Windows Server Praxis
Workshop ntdsutil: Handwerkszeug fürs Active Directory
Die Microsoft-Ingenieure haben mit Windows Server 2008 und noch einmal mit dem Nachfolger-Update Windows Server 2008 R2 eine ganze Reihe von neuen Features, Erweiterungen und Verbesserungen rund um den Verzeichnisdienst Active Directory (AD) zur Verfügung gestellt (siehe auch Active Directory mit Windows Server 2008 R2).
Doch neben den oft beschriebenen neuen Fähigkeiten, wie etwa dem Einsatz eines Read-Only-Domänen-Controllers (RODC) sind es im täglichen Betrieb doch eher die erweiterten Fähigkeiten der kleinen Werkzeuge, die einen Systemverwalter interessieren und ihm helfen, seine Arbeit leichter zu bewältigen.
ntdsutil - mächtiges Befehlszeilenprogramm für den Profi
Mit dem Kommandozeilenwerkzeug ntdsutil steht ein mächtiges Programm zur Verfügung, mit dessen Hilfe viele Aspekte des Verzeichnisdienstes AD direkt verwaltet und betreut werden können. Es kann sowohl zu reinen Verwaltung der Active-Directory-Datenbank eingesetzt werden als auch zum Verwalten und Steuern von Einzelmaster-Betriebsfunktionen sowie zum Löschen von Metadaten auf Domänencontrollern, die ohne ordnungsgemäße Deinstallation aus dem Netzwerk entfernt wurden. Auch das Erstellen von Anwendungsverzeichnispartitionen ist mit diesem Programm möglich.
Allerdings weist Microsoft auf den entsprechenden Seiten im Technet auch deutlich darauf hin, dass es sich hier um Werkzeug handelt, das nur von erfahrenen Administratoren angewendet werden sollte. Die Erweiterungen, die Microsoft diesem Programm mit Windows Server 2008 spendiert hat, können deshalb gerade dem IT-Profi wertvolle Hilfestellung bieten.
- Workshop ntdsutil
Der erste Schritt zum Snapshot mittel ntdsutil: Durch diesen Aufruf wird zunächst einmal die Instanz des Verzeichnisses angegeben, von dem dann daran anschließend der Schnappschuss erstellt werden soll. - Workshop ntdsutil
Ein Snapshot wird auf dem Domänen-Controller erstellt. Solche Schnappschüsse können dann beispielsweise im direkten Zusammenhang mit der Wiederherstellung von gelöschten AD-Objekten verwendet werden. - Workshop ntdsutil
Install from Media (IFM im Einsatz): Dieses Beispiel erzeugt eine komplette IFM-Sicherung (ohne SYSVOL) und legt diese dann im Verzeichnis „test“ ab. - Workshop ntdsutil
Der Datensatz für das entsprechende Medium wurde erstellt: Nach dem Lauf von IFM stehen die Daten in zwei Verzeichnissen zur Verfügung. - Workshop ntdsutil
Ein Eingriff im Bereich der Sicherheit: Mittels der Option „DS Behavior“ wird es möglich, das Zurücksetzen des Kennwortes über ein ungesichertes Netzwerk zu erlauben. - Workshop ntdsutil
Der mittel „DS Behavior“ erlaubt Zugriff über ein ungesichertes Netzwerk sollte nur temporär gewährt und danach mittels dieses Befehls wieder aufgehoben werden. - Workshop ntdsutil
Die „Local Roles“-Option: Mit ihrer Hilfe können auf einem Read-Only Domänen-Controller lokale Rollen definiert und zugewiesen werden. - Workshop ntdsutil
Eine weitere Funktion von ntdsutil: Mittels des Partion Managements können auch die sogenannten Anwendungsverzeichnispartitionen bearbeitet und verwaltet werden.
Dazu gehören insgesamt sechs Verbesserungen beziehungsweise Funktionalitäten: Snapshots einschließlich Activate Instance, die Installation von einem Medium (IFM - Installation from Media), das sogenannte DS Behavior (Verzeichnisdienstverhalten), lokale Rollen und das Partition-Management. Wir stellen diese Neuerung einzeln vor und zeigen auch, wie sie eingesetzt werden können.