Active Directory

    Snapshots vom Active Directory erstellen, mounten und analysieren

    Active-Directory-Snapshots ThumbnailDie Möglichkeit, vom Active Directory Snapshots anzufertigen, gibt es neu seit Windows Server 2008. Analog zu einem Snapshot vom Dateisystem wird damit eine Kopie der AD-Datenbank mit allen Objekten erstellt. Damit kann man etwa alte AD-Datenbankstände einsehen und den Status von Objekten und deren Attributen über die Zeit nachverfolgen, also Vorher-Nachher-Vergleiche anstellen. Nicht möglich ist es, den kompletten AD-Stand aus einem Snapshot zu rekonstruieren.

    Active-Directory-Papierkorb: Gelöschte Objekte wiederherstellen

    AD Recycle BinSeit Windows Server 2008 R2 gibt es einen Papier­korb für AD-Objekte. Er erlaubt es, ver­sehent­lich gelöschte Objekte im laufenden Betrieb wieder­her­zustellen, das heißt ohne einen Domain Controller für eine autori­sierende Wieder­her­stellung von Objekten aus dem AD-Backup offline nehmen oder eine Tombstone-Reani­mation durch­führen zu müssen. Letztere erfordert zwar keine Downtime, ist aber nicht zuver­lässig, da Attribute verloren­gehen können.

    Domain Controller virtualisieren – ja oder nein?

    FSMO thumbnail © MicrosoftMit immer leistungs­fähiger Hardware, immer mehr Funktionen sowohl in der Virtualisierungs­software selbst als auch in Management-, Backup- und sonstigen unterstützenden Tools von Drittanbietern sollten eigentlich im Bereich der Server-Virtualisierung alle Signale auf Grün stehen. Es gibt aber einige Aspekte, die bei Domain Controllern (DCs) einer allzu vorschnellen Virtualisierung entgegenstehen.

    Die FSMO-Rollen im Active Directory

    FSMO thumbnail © MicrosoftDie Informationen in einem Active Directory werden nach dem Multi-Master-Prinzip repliziert. Das bedeutet, jeder DC darf gleichberechtigt AD-Objekte hinzufügen, löschen oder modifizieren, und die anderen übernehmen diese Änderungen jeweils. Treten dabei Konflikte auf, gilt das Prinzip des „last writer wins“: Der letzte Schreibvorgang ist gültig, alle anderen werden verworfen.

    Active Directory auf Windows Server 2008 R2 aktualisieren

    Active Directory SymbolWenn Microsoft neue Active-Directory-Funktionen vorstellt wie etwa den Papierkorb für das Active Directory, reißt das Admini­stratoren nicht unbedingt von Hocker. Das liegt nicht daran, dass diese Funktionen schlecht oder unnötig wären. Neue AD-Funktionen bedeuten nämlich, dass man die Funktions­ebene seiner Domain oder seiner Ge­samt­struk­tur anheben muss.

    Die Active-Directory-Rechteverwaltungsdienste

    AD RMSDie Active-Directory-Rech­te­ver­wal­tungsdienste (AD Rights Management Services, RMS) schaffen eine Infrastruktur, um Rechte an Dokumenten zu vergeben. Diese sind dateisystemunabhängig, halten also auch dann vor, wenn der Benutzer das Dokument etwa auf einen per (ex-)FAT formatierten USB-Stick verschiebt. Außerdem sind sie feiner granulierbar, als dies alleine per Zu­griffs­be­rech­ti­gungen auf Dateien und Ordner im Active Directory möglich wäre: Nur per Zu­griffs­be­rech­ti­gung ließe sich beispielsweise nicht verhindern, dass eine berechtigte Person ein Dokument an eine unberechtigte weitergibt.