Windows Server 2008 (R2) bringt die Mittel mit, um Snapshots vom Active Directory zu erstellen und miteinander oder mit dem Live-AD zu vergleichen, doch sonderlich handlich ist die Methode mit ntdsutil.exe nicht.
Die Möglichkeit, vom Active Directory Snapshots anzufertigen, gibt es neu seit Windows Server 2008. Analog zu einem Snapshot vom Dateisystem wird damit eine Kopie der AD-Datenbank mit allen Objekten erstellt. Damit kann man etwa alte AD-Datenbankstände einsehen und den Status von Objekten und deren Attributen über die Zeit nachverfolgen, also Vorher-Nachher-Vergleiche anstellen. Nicht möglich ist es, den kompletten AD-Stand aus einem Snapshot zu rekonstruieren.
Das Monitoring von IT-Ressourcen gehört zu den gängigen Aufgaben der Systemverwaltung. Die mittlerweile sehr mächtigen Tools und die unterschiedlichen Strategien der Hersteller sorgen jedoch oft für Verwirrung. Das E-Book Network Monitoring For Dummies erläutert die wichtigsten Konzepte und Aspekte.*
Der Domänen-Administrator kann einen entscheidenden Einfluss darauf nehmen, welche Passwörter in der Domäne verwendet werden können, wie oft sie gewechselt werden müssen und welche Richtlinien dabei gelten.
..png)
Seit Windows Server 2008 R2 gibt es einen Papierkorb für AD-Objekte. Er erlaubt es, versehentlich gelöschte Objekte im laufenden Betrieb wiederherzustellen, das heißt ohne einen Domain Controller für eine autorisierende Wiederherstellung von Objekten aus dem AD-Backup offline nehmen oder eine Tombstone-Reanimation durchführen zu müssen. Letztere erfordert zwar keine Downtime, ist aber nicht zuverlässig, da Attribute verlorengehen können.
Mit immer leistungsfähiger Hardware, immer mehr Funktionen sowohl in der Virtualisierungssoftware selbst als auch in Management-, Backup- und sonstigen unterstützenden Tools von Drittanbietern sollten eigentlich im Bereich der Server-Virtualisierung alle Signale auf Grün stehen. Es gibt aber einige Aspekte, die bei Domain Controllern (DCs) einer allzu vorschnellen Virtualisierung entgegenstehen.
Das Schema eines Active Directory ist ein Regelsatz, der alle Objektklassen und ihre Attribute definiert, also etwa Benutzer, Gruppen, Computer, Drucker, Domänen, OUs usw.
Die Informationen in einem Active Directory werden nach dem Multi-Master-Prinzip repliziert. Das bedeutet, jeder DC darf gleichberechtigt AD-Objekte hinzufügen, löschen oder modifizieren, und die anderen übernehmen diese Änderungen jeweils. Treten dabei Konflikte auf, gilt das Prinzip des „last writer wins“: Der letzte Schreibvorgang ist gültig, alle anderen werden verworfen.
Wenn Microsoft neue Active-Directory-Funktionen vorstellt wie etwa den Papierkorb für das Active Directory, reißt das Administratoren nicht unbedingt von Hocker. Das liegt nicht daran, dass diese Funktionen schlecht oder unnötig wären. Neue AD-Funktionen bedeuten nämlich, dass man die Funktionsebene seiner Domain oder seiner Gesamtstruktur anheben muss.
Dass man laufende Datenbanken wie etwa Exchange oder SQL nicht per Snapshot abbilden und von einem solchen Abbild wiederherstellen soll, ist allgemein bekannte Best Practice. Die Begründung liegt auf der Hand: Datenbanken speichern nicht alle Änderungen sofort, sondern schreiben sie zunächst in ein Transaktionslog oder Journal.
Die Active-Directory-Rechteverwaltungsdienste (AD Rights Management Services, RMS) schaffen eine Infrastruktur, um Rechte an Dokumenten zu vergeben. Diese sind dateisystemunabhängig, halten also auch dann vor, wenn der Benutzer das Dokument etwa auf einen per (ex-)FAT formatierten USB-Stick verschiebt. Außerdem sind sie feiner granulierbar, als dies alleine per Zugriffsberechtigungen auf Dateien und Ordner im Active Directory möglich wäre: Nur per Zugriffsberechtigung ließe sich beispielsweise nicht verhindern, dass eine berechtigte Person ein Dokument an eine unberechtigte weitergibt.