Schema-Änderungen im Active Directory

Andreas Kroschel, 01.07.2010
Tags: , , ,
I like Google Plus

AD-Schemaänderung ThumbnailDas Schema eines Active Directory ist ein Regelsatz, der alle Objektklassen und ihre Attribute definiert, also etwa Benutzer, Gruppen, Computer, Drucker, Domänen, OUs usw. Das Schema unmittelbar nach dem Aufsetzen einer neuen Gesamtstruktur enthält die für den AD-Betrieb nötigen Objektklassen per Voreinstellung, es ist jedoch erweiterbar, sowohl was die Objektklassen an sich als auch deren Attribute betrifft. Die Installation eines Exchange-Servers etwa bringt umfangreiche Schema-Änderungen mit sich, angefangen von einem Postfach pro User-ID bis hin zu dessen Profilphoto.

Schema-Änderungen ermöglichen per regsvr32.exe

Vor manuellen Schema-Änderungen muss man zunächst eine DLL in Windows registrierenAuch als Administrator kann man das Schema verändern, doch nicht ohne weiteres. Fehlerhafte Änderungen der im Schema hinterlegten Definitionen sind ein potentieller Single Point Of Failure nicht nur der Domäne, sondern der Gesamtstruktur. Die zuständige DLL ist deshalb als Voreinstellung nicht in Windows registriert, man muss dies erst per Eingabeaufforderung im Verzeichnis %SystemRoot%\System32 mittels des Befehls

regsvr32.exe schmmgmt.dll

selbst tun. Danach steht in der MMC das Snap-In „Active Directory-Schema“ zur Verfügung. Damit man das Schema wirklich ändern kann, muss der Schema-Master erreichbar sein, da es sich hierbei um eine FSMO-Rolle handelt.

Schema-Änderungen rückgängig machen

Einmal am Schema vorgenommene Änderungen bleiben permanent und können nicht wieder zurückgenommen werden. Das Schema schützt sich insofern selbst, als dass keine Objektklassen oder Attribute gelöscht werden können, hinzugefügte bleiben aber für immer erhalten. Auch die autorisierende Wiederherstellung eines DCs oder des Schema-Masters hilft hier nicht, da sie nur die Objekte selbst, nicht deren Klassen und Attribute erfasst.

Die einzige Möglichkeit, das Schema auf einen früheren Stand zurückzusetzen, besteht im Neuaufbau der Gesamtstruktur, einem Prozess, der Downtime bedeutet und dessen Details Microsoft in einem 58seitigen Dokument beschreibt. Grob sind dazu folgende Schritte nötig:

  • Alle DCs in der Gesamtstruktur vom Netz trennen ,
  • AD auf einem DC der Root-Domäne der Gesamtstruktur von einem Backup vor der Schema-Änderung wiederherstellen,
  • die Hierarchie hinunter pro Domäne das AD auf einem DC von einem Backup wiederherstellen,
  • wiederhergestellte DCs wieder online bringen,
  • wiederhergestellte DCs zu GC-Haltern machen,
  • die Hierarchien hinunter sukzessive alle DCs in allen Domänen wiederherstellen, allerdings nicht vom Backup, sondern durch Replikation (Neuinstallation der AD-Domänendienste).

Insgesamt hat das Verfahren nichts mehr mit planmäßiger Administration zu tun, sondern es handelt sich hier um Disaster Recovery. Selbstverständlich empfiehlt sich statt eines solchen Szenarios der Einsatz von Virtualisierungstechnik, um sämtliche Schema-Änderungen zunächst gründlich zu testen, bevor man sie einem produktiven Active Directory appliziert.

Keine Kommentare

Kommentar hinzufügen

Der Inhalt dieses Feldes wird nicht öffentlich zugänglich angezeigt. Wenn mit der von Ihren angegebenen Mail-Adresse ein Gravatar verknüpft ist, dann wird dieser neben Ihrem Kommentar eingeblendet.
  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • Zulässige HTML-Tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Zeilen und Absätze werden automatisch erzeugt.
  • Mail-Adressen werden im Seitenquelltext unkenntlich gemacht, um sie vor dem automatischen Erfassen durch Spammer zu schützen.

Weitere Informationen über Formatierungsoptionen