ADSI Edit nutzen

Die meisten Aufgaben bei der Verwaltung des Active Directory lassen sich mit Hilfe der Standardwerkzeuge umsetzen, aber es gibt auch Ausnahmen. Hier greift ADSI Edit als eines der interessantesten Werkzeuge für das Management des Active Directory, bei ADAM (Active Directory Application Mode) ist es sogar unerlässlich. Wie Sie das Tool nutzen, zeigt Ihnen der vorliegende Beitrag.

Nicht alle Arbeiten bei der Verwaltung des Active Directory lassen sich mit den Standardwerkzeuge Active Directory-Benutzer und -Computer und Active Directory-Domänen und -Vertrauensstellungen umsetzen. Zu den Ausnahmen gehört die Änderung von Attributwerten, für die es keine anderen Schnittstellen gibt. Nach Ablauf eines Intervalls etwa werden als gelöscht markierte Einträge endgültig aus dem Active Directory gelöscht und können damit nicht mehr wieder hergestellt werden. Es gibt aber auch einige Artikel in der Knowledge Base von Microsoft, in denen Fehlerkorrekturen über ADSI Edit erläutert werden. Für Änderungen bei ADAM ist ADSI Edit ohnehin unerlässlich. Und ganz abgesehen davon ist ADSI Edit auch ein Werkzeug, um sich einfach mal etwas tiefer mit den Strukturen des Active Directory vertraut zu machen.

Bild 1: ADSI Edit mit den verschiedenen Partitionen eines Domänencontrollers.
Bild 1: ADSI Edit mit den verschiedenen Partitionen eines Domänencontrollers.
Bild 2: Die Einstellung zu Verbindungen.
Bild 2: Die Einstellung zu Verbindungen.

Die Grundstruktur

Nach dem Start von ADSI Edit auf einem Domänencontroller werden gleich die Partitionen angezeigt, die auf diesem gespeichert sind. Im einfachsten Fall sind das drei Partitionen:

  • Domain mit den Informationen zur Domäne.

  • Configuration mit den Konfigurationsinformationen des Active Directory-Forests.

  • Schema mit dem Schema des Active Directory-Forests.

Je nach Konfiguration des Domänencontrollers können aber auch noch weitere Partitionen vorhanden sein. Zum einen kann auf Partitionen für Domänen auf Global Catalog-Servern zugegriffen werden, die ja jeweils einen Teil der Informationen von anderen Domänen speichern. Zum anderen gibt es ab dem Windows Server 2003 auch zwei spezielle Partitionen für DNS-Informationen und die Option, mit weiteren Anwendungsverzeichnispartitionen zu arbeiten. Diese zusätzlichen Partitionen werden allerdings von ADSI Edit nicht automatisch erkannt.

Nach dem Aufruf ist daher der erste Schritt, die Partitionen einzublenden, die benötigt werden. Dazu wird der Befehl Connect to beim Knoten ADSI Edit verwendet. Das angezeigte Dialogfeld bietet mehrere Optionen:

  • Bei Name wird der Name der Verbindung angegeben, der angezeigt werden soll. Die Standardnamen sind beispielsweise Domain und Configuration.

  • Der Connection Point legt fest, mit welchem Bereich des Active Directory die Verbindung erfolgt. Hier können Sie einen der vordefinierten Namen wie Domain, Schema, Configuration oder RootDSE auswählen. RootDSE stellt die Standardinformationen bereit, die einen LDAP-Server identifizieren. Sie können aber auch einen Kontext eingeben. Um eine Verbindung zu der Partition DomainDnsZones herzustellen, müssen Sie beispielsweise dc=domaindnszones,dc=domaene, dc=topleveldomaene angeben, also beispielsweise dc=domaindnszones,dc=windowstest, dc=intra. Analog verfahren Sie auch bei der Partition ForestDnsZones.

  • Im unteren Bereich können Sie einen Serverangeben oder auf das lokale System zugreifen. Das ist vor allem interessant, um sich Daten von anderen Domänencontrollern anzeigen zu lassen.

Weitere Optionen finden Sie nach Auswahl von Advanced. Dort können Sie einen Benutzernamen und das Kennwort für die Authentifizierung festlegen, die Portnummer angeben und zwischen dem Zugriff auf die LDAP- und die Global Catalog-Ports wechseln (Bild 3).

Bild 3: Die erweiterten Optionen für die Verbindungsherstellung.
Bild 3: Die erweiterten Optionen für die Verbindungsherstellung.

Die verschiedenen Partitionen werden jeweils in einer Baumstruktur dargestellt. Sie können durch diese navigieren und bis zu den einzelnen Objekten navigieren.