Active Directory wiederherstellen

Wer darf Active Directory wiederherstellen?

Wenn Sie eine verteilte IT-Organisation mit Administratoren auf der ganzen Welt haben, könnte sich Ihnen die Frage stellen, wer eine Verzeichnis-Wiederherstellung durchführen kann. Es sollte klar sein, dass nur qualifizierte Leute Bandwiederherstellungen auf Domänencontrollern durchführen dürfen. Und Sie sollten auch wissen, ob Sie ein Problem beseitigen können, ohne die zentrale IT-Abteilung jenseits des Atlantiks anzurufen.

Die Durchführung einer Systemstatus-Wiederherstellung (was auch die Active Directory-Datenbank umfasst) erfordert das lokale Administratorpasswort im SAM auf dem Domänencontroller. Dieses Passwort heißt Directory Service Recovery Password. Wenn Sie dieses Passwort kennen, dann können Sie eine autoritative Wiederherstellung eines Teils oder der ganzen AD-Datenbank vornehmen, und zwar unabhängig davon, ob Sie nun Rechte über einen bestimmten Teil des Verzeichnisses haben oder nicht. Schließlich läuft ja der Active Directory-Dienst nicht, während Sie die autoritative Wiederherstellung durchführen, und so hat das System keine Chance, Ihre Anmeldedaten abzufragen und zu validieren.

Sie sollten das lokale Administratorpasswort von Domänencontrollern scharf bewachen und es oft austauschen. Andererseits kann jeder, der physikalischen Zugriff auf einen Domänercontroller hat, dort mit einem Utility wie ERD-Commander das lokale Administratorpasswort festlegen und vollen Zugriff erhalten. Unternehmen Sie Folgendes, um Ihre AD-Datenbank zu schützen:

• Geben Sie nur den zuverlässigsten Administratoren das Recht, den Systemstatus auf Domänencontrollern wiederherzustellen.

• Sichern Sie den Systemstatus nur auf wenigen, ausgewählten Domänencontrollern. Die Administratoren, die diese Backups durchführen, sollten zu den zuverlässigsten Leuten der Firma gehören.

• Verhindern Sie den physikalischen Zugriff auf Domänencontroller an entfernten Standorten. Setzen Sie Headless-Server ohne Disketten- und CD-ROM-Laufwerk ein.