Workshop ntdsutil: Handwerkszeug fürs Active Directory

IFM - die Optionen

Zusätzlich zu den anderen Funktionalitäten des Windows-Server-Backups sind es laut Microsoft auch die durch die Einführung der Read-Only-Domänen-Controller entstandenen Anforderungen, die eine Einführung dieser Option notwendig machten. Dabei soll IFM nur "so viel Sicherung" durchführen, dass gerade genug Teile eines Domänen-Controller gesichert werden (nur die Datenbank und zwei Zweige der Registry), damit ein Windows Server 2008 DC von diesem Medium aus und nicht über das Netzwerk promotet werden kann.

Auf diese Weise ist die Arbeit mit IFM einfacher und schneller erledigt als unter Windows Server 2003: Schließlich muss der Systemverwalter nun nicht mehr zunächst eine Sicherung ausführen, um daran anschließend eine Wiederherstellung aus dieser Sicherung heraus zu starten, damit er die notwendigen Dateien bekommt.

Die Installation von einem Medium (IFM) stellt vier Optionen bereit:

• eine vollständige Sicherung (Create full backup name),

• eine vollständige Sicherung des SYSVOL (Create SYSVOL full backup name),

• die entsprechenden Aktionen für RODCs (Create RODC backup name) und

• Create SYSVOL RODC backup name.

Wer einen der beiden "full"-Befehle verwendet, kann mit ihrer Hilfe installierbare Medien erstellen, um einen vollständigen DC zu erzeugen. Die Optionen, die sich auf die Read-Only-Domänen-Controller beziehen, unterscheiden sich von den beiden ersten Optionen dadurch, dass sie andere Sicherheitsvorgaben beinhalten.

So wird beispielsweise die Active-Directory-Datenbank für einen RODC direkt beim Erstellen als Read-Only markiert. Gleichzeitig werden automatisch die Kennwortattribute entfernt. Fiele nämlich ein IFM-Mediensatz in die falschen Hände, bestünde ein Risiko, das dem Verlust oder Diebstahl eines kompletter DCs entspricht!