Nicht alle Arbeiten bei der Verwaltung des Active Directory lassen sich mit den Standardwerkzeuge Active Directory-Benutzer und -Computer und Active Directory-Domänen und -Vertrauensstellungen umsetzen. Zu den Ausnahmen gehört die Änderung von Attributwerten, für die es keine anderen Schnittstellen gibt. Nach Ablauf eines Intervalls etwa werden als gelöscht markierte Einträge endgültig aus dem Active Directory gelöscht und können damit nicht mehr wieder hergestellt werden. Es gibt aber auch einige Artikel in der Knowledge Base von Microsoft, in denen Fehlerkorrekturen über ADSI Edit erläutert werden. Für Änderungen bei ADAM ist ADSI Edit ohnehin unerlässlich. Und ganz abgesehen davon ist ADSI Edit auch ein Werkzeug, um sich einfach mal etwas tiefer mit den Strukturen des Active Directory vertraut zu machen.
Die Grundstruktur
Nach dem Start von ADSI Edit auf einem Domänencontroller werden gleich die Partitionen angezeigt, die auf diesem gespeichert sind. Im einfachsten Fall sind das drei Partitionen:
-
Domain mit den Informationen zur Domäne.
-
Configuration mit den Konfigurationsinformationen des Active Directory-Forests.
-
Schema mit dem Schema des Active Directory-Forests.
Je nach Konfiguration des Domänencontrollers können aber auch noch weitere Partitionen vorhanden sein. Zum einen kann auf Partitionen für Domänen auf Global Catalog-Servern zugegriffen werden, die ja jeweils einen Teil der Informationen von anderen Domänen speichern. Zum anderen gibt es ab dem Windows Server 2003 auch zwei spezielle Partitionen für DNS-Informationen und die Option, mit weiteren Anwendungsverzeichnispartitionen zu arbeiten. Diese zusätzlichen Partitionen werden allerdings von ADSI Edit nicht automatisch erkannt.
Nach dem Aufruf ist daher der erste Schritt, die Partitionen einzublenden, die benötigt werden. Dazu wird der Befehl Connect to beim Knoten ADSI Edit verwendet. Das angezeigte Dialogfeld bietet mehrere Optionen:
-
Bei Name wird der Name der Verbindung angegeben, der angezeigt werden soll. Die Standardnamen sind beispielsweise Domain und Configuration.
-
Der Connection Point legt fest, mit welchem Bereich des Active Directory die Verbindung erfolgt. Hier können Sie einen der vordefinierten Namen wie Domain, Schema, Configuration oder RootDSE auswählen. RootDSE stellt die Standardinformationen bereit, die einen LDAP-Server identifizieren. Sie können aber auch einen Kontext eingeben. Um eine Verbindung zu der Partition DomainDnsZones herzustellen, müssen Sie beispielsweise dc=domaindnszones,dc=domaene, dc=topleveldomaene angeben, also beispielsweise dc=domaindnszones,dc=windowstest, dc=intra. Analog verfahren Sie auch bei der Partition ForestDnsZones.
-
Im unteren Bereich können Sie einen Serverangeben oder auf das lokale System zugreifen. Das ist vor allem interessant, um sich Daten von anderen Domänencontrollern anzeigen zu lassen.
Weitere Optionen finden Sie nach Auswahl von Advanced. Dort können Sie einen Benutzernamen und das Kennwort für die Authentifizierung festlegen, die Portnummer angeben und zwischen dem Zugriff auf die LDAP- und die Global Catalog-Ports wechseln (Bild 3).
Die verschiedenen Partitionen werden jeweils in einer Baumstruktur dargestellt. Sie können durch diese navigieren und bis zu den einzelnen Objekten navigieren.
Die wichtigsten Strukturen
ADSI Edit ist ein Werkzeug, das vor allem für die Bearbeitung des Bereichs Configuration benötigt wird. Wenn man sich den Bereich Domain betrachtet, sind die dort angezeigten Informationen weitgehend identisch mit denen, die es auch bei Active Directory-Benutzer und -Computer gibt, wenn dort die Option Erweiterte Funktionen im Menü Ansicht ausgewählt wird.
Allerdings können Sie über ADSI Edit wirklich alle Attribute bearbeiten, wobei Sie allerdings auch keine vereinfachten Oberflächen haben. So wird das relativ komplex strukturierte Attribut userAccountControl, bei dem jedes Bit eine andere Einstellung steuert, bei Active Directory-Benutzer und -Computer verteilt auf viele Dialogfelder mit einfachen Optionen dargestellt, während man bei ADSI Edit nur einen Wert eingeben kann, der sich aus der Summe aller gesetzten Bits berechnet.
Auch beim Container Configuration gilt, dass viele Einstellungen einfacher über Verwaltungswerkzeuge vorgenommen werden, in diesem Fall insbesondere über Active Directory-Standorte und -Dienste. Es gibt aber auch einige andere interessante Bereiche. Zu nennen sind hier unter anderem interessante Bereiche. Zu nennen sind hier unter anderem
-
DisplaySpecifiers: Hier werden die Dialogfelder beschrieben, die von Verwaltungsprogrammen wie Active Directory-Benutzer und -Computer verwendet werden.
-
Partitions: Hier werden Informationen zu den Partitionen, die auf einem Server vorhanden sind, gespeichert (Bild 4). Mit diesen Informationen können Sie auch ermitteln, welche andere Knoten Sie sich noch in ADSI Edit anzeigen lassen können, da jeweils der vollständige Distinguished Name angegeben wird, den Sie bei der Herstellung einer Verbindung angeben müssen.
-
Services: Hier finden sich Konfigurationsinformationen zu den Diensten. Besonders interessant ist unterhalb davon cn=Windows NT,cn=Directory Services. Bei diesem Knoten werden die Konfigurationsinformationen für das Active Directory abgelegt.
-
Sites: Unterhalb dieses Knotens finden sich alle Konfigurationsinformationen für Standorte.
Bild 4: Die Partitionen, die auf einem Server gespeichert sind.
Die Details zu den Objekten
Details zu den Objekten und damit auch die Attribute können Sie sich über den Befehl Eigenschaften aus dem Kontextmenü anzeigen lassen.
Dort sehen Sie standardmäßig die verbindlichen und die optionalen Attribute. Sie können die Liste mit der Option Show only attributes that have values auch auf die Attribute einschränken, für die bereits Werte definiert sind. Da typischerweise sehr viele Attribute leer sind und leer bleiben, können Sie die Listen auf diese Weise massiv einschränken.
Die Attribute können Sie auswählen und über die Schaltfläche Edit oder durch einen Doppelklick bearbeiten. Außerdem lassen sich im Register Sicherheit auch die Sicherheitseinstellungen für jedes Objekt anpassen.
Operationen auf Objekten
Über das Kontextmenü können Sie neben der Bearbeitung von Attributwerten auch viele weitere Operationen auf Objekten durchführen. Dazu zählen das Löschen, Umbenennen und Verschieben.
Bevor Sie solche Änderungen durchführen, müssen Sie allerdings genau prüfen, ob das an dieser Stelle überhaupt sinnvoll ist. Sehr viele Objekte dürfen nicht verschoben werden, wenn das Active Directory weiterhin korrekt funktionieren soll. Letztlich sollten Sie solche Befehle nur bei Objekten wie Benutzern oder Gruppen ausführen, wenn das erforderlich ist. Gerade bei den Objekten, bei denen solche Änderungen relativ unproblematisch sind, gibt es aber auch Verwaltungsprogramme, mit denen die Anpassungen noch einfacher durchgeführt werden können.
Sie werden daher viele Optionen nie oder nur bei schwerwiegenden Fehlern auf Basis von Knowledge Base-Artikeln oder mit Unterstützung des Microsoft-Supports durchführen.
Sie können übrigens auch bei jedem Knoten neue Objekte mit dem Befehl Neu/Object anlegen. Welche Objekte Sie anlegen können, hängt vom aktuell gewählten Objekt ab. Es muss sich um ein Containerobjekt handeln. Bei den Containerobjekten ist jeweils definiert, welchen Objektklassen die untergeordneten Objekte angehören dürfen. Das Problem dabei ist aber, dass die Erstellung sehr umständlich ist, weil alle verbindlichen Attributwerte der Reihe nach in einzelnen Dialogfeldern eingegeben werden müssen und optionale Attribute anschließend über die Eigenschaften gesetzt werden können. Diesen Weg wird man also nur in Ausnahmefällen wählen.
Auch wenn nicht alles sonderlich bequem über ADSI Edit zu erledigen ist, ist es doch ein wichtiges Werkzeug, weil sich manche Aufgaben eben nur darüber oder über ldp.exe erledigen lassen, weil das die beiden Tools von Microsoft sind, die Zugriff auf alle Objekte und Attribute im Active Directory bieten.