Active-Directory-Verwaltung in Windows 2003

Gleicher Name, anderer Account

Wenn Sie einen Account aus dem Active Directory entfernen, können Sie zwar wieder einen neuen mit demselben Namen anlegen, aber effektiv handelt es sich dabei um einen komplett neuen Account. Dieser hat - trotz gleicher Anmelde-Informationen - keinen Zugriff auf die privaten Daten und Einstellungen des alten Accounts. Mit anderen Worten: Der Zugriff auf E-Mails, Anwendungskonfigurationen oder das Windows-Adressbuch ist versperrt. Um den alten Zustand wieder herzustellen, müssten Sie alle Daten zusammensuchen, die Rechte daran manuell übernehmen und dann an den neuen Account weitergeben.

Nun sind aber wie erwähnt alle Account-Informationen im Domain-Controller abgelegt. Fällt dieser aus, ist der Schaden groß: Installiert man dann nämlich - was sollte man auch anderes tun - einen neuen Domain-Controller auf einem neuen Rechner, dann sind alle Benutzer- und Computerkonten verschwunden. Um das Netz dann wieder in den Griff zu bekommen, muss man die privaten Daten aller Anwender im Netzwerk auf allen lokalen Workstations wieder manuell an deren Eigentümer übertragen: Eine Menge Arbeit für einen kleinen Festplattendefekt.

Dieses Problem ist auch Microsoft klar, und darum gibt es dafür eine einfache Lösung: Man installiert mindestens zwei Domain-Controller im Netzwerk. Sie synchronisieren sich völlig selbstständig und ohne weiteres Zutun seitens des Administrators. In der Praxis kann man auch beliebig viele Domain-Controller installieren - aber für ein kleines Netz reichen auch zwei.