Lektion 2: Durchführen der Offlinewartung 437
Schützen von AD DS-Objekten
Bisher haben Sie AD DS-Objekte dadurch vor versehentlicher Löschung oder Falschkonfi-
guration geschützt, dass Sie regelmäßige Systemstatusdatensicherungen anfertigen und bei
Bedarf eine autorisierende Wiederherstellung durchführen. Windows Server 2008-AD DS
stellt Features zur Verfügung, die es Ihnen ermöglichen, Informationen wiederherzustellen,
ohne auf Datensicherungen zurückzugreifen. Diese Features sind:
■ Schutz von AD DS-Objekten
■ Detaillierter konfigurierbare AD DS-Zugriffsüberwachung
■ Der Container für Tombstone- oder gelöschte Objekte
Schützen von AD DS-Objekten
Sie können jedes neue Objekt, das Sie in AD DS erstellen, explizit schützen. Objekte, die
Sie in einem Batchprozess oder im Rahmen einer Migration erstellen, werden nur geschützt,
wenn Sie das Feature direkt beim Erstellungsprozess zuweisen. Und wenn Sie ein Objekt
interaktiv erstellen, müssen Sie den Schutz ebenfalls explizit zuweisen. Sie aktivieren den
Schutz eines Objekts auf der Registerkarte Objekt im Eigenschaftendialogfeld eines AD DS-
Objekts (Abbildung 8.18). Diese Registerkarte ist nur sichtbar, wenn Sie im Menü Ansicht
der Konsole Active Directory-Benutzer und -Computer die Option Erweitert Features aus-
gewählt haben. Bei Containerobjekten, zum Beispiel Organisationseinheiten, ist der Objekt-
schutz standardmäßig aktiviert, weil sie Bestandteil der Verzeichnisstruktur sind. Wenn der
Objektschutz aktiviert ist, können Sie das Objekt nicht löschen oder an einen anderen Ort
verschieben.
Abbildung 8.18 Schützen eines Benutzerkontoobjekts
vor versehentlicher Löschung
438 Kapitel 8: Warten der Active Directory-Umgebung
Das ist ein nützliches Feature, wenn Sie die Objektadministration delegieren wollen. In sol-
chen Fällen ist es unter Umständen sinnvoll, den Objektschutz gleich in der Benutzerkonto-
vorlage zu aktivieren.
AD DS-Zugriffsüberwachung
Dieses Feature protokolliert bisherige und neue Werte, sodass Sie den ursprünglichen Wert
wiederherstellen können, wenn die Objekteigenschaften geändert wurden. Wenn Sie Ver-
zeichnisänderungen in Windows Server 2008 überwachen, zeichnet die AD DS-Zugriffs-
überwachung die bisherigen und neuen Werte eines Attributs jedes Mal auf, wenn ein Objekt
geändert wird. Die AD DS-Überwachungsrichtlinien in Windows Server 2008 protokollieren
vier Unterkategorien des Dienstzugriffs, sodass Sie die Zuweisung dieser Richtlinie detail-
lierter steuern können als in älteren Versionen der Windows Server-Betriebssysteme. Die
Unterkategorie Verzeichnisdienständerungen umfasst Änderungen an Attributen. Ist sie akti-
viert, protokolliert sie, wenn ein Objekt erstellt, geändert, verschoben oder wiederhergestellt
wird. Jede Operation bekommt eine Ereignis-ID im Verzeichnisdienste-Ereignisprotokoll
zugewiesen.
Über das Sicherheitsereignisprotokoll können Sie dann eine Aufzeichnung aller Verzeichnis-
änderungen führen. Jedes Mal, wenn ein Objekt geändert wird, werden mindestens zwei
Ereignisse aufgezeichnet. Das erste führt den bisherigen Wert auf, das zweite den neuen
Wert. Das ist nützlich, um fehlerhafte Änderungen rückgängig zu machen.
Wiederherstellen von veralteten AD DS-Objekten
Wenn Sie ein AD DS-Objekt aus dem Verzeichnis entfernen, bleibt es noch eine Zeitlang als
veraltetes oder Tombstone-Objekt erhalten (in der Standardeinstellung 180 Tage, dies kön-
nen Sie in der Registrierung konfigurieren). Während sich das Objekt noch im Tombstone-
Container für gelöschte Objekte befindet, können Sie es mit dem Dienstprogramm Ldp wie-
derherstellen. Sie müssen mit Domänenadministrator-Anmeldeinformationen angemeldet
sein, um diese Operation durchzuführen.
Sie starten das Tool Ldp, indem Sie in der Suchleiste
ldp.exe eingeben und auf OK klicken.
Falls Sie nicht auf einem Domänencontroller angemeldet sind, können Sie über den Befehl
Ver bin den eine Verbindung zu einem Domänencontroller herstellen, indem Sie seinen
FQDN angeben, beispielsweise glasgow.contoso.internal. Wählen Sie den Befehl Gebunden
und dann die Option Bindung als aktuell angemeldeter Benutzer. Wählen Sie im Menü Op-
tionen den Befehl Steuerelemente. Wählen Sie in der Dropdownliste Vordefiniert laden den
Eintrag Return deleted objects aus (Abbildung 8.19). Stellen Sie sicher, dass im Abschnitt
Steuerelementtyp des Dialogfelds die Option Server ausgewählt ist, und klicken Sie auf OK.
Wählen Sie im Menü Ansicht den Befehl Struktur und geben Sie den definierten Namen
(Distinguished Name, DN) des Containers für gelöschte Objekte ein, zum Beispiel cn=de-
leted objects,dc=contoso,dc=internal. Klicken Sie in der Konsolenstruktur doppelt auf den
Container für gelöschte Objekte und erweitern Sie seinen Inhalt. In der Standardeinstellung
zeigt Ldp nur 1.000 Objekte an, aber das reicht für die meisten Fälle aus. Suchen Sie in der
Konsolenstruktur das Objekt, das Sie wiederherstellen wollen, und klicken Sie es an. Kli-
cken Sie in der Konsolenstruktur mit der rechten Maustaste auf den Objektnamen und wäh-
len Sie den Befehl Ändern.
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
