das verwaltete Benutzerkonto eines Computers dann aktualisiert wird, wenn Active Directory auch das Kennwort des jeweiligen Computerkontos anpasst, das dem verwalteten Dienstkonto zugewiesen ist. Diese Einstellungen lassen sich auf dem Server in der Registrierungsdatenbank anpassen. Navigieren Sie dazu zum folgenden Schlüssel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetLogon\Parameters Wichtig sind an dieser Stelle die beiden folgenden Werte: DisablePasswordChange Der Wert muss auf 0 oder 1 gesetzt sein. Ist der Wert nicht vorhanden, geht Windows vom Wert 0 aus. MaximumPasswordAge Hier legen Sie einen Wert von 1 bis in Tagen fest. Der Standardwert ist 30, auch wenn der Wert nicht vorhanden ist. Das selbst gesetzte Kennwort hat eine Länge von 240 Zeichen und ist stark verschlüsselt. Außerdem besteht das Kennwort aus verschiedenen Zeichen, lässt sich also nicht erraten oder hacken. Die virtuellen Konten ermöglichen es, dass Dienste mit den Anmeldeinformationen des Computerkontos auf Netzwerkressourcen zugreifen dürfen. Virtuelle Konten liegen nicht in der Domäne, sondern auf dem lokalen Rechner. Der Account nutzt dazu das lokale Computerkonto. Für den Zugriff auf Netzwerkressourcen verwenden Sie am besten verwaltete Dienstkonten. In der Verwaltungskonsole Active Directory-Benutzer und -Computer finden Sie eine neue OU mit der Bezeichnung Managed Service Accounts. Diese OU ist für die Verwaltung der verwalteten Dienstkonten von zentraler Bedeutung. Verwaltete Dienstkonten lassen sich so nutzen, wie die standardmäßig vorhandenen Benutzer. Verwaltete Dienstkonten produktiv einsetzen Sie legen die Dienstkonten am besten über die PowerShell, genauer gesagt über das Active Directory-Modul der PowerShell mit dem Cmdlet new-adserviceaccount "NameAccount" an. Der Ablauf bei der Verwendung von Managed Service Accounts ist: 1. Sie legen das verwaltete Dienstkonto in Active Directory an. 2. Sie verbinden das Konto mit einem einzelnen Computerkonto. Auf dem Computer muss dazu Windows Server 2008 R2 oder Windows 7 installiert sein. 3. Sie installieren das verwaltete Benutzerkonto auf dem Computer. 4. Sie passen die Systemdienste auf dem lokalen Computer an, um das neue Konto zu nutzen. HINWEIS Damit Sie Cmdlets zum Anlegen von neuen verwalteten Dienstkonten nutzen können, müssen Sie entweder direkt das Active Directory-Modul für Windows PowerShell starten, oder Sie laden in einer normalen PowerShell-Sitzung mit import-module ActiveDirectory die entsprechenden Befehle. 490

7 Verwaltete Dienstkonten Managed Service Accounts Ein Beispiel für ein Dienstkonto wäre: New-ADServiceAccount -Name x2k10 -Path "CN=Managed Service Accounts,DC=contoso,DC=com" Hierbei legen Sie ein neues verwaltetes Dienstkonto mit der Bezeichnung x2k10 in der OU Managed Service Accounts in der Domäne contoso.com an. Mit dem folgenden Befehl aktivieren Sie das Dienstkonto auch gleich: New-ADServiceAccount Name <Beliebiger einzigartiger Name> Enabled $true Abbildg Anlegen eines verwalteten Dienstkontos Active Directory Als Nächstes verbinden Sie das erstellte verwaltete Dienstkonto mit einem Computerkonto in Active Directory. Dazu nutzen Sie den folgenden Befehl: Add-ADComputerServiceAccount Identity <Zielcomputer> ServiceAccount <Erstelltes Dienstkonto> Nachdem Sie das Dienstkonto angelegt und zugewiesen haben, installieren Sie es mit dem beschriebenen Cmdlet auf dem Server. Abbildg Installieren des Active Directory-Moduls für Windows PowerShell 491

8 Active Directory Neue Möglichkeiten mit Windows Server 2008 R2 Mit dem Befehl get-adsserviceaccount und dem Filter * lassen Sie sich das installierte Dienstkonto auf dem lokalen Server anzeigen. Auf dem Anwendungsserver, auf dem Sie das verwaltete Dienstkonto verwenden, verwenden Sie das Cmdlet Install-ADServiceAccount "Name des Accounts", um das Konto auf dem Server zu installieren. Auf dem Server muss dazu Active Directory-Modul für Windows PowerShell sowie.net-framework 3.5 installiert sein. Das Modul für die PowerShell installieren Sie als Feature der Remote Server Administration Tools (RSAT). Diese stehen auch für Windows 7 zur Verfügung (siehe Kapitel 8). Nachdem Sie das Dienstkonto erstellt, zugewiesen, auf dem entsprechenden Server das Active Directory-Modul für Windows PowerShell installiert und gestartet haben, installieren Sie das verwaltete Dienstkonto mit dem Befehl Install-ADServiceAccount "Name des Accounts". Installieren kann jeder lokale Administrator das Konto, aber die Verwaltung des Kontos in Active Directory obliegt dem Domänen-Admin. Abbildg Installieren und anzeigen eines verwalteten Dienstkontos auf einem Server TIPP Mit dem Befehl Get-Help New-ADServiceAccount detailed erhalten Sie eine ausführliche Hilfe für das Anlegen von verwalteten Dienstkonten, das gilt auch für Get-Help Get-ADServiceAccount detailed und für Get-Help add-adserviceaccount detailed, sowie für Get-Help remove-adserviceaccount detailed und für Get-Help Set-ADServiceAccount detailed. Auf der Internetseite erhalten Sie ausführliche Informationen zur Syntax der genannten Befehle. Um das Kennwort eines verwalteten Dienstkontos zurückzusetzen, verwenden Sie das Cmdlet: Reset-ADServiceAccountPassword <Name des Kontos> An dieser Stelle können Sie die Eigenschaften der Dienstkonten ändern, die das neue Benutzerkonto des verwalteten Dienstkontos verwenden sollen: 1. Rufen Sie dazu über services.msc die Verwaltung der Dienste auf und dann die Eigenschaften des jeweiligen Diensts. 2. Wechseln Sie zur Registerkarte Anmelden. 3. Aktivieren Sie die Option Dieses Konto. 4. Wählen Sie das verwaltete Dienstkonto in der Domäne aus. 5. Löschen Sie das Kennwort. In diesem Feld müssen sich keine Daten befinden, diese werden im Hintergrund durch Active Directory gepflegt. 6. Bestätigen Sie die Eingabe. 7. Lassen Sie den Dienst neu starten. 492

9 Der Active Directory-Papierkorb im Praxiseinsatz HINWEIS In der PowerShell steuern Sie keine Gruppenmitgliedschaften des Dienstkontos. Diese Mitgliedschaften müssen Sie manuell im Snap-In Active Directory-Benutzer und -Computer vornehmen. Achten Sie auch darauf, dass das verwaltete Dienstkonto für die Verwendung aktiviert werden muss. Abbildg Konfigurieren eines lokalen Dienstkontos zur Verwendung eines verwalteten Dienstkontos Active Directory Zum Löschen eines verwalteten Dienstkontos auf einem Server verwenden Sie das Cmdlet Remove-ADComputerServiceAccount identity <Name des Dienstes>. Der Active Directory-Papierkorb im Praxiseinsatz In der Anleitung in Kapitel 9 haben wir Ihnen bereits gezeigt, wie Sie den Papierkorb in Active Directory aktivieren. Außerdem finden Sie dort eine kurze Anleitung, wie Sie Objekte wiederherstellen können. In den folgenden Abschnitten gehen wir ausführlicher darauf ein, wie Sie Objekte in Active Directory mit Bordmitteln und ohne eine Datensicherung wiederherstellen können. Technische Hintergründe zum Active Directory- Papierkorb Grundlage ist der Papierkorb von Active Directory, den Sie zunächst für die Gesamtstruktur aktivieren müssen (siehe den Abschnitt»Papierkorb für Active Directory und neue Funktionsebene«in Kapitel 9). Der Papierkorb arbeitet zum einen mit dem seit Windows 2000 vorhandenen Wert isdeleted und mit dem neuen Wert isrecycled. Ist der Wert isrecycled für ein Active Directory-Objekt auf True gesetzt, können Sie dieses nicht wiederherstellen. Nur Objekte, bei denen isdeleted auf True gesetzt ist, lassen sich wiederherstellen. Objekte lassen sich innerhalb des Tombstone-Lifetime wiederherstellen. Dieser beträgt bei Windows Server 2008 R2 180 Tage. Sie finden den jeweiligen Wert für Ihr Active Directory am besten in ADSI-Edit über den Container Konfiguration. 493

10 Active Directory Neue Möglichkeiten mit Windows Server 2008 R2 Abbildg Überprüfen, ob der Active Directory-Papierkorb für die Gesamtstruktur aktiviert ist Abbildg Laden des Konfigurationscontainers von Active Directory Navigieren Sie zu Konfiguration/Configuration/Services/Windows NT/Directory Service und rufen Sie die Eigenschaften von Directory Service auf. Den Tombstone-Wert finden Sie auf der Registerkarte Attribut-Editor beim Wert tombstonelifetime. Sie können den Wert zwar an dieser Stelle anpassen, was allerdings in den wenigsten Fällen notwendig ist. Sobald Sie ein Objekt in Active Directory löschen, erhält dieses bei isdeleted den Wert True zugewiesen und ist in Active Directory nicht mehr verfügbar, lässt sich aber noch wiederherstellen. Der Zeitraum, in dem Sie das Objekt durch isdeleted auch wiederherstellen können, bezeichnet Microsoft als Deleted Object Lifetime (DOL). Diesen Wert, der ebenfalls 180 Tage beträgt, finden Sie über msds-deletedobjectlifetime. Nach 180 Tagen, festgelegt durch den DOL, erhält das Objekt den Wert True bei isrecycled und ist nicht mehr wiederherstellbar. Ist auch der Tombstone-Lifetime abgelaufen, wird das Objekt komplett aus der Datenbank gelöscht. Da beide Werte identisch sind, wird das Objekt nach 180 Tagen standardmäßig aus der Datenbank gelöscht. 494

11 Der Active Directory-Papierkorb im Praxiseinsatz Abbildg Anzeigen des tombstonelifetime für eine Gesamtstruktur Active Directory Objekte aus dem Active Directory-Papierkorb mit Bordmitteln wiederherstellen Um gelöschte Objekte wiederherzustellen, verwenden Sie am besten das PowerShell-Modul für Active Directory. Sie benötigen vor allem die beiden Cmdlets Get-ADObject und Restore-ADObject: 1. Klicken Sie auf Start/Verwaltung und dann mit der rechten Maustaste auf Active Directory-Modul für Windows PowerShell. Wählen Sie Als Administrator ausführen. 2. Geben Sie in der Eingabeaufforderung den Befehl Get-ADObject Filter {<Name des Objekts>} IncludeDeletedObjects Restore-ADObject ein. Wenn Sie zum Beispiel das Benutzerkonto mit dem Anzeigenamen»Thomas Joos«wiederherstellen wollen, geben Sie Get-ADObject Filter {displayname eq "Thomas Joos"} IncludeDeletedObjects Restore-ADObject ein. Handelt es sich bei dem Objekt, das Sie wiederherstellen wollen, um ein untergeordnetes Objekt, müssen Sie zunächst alle Objekte herstellen, die dem Objekt übergeordnet sind, wenn diese ebenfalls gelöscht wurden. Ansonsten bricht die Wiederherstellung untergeordneter Objekte mit einem Fehler ab. Mit dem Befehl Get-ADObject Filter {displayname eq "Thomas Joos"} IncludeDeletedObjects lassen Sie sich gelöschte Objekte mit dem passenden Namen zunächst anzeigen. 495

12 Active Directory Neue Möglichkeiten mit Windows Server 2008 R2 Abbildg Fehler beim Versuch, ein untergeordnetes Objekt wiederherzustellen und Anzeigen von gelöschten Objekten Haben Sie zum Beispiel eine OU mit Benutzerkonten gelöscht, müssen Sie erst die OU und dann die einzelnen Benutzerkonten wiederherstellen. Mit Get-ADObject zeigen Sie die Objekte an und übergeben diese mit dem Pipelinezeichen ( ) an das Cmdlet Restore-ADObject. Kennen Sie die ursprüngliche Hierarchie der Organisationseinheit nicht, müssen Sie mit dem Cmdlet Get-ADObject die Hierarchie erst wieder herausfiltern: Get-ADObject SearchBase "CN=Deleted Objects,DC=contoso,DC=com" ldapfilter:"(msdslastknownrdn=thomas Joos)" IncludeDeletedObjects Properties lastknownparent Dieser Befehl gibt auch übergeordnete Objekte des gelöschten Objekts an. Abbildg Anzeigen von übergeordneten Objekten eines gelöschten Objekts Mit Get-ADObject SearchBase "CN=Deleted Objects,DC=contoso,DC=com" Filter {lastknownparent eq 'OU=Einkauf\\0ADEL:26e19d03-80db-4c9c-b7dd-e e0,CN=Deleted Objects,DC=contoso,DC=com'} IncludeDeletedObjects Properties lastknownparent ft lassen Sie sich alle untergeordneten Objekte in der besagten OU anzeigen. Den Namen verwenden Sie aus der vorangegangenen Verwendung von Get-ADObject SearchBase "CN=Deleted Objects,DC=contoso,DC=com" ldapfilter:"(msdslastknownrdn=thomas Joos)" IncludeDeletedObjects Properties lastknownparent 496

13 Der Active Directory-Papierkorb im Praxiseinsatz Abbildg Anzeigen und verwenden eines übergeordneten Objekts Sie müssen bei der Verwendung im Cmdlet Get-ADObject unbedingt einen weiteren umgekehrten Schrägstrich im Namen verwenden. Sie müssen also zunächst die Organisationseinheit Einkauf wiederherstellen, bevor Sie das untergeordnete Objekt Thomas Joos wiederherstellen können. Da alle bisherigen Untersuchungen mit dem lastknownparent-attribut durchgeführt wurden, das auf das direkt übergeordnete Objekt verweist, aber nicht angibt, ob das nächste übergeordnete Objekt ebenfalls gelöscht wurde, müssen Sie mit dem Wert lastknownparent überprüfen, ob Einkauf nicht noch einer weiteren Organisationseinheit untergeordnet ist, die ebenfalls gelöscht wurde: Active Directory Get-ADObject SearchBase "CN=Deleted Objects,DC=contoso,DC=com" ldapfilter:"(msdslastknownrdn=einkauf)" IncludeDeletedObjects Properties lastknownparent Abbildg Anzeigen der übergeordneten OU einer OU Im Beispiel sehen Sie, dass die OU Einkauf direkt in der Domäne contoso.com angelegt ist, also keine weitere Organisationseinheit gelöscht wurde. Es reicht also, wenn Sie die OU Einkauf wiederherstellen um das Objekt Thomas Joos wiederherzustellen: Get-ADObject ldapfilter:"(msds-lastknownrdn=einkauf)" IncludeDeletedObjects Restore-ADObject Öffnen Sie das Snap-In Active Directory-Benutzer und -Computer und aktualisieren Sie die Ansicht mit (F5). Die OU sollte jetzt wieder vorhanden sein. 497

14 Active Directory Neue Möglichkeiten mit Windows Server 2008 R2 Abbildg Wiederherstellen einer OU Der Befehl stellt allerdings nur die OU, nicht die gelöschten Objekte innerhalb der OU wieder her. Diese müssen Sie manuell herstellen, zum Beispiel mit: Get-ADObject -SearchBase "CN=Deleted Objects,DC=contoso,DC=com" Filter {lastknownparent -eq "OU=Einkauf,DC=contoso,DC=com"} IncludeDeletedObjects Restore-ADObject Abbildg Wiederherstellen eines untergeordneten Objekts in einer Domäne Die Lebensdauer des gelöschten Objekts wird vom Wert des msds-deletedobjectlifetime-attributs bestimmt. Die Lebensdauer eines veralteten Objekts wird vom Wert des tombstonelifetime-attributs bestimmt. Standardmäßig sind diese Attribute auf NULL festgelegt, das heißt, die Lebensdauer des veralteten Objekts beträgt 180 Tage. Sie können die Werte von msds-deletedobjectlifetime und tombstonelifetime jederzeit ändern. Innerhalb der Lebensdauer des gelöschten Objekts können Sie ein gelöschtes Objekt wiederherstellen. In der Active Directory-Datenbank wird beim Löschen eines Objekts das Attribut isdeleted auf den Wert TRUE gesetzt. Das 498

15 Der Active Directory-Papierkorb im Praxiseinsatz gelöschte Objekt wird in den versteckten Container Deleted Objects verschoben und sein Distinguished Name (DN) erhält dadurch einen neuen Wert. Die Deleted Object Lifetime wird durch den Wert im Attribut msds- DeletedObjectLifetime bestimmt. Ist die Zeit des im Attribut msds-deletedobjectlifetime definierten Werts abgelaufen, wandelt sich das logisch gelöschte Objekt zum recycled Objekt. TIPP Objekte aus Active Directory wiederherstellen mit AdRestore Das Löschen von Konten in Active Directory ist schnell passiert und kann unangenehme Auswirkungen haben. Die Wiederherstellung mit Bordmitteln kann aufwändig und zeitintensiv sein. Vor allem ungeübte Administratoren können mit solchen Vorgängen sehr schnell mehrere Stunden oder einen ganzen Tag verbringen. Für genau solche Fälle gibt es das Tool AdRestore von Sysinternals ( Zwar steht Windows Server 2008 R2 noch nicht auf der Liste der unterstützten Betriebssysteme, aber die Wiederherstellung funktioniert problemlos. Mit dem Tool werden gelöschte Objekte ohne die Verwendung der Active Directory-Datensicherung wiederhergestellt. Das Tool macht sich dazu die gleiche automatische Sicherungsfunktion in Active Directory zunutze wie der Papierkorb: Ein gelöschtes Objekt kann in Active Directory innerhalb eines gewissen Zeitraums wiederhergestellt werden. Es befindet sich im Papierkorb der Active Directory-Datenbank, aus dem es wiederhergestellt werden kann. Das Tool reanimiert nur den Tombstone selbst, stellt aber keine weiteren Daten wieder her. Dadurch fehlen die erweiterten Namensfelder, die Adressinformationen und Organisationsdaten, und vor allem die Gruppenmitgliedschaften. Es ist also Handarbeit angesagt, die fehlenden Einträge wiederherzustellen. Die wichtigsten Daten und vor allem die SID sind nach der Wiederherstellung aber wieder verfügbar. Die Wiederherstellung der Objekte durch AdRestore erfolgt über die Befehlszeile. Wenn Sie das Tool ohne weitere Optionen aufrufen, zeigt es die gelöschten Objekte an, die es wiederherstellen kann. Mit der Option r stellen Sie Objekte wieder her. Dabei ist die Syntax recht einfach: adrestore r <Name oder Teil des Namens>. Das Objekt befindet sich anschließend wieder auf dem Domänencontroller. Damit das Objekt auch im kompletten Active Directory wieder verfügbar ist, müssen Sie eine Replikation starten. Active Directory Abbildg Wiederherstellen gelöschter Objekte über AdRestore 499

16 Active Directory Neue Möglichkeiten mit Windows Server 2008 R2 Zusammenfassung In diesem Kapitel sind wir auf die praktischen Hintergründe der neuen Funktionen von Active Directory in Windows Server 2008 R2 eingegangen. Hier haben Sie erfahren, wie Sie mit verwalteten Dienstkonten das Netzwerk absichern oder mit dem neuen Active Directory-Papierkorb und Zusatztools Objekte wiederherstellen. Im nächsten Kapitel gehen wir auf Erweiterungsmöglichkeiten von Active Directory und auf schreibgeschützte Domänencontroller (RODC) ein. 500