Seite 2 - Die besten Tricks für das Active Directory (1)
Mehr Effizienz durch die PowerShell
Um Active Directory-Objekte in der PowerShell abzurufen, stellt Microsoft zahlreiche neue Cmdlets zur Verfügung. Eine Liste erhalten Sie am schnellsten über den Befehl Get-Command Get-Ad*. Um neue Objekte zu erstellen, gibt es ebenfalls zahlreiche neue Cmdlets. Die Aufzählung dazu erhalten Sie durch Eingabe von Get-Command New-Ad*. Eine Aufstellung mit Befehlen zum Löschen von Objekten zeigt die PowerShell mit Get-Command Remove-Ad*. Änderungen an Active Directory-Objekten nehmen Sie mit Set-Cmdlets vor. Eine Übersicht bringen Sie mit Get-Command Set-Ad* auf den Bildschirm.
Neu im unteren Bereich des Active Directory-Verwaltungscenters ist die Windows PowerShell-History. Diese bietet Power-Shell-Befehle als Protokoll an. Dazu müssen Sie nur auf den Link klicken und sehen alle durchgeführten Aufgaben auf der grafischen Oberfläche als Befehl für die PowerShell. Dieses Fenster gilt aber nicht nur als Protokoll – Sie können aus dem Fenster auch Befehle für Skripte herauskopieren.
Ebenfalls eine Funktion seit der PowerShell 3.0 ist das Cmdlet "Show-Command". Dieses blendet ein neues Fenster mit allen Befehlen ein, die in der PowerShell verfügbar sind. Sie können im Fenster nach Befehlen suchen und sich eine Hilfe und Beispiele anzeigen lassen. Außerdem können Sie hier Kommandos zusammenbauen und ausführen lassen.
Nicht alle Cmdlets eignen sich für eine Remote-Verwaltung von Servern. Hier können Sie vor allem die Kommandos nutzen, die über die Option "-ComputerName" verfügen. Um sich alle Cmdlets anzeigen zu lassen, die diese Option unterstützen, also Server auch über das Netzwerk verwalten können, hilft der Befehl Get-Help * -Parameter ComputerName.
Haben Sie das Active Directory installiert, stehen auch in Windows Server 2012 R2 die bekannten Tools Dcdiag, Repadmin und Konsorten zur Analyse zur Verfügung. Für die Namensauflösung können Sie weiterhin Nslookup verwenden oder die neuen Cmdlets zur Verwaltung von DNS, zum Beispiel "Resolve-DnsName".
Bild 1: Das Testen eines Servers für die Installation des Active Directory funktioniert am schnellsten über die PowerShell.
Damit Sie die Befehle ausführen können, müssen Sie an verschiedenen Stellen noch Kennworte eingeben. Diese akzeptiert das entsprechende Cmdlet aber nur als sichere Eingabe. Ein Beispiel hierfür ist:
Test-ADDSDomainControllerInstallation -Domainname {DNS-Name der Domäne} -SafeModeAdministratorPassword (read-host -prompt {Kennwort} -assecurestring)
Um zum Beispiel einen neuen Domänencontroller zu installieren, verwenden Sie das Cmdlet "Install-ADDSDomainController". Damit der Befehl funktioniert, geben Sie den Namen der Domäne ein und konfigurieren das Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus als SecureString:
Install-ADDSDomainController -Domainname {DNS-Name der Domäne} -SafeModeAdministratorPassword (read-host -prompt Kennwort -assecurestring)
Der Befehl fragt nach dem Kennwort für den Verzeichnisdienst-Wiederherstellungsmodus und speichert es als sichere Zeichenfolge ab. Sie können natürlich alle notwendigen Optionen für die Installation im Cmdlet angeben, zum Beispiel noch die Installation von DNS oder die Funktionsebene von Domäne und Gesamtstruktur. Dazu verwenden Sie zum Beispiel die Befehle / Schalter:
- ForestMode {Win2003 | Win2008 | Win2008R2 | Win2012}
- DomainMode {Win2003 | Win2008 | Win2008R2 | Win2012}
- InstallDNS {$false | $true}
- SafeModeAdministratorPassword {Kennwort}
Domänencontroller können Sie auch mit Hilfe der PowerShell an neue Standorte verschieben mit
Get-ADDomainController {Name des Servers} | Move-ADDirectoryServer -Site {Name des Standorts}
und die Replikationsverbindungen in der PowerShell anzeigen. Dazu verwenden Sie den Befehl get-adreplicationconnection. Ausführliche Informationen zu den einzelnen Standorten bringen Sie mit Get-ADReplicationSite -Filter * auf den Schirm. Um nur die Namen zu erhalten, verwenden Sie Get-ADReplicationSite -Filter * | ft Name, zu einer Liste der Domänencontrollern und Standorten kommen Sie mit Get-ADDomainController -Filter * | ft Hostname, Site.
Falls Replikationsprobleme im Active Directory auftreten, sollten Sie zunächst sicherstellen, dass die Domänencontroller mit Problemen bei der Replikation für den richtigen Standort konfiguriert sind. Zu diesem Weg geben Sie in der Eingabeaufforderung den Befehl nltest /dsgetsite ein. In der Anzeige sehen Sie, welchem Standort der Domänencontroller zugewiesen ist, und ob er seinen Standort auch erkennt.
Objekte schützen und wiederherstellen
In Windows Server 2012 R2 sind Active Directory-Objekte vor dem versehentlichen Löschen geschützt. Dieser Schutz ist standardmäßig aktiviert. Nachdem Sie über das Menü "Ansicht" in "Active Directory-Benutzer und -Computer" die erweiterte Ansicht aktiviert haben, finden Sie auf der Registerkarte "Objekt" das Kontrollkästchen "Objekt vor zufälligem Löschen schützen". Diese Option steuert die Berechtigungen auf der Registerkarte "Sicherheit". Der Gruppe "Jeder" wird der Eintrag "Löschen" verweigert. Dies äußert sich darin, dass ein Administrator vor dem Löschen eines solchen geschützten Objektes zunächst das Kontrollkästchen zu dieser Option deaktivieren muss, bevor er das Objekt entfernen kann.
Seite 1: Active Directory von Installationsmedium installieren
Seite 2: Mehr Effizienz durch die PowerShell
Seite 3: Objekte schützen und wiederherstellen
<< Vorherige Seite | Seite 2 von 3 | Nächste Seite >> |
ln/Thomas Joos