Zwei Werkzeuge stellen AD-Objekte wieder her

12. Juni 2010

Die Theorie sagt, dass es eigentlich unmöglich ist, Daten in einer richtig strukturierten und gepflegten Active-Directory-Struktur zu verlieren. Jeder IT-Profi weiß nur zu gut, wie viel diese Theorie hilft, wenn zum Beispiel ein Objekt versehentlich gelöscht wurde – von einem kompletten Zusammenbruch der Systeme ganz zu schweigen. Eric Rux stellt zwei Werkzeuge vor, die helfen können, solche Desaster zu vermeiden.

Bei diesem Beitrag handelt es sich um "Sponsored Content", der von Quest Software allen Besuchern unserer Seite NT4admins zum freien Lesen zur Verfügung gestellt wurde.

Bild 1.Der AD Restore Wizard der Netwrix-Lösung im Einsatz: Schnelle und einfache Bedienung, aber leider werden die Eigenschaften des Objekts (zum Beispiel Nachname und Beschreibung) nicht wiederhergestellt.

Einige Windows-Profis können sich sicher noch an die Einführung des Betriebssystems Windows 95 erinnern: Mit diesem Client-System integrierte Microsoft nämlich erstmals auch den sogenannten Papierkorb in eines seiner Betriebssysteme. Dabei trifft die englische Bezeichnung Recycle Bin die Fähigkeiten noch weitaus besser: Versehentlich gelöschte Dateien können einfach wiederhergestellt werden. Wir nutzen dieses Feature des Windows-Systems nun schon so lange, dass wir nur allzu leicht vergessen, wie mühsam es in den alten Zeiten war, wenn eine Datei versehentlich gelöscht wurde. Windows-Administratoren vergessen diese Mühsal bis zu dem Zeitpunkt, an dem sie versehentlich etwas im Active Directory (AD) löschen.

Mit dem Windows Server 2003 hat Microsoft dann endlich auch die Idee eines Papierkorbs für Active Directory umgesetzt. Leider hatte keiner in Redmond dabei auch daran gedacht, eine grafische Benutzeroberfläche für den Active-Directory-Papierkorb zu entwickeln. Das führte dann dazu, dass sich eine ganze Reihe von freien Tools entwickelte, die sich mit dem Problem der gelöschten AD-Objekte beschäftigten. Einige davon haben so ganz sicher vielen Administratoren den Tag, wenn nicht sogar ihren Arbeitsplatz gerettet.

Papierkorb im AD: Mehr Funktionen, aber immer noch nicht perfekt

Eines der freien Werkzeuge, das sich in der Praxis sehr gut bewährt hat, ist AdRestore von Mark Russinovich. Mit Hilfe dieser Software ist es beispielsweise möglich, gelöschte AD-Objekte (tombstoned Objects) wiederherzustellen. Wir stellen in einem kurzen Überblick am Ende des Artikels diese und einige andere freie Lösungen zur Wiederherstellung von Active Directory vor. Leider wird aber bei dieser Software nur das Objekt selbst wiederhergestellt. Auf die individuellen Attribute der Objekte besitzt der Administrator auch nach einer solchen Wiederherstellung keinen Zugriff.

Mit dem Erscheinen von Windows Server 2008 in der R2-Version haben die Microsoft-Entwickler die Möglichkeiten des Active Directory-Papierkorbs deutlich erweitert. Aber an die Vielfalt und die Möglichkeiten, die unsere beiden Testkandidaten für diese „Ernstfälle“ zu bieten haben, kommt auch der neue Papierkorb des Verzeichnisdienstes nicht heran. Bevor wir nun im Rahmen dieses Testberichts tiefer in die Möglichkeiten und Fähigkeiten der beiden Produkte einsteigen, sollte zunächst noch einmal eine grundsätzliche Frage angeschnitten werden: Unter normalen Umständen, sollten Aktionen wie das versehentliche Löschen von Objekten in AD nicht vorkommen können.

Eine gut durchdachte und richtig organisierte Struktur von Organisationseinheiten (OU – Organizational Units) mit Zugriffsrechten und Sicherheitsberechtigungen, die entsprechend delegiert wurden, sollte dies zuverlässig verhindern. So sollte es dann auch zum Beispiel dem Techniker vom Helpdesk oder dem Junior-Administrator überhaupt nicht möglich sein, solche Objekte zu löschen. Dieser Personenkreis sollte nur die Rechte zum Deaktivieren eines Objekts besitzen, aber nicht in der Lage sein, dieses zu löschen.

Trotzdem sollte das nach allen Regeln der Kunst gut und korrekt gepflegte Netzwerk ebenfalls eine Überlebensstrategie für die Fälle von „Hoppla, das wollte ich doch nicht“ sowie für umfassende Katastrophen wie einem kompletten Systemzusammenbruch besitzen. Wir wollten sehen, wie zwei von uns ausgewählte Produkte den Administrator in derartigen Fällen unterstützen können. Eines davon ist ein preisgünstiges Produkt, sozusagen eine Art Fiat 500 unter diesen Hilfsprodukten, während die andere Software dann eher in der Oberklasse bei den Mercedes- und Audi-Limousinen zu finden ist.

Der erste Kandidat: Netwrix Active Directory Change Reporter

Das Werkzeug der Firma Netwrix trägt den Namen „Active Directory Change Reporter“. Mit seiner Hilfe kann ein Systemverwalter gelöschte oder veränderte Objekte in jeder Version des Active Directory (unterstützt werden alle Versionen ab Windows Server 2000) schnell wiederherstellen. Zudem stellt das Programm ein stabiles Reporting-Feature zur Verfügung, das alle AD-Veränderungen innerhalb in den jeweils letzten 24 Stunden mitverfolgt.

Um die etwa 8 MByte große Setup-Datei ausführen zu können, muss das Zielsystem einige wenige Vorbedingungen erfüllen: Die Internet-Server-Dienste IIS (Internet Information Services) und das Dotnet-Framework in der Version 2.0 müssen zunächst installiert sein, dann kann der Administrator die Installation der Software innerhalb weniger Sekunden durchführen. Nach der Installation erscheint ein Dialogfenster, dass dem Systemverwalter drei Möglichkeiten anbietet: Er kann sich dazu entscheiden die Anwendung später zu konfigurieren, sofort eine grundlegende Konfiguration (basic configuration) zu starten oder gleich in die komplette Konfiguration mit allen Möglichkeiten einzusteigen. Wir haben uns entsprechend der Empfehlung des „Quick Start Guide“ dazu entschlossen, bei der Testinstallation die grundlegende Konfiguration auszuwählen.

Nach Eingabe der Lizenzinformation hat unser Tester sich auch im weiteren Verlauf des Installation an die Empfehlungen des „Quick Start Guide“ gehalten und die entsprechenden Einstellungen vorgenommen. Dazu gehört neben der Langzeit-Archivierung der gelöschten AD-Objekte auch die Konfigurierung des SMTP-Servers sowie die der E-Mail-Konten, an die dann die entsprechenden AD-Reports gesendet werden sollen. Der Assistent leitet den Anwender anschließend durch die Einstellungen für das erweiterte Reporting, womit hier die SQL-Server-Reporting-Dienste gemeint sind, und die Konfiguration des Zeitplans für die Auslieferung der Berichte. Die Lizenzierung wird mit Hilfe eines Nummernschlüssels vorgenommen. Danach erschien eine Dialogbox auf dem Bildschirm, die unseren Tester darüber informierte, dass der Wert für die sogenannte Tomstone Lifetime auf 180 Tage gesetzt war.

Die Hilfe des Programms riet uns, diesen nun auf 744 Tage zu setzen, damit gelöschte Objekte problemlos wiederhergestellt werden könnten. Wir haben den Rat angenommen und der Änderung an dieser Stelle der Installation zugestimmt.

Bild 2. Der Recovery Manager bei der Arbeit im Active Directory: Durch Auswahl einer speziellen Sicherung ist es möglich, die AD-Objekte vollständig und mit allen Attributen wiederherstellen.

Einfache Installation und erster Probelauf mit gelöschten Objekten

Nach dieser einfach und schnell ablaufenden Installation haben wir natürlich in einem ersten Schritt versucht ein Objekt „vorsätzlich“ zu löschen, um dann festzustellen, wie schnell es sich wiederherstellen lässt. Unser Autor hat dazu ein Objekt mit dem Namen „Eric“ angelegt, um es dann sofort wieder zu löschen. In einem nächsten Schritt haben wir anschließend den Netwrix AD Object Restore Wizard ausgewählt. Dieser führte uns mittels eines Assistenten schnell durch die Wiederherstellung des gelöschten Objekts, wie der Screenshot in Bild 1 zeigt. Die Wiederherstellung verlief dabei problemlos und schnell. Leider agiert das Programme aber im Prinzip auf die gleiche Art und Weise, wie es auch die Freeware-Lösungen tun, die wir zum Abschluss der Artikels ebenfalls kurz beleuchten: Nur das Objekt selbst wird wiederhergestellt. Die Eigenschaften (properties) wie beispielsweise der Nachname, die Beschreibung oder das Büro sowie irgendeine Gruppenmitgliedschaft, die ein Objekt zuvor besaß, werden auf diese Weise nicht wiederhergestellt.

Will der Administrator das komplette Objekt mit allen individuellen Eigenschaften wiederherstellen, was in den meisten Fällen der Grund für den Einsatz einer solchen Lösung sein dürfte, so muss er dazu schon im vornherein einen Schnappschuss des Verzeichnisses angelegt haben. Dies kann automatisch alle 24 Stunden geschehen. Natürlich ist es auch möglich, dies manuell über die Aufgabensteuerung unter Windows zu erledigen. Mit Hilfe des Schnappschusses kann der Administrator dann auch das komplette Objekt mit allen Attributen wiederherstellen.

Die Software stellt auch ausgeklügelte Möglichkeiten für das Reporting zur Verfügung, mit denen verfolgt werden kann, was mit den Objekten im AD passiert. Der Anwender kann dabei zwischen einer breiten Palette von unterschiedlichen Berichten wählen, zu denen beispielsweise die folgenden Möglichkeiten gehören:

  • alle Veränderungen im AD nach Datum,
  • alle Veränderungen im AD nach Objekt-Typ oder
  • alle AD-Veränderung nach Anwender geordnet.

Insgesamt 38 verschiedene vorbereitete Reporttypen stehen dem Administrator bei dieser Software zur Verfügung, die ihm den oftmals so dringend benötigten Einblick in das gewähren, was innerhalb „seines“ Active Directory vor sich geht. Zusätzlich werden noch 33 weitere Berichtstypen mitgeliefert, die es ermöglichen, Änderungen im Exchange Server und bei den Gruppenrichtlinien zu verfolgen und berichten.

Wem diese Vielfalt an Berichtsmöglichkeiten noch nicht die Informationen liefert, die er sucht und braucht, der kann die SQL-Server-Reporting Dienste dazu verwenden, noch tiefer in die Daten und Informationen einzusteigen. In diesem Zusammenhang muss noch ein wichtiger Hinweis erfolgen: Windows 2000 verfolgt die Änderung im Feld „Who changed“ (Wer hat es verändert) nicht – wer also sein Active Directory noch auf dem Funktionslevel des Windows 2000 Servers betreibt, sollte sich dieser Tatsache bewusst sein.

Gemessen an ihrem günstigen Preis bietet die Software Netwrix AD Object Restore eine beeindruckende Vielfalt an Möglichkeiten. Systemverwalter und IT-Verantwortliche, die auf der Suche nach einem Werkzeug sind, das deutlich mehr zu bieten hat als die unter Windows standardmäßig angebotenen Möglichkeiten, aber nicht den Preis für die „großen“ Lösungen zahlen können oder wollen, finden hier das Werkzeug ihrer Wahl.

Der zweite Kandidat: Quest Recovery Manager for Active Directory

Mit dem zweiten Produkt dieses Praxistests, dem „Recovery Manager for Active Directory“ der Firma Quest Software, steht eine Recovery-Lösung für AD zur Verfügung, die ganz klar auf den Unternehmens-Level ausgerichtet ist. Neben den Möglichkeiten, die „Tombstones“ wiederherzustellen und generelle „Rollbacks“ auszuführen, ist diese Lösung auch dazu in der Lage, einen kompletten Domänen-Controller (DC) wiederherzustellen. Dies gelingt mit Hilfe der Software sogar dann, wenn auf dem Zielsystem eine andere Hardware zum Einsatz kommt, als dies auf dem Quell-Server der Fall war.

Die Installation und Einrichtung des Recovery-Managers dauerte deutlich länger und ist auch komplexer, als dies beim Netwrix-Produkt der Fall ist. Sie verlangt zudem auch eine größere Anzahl von Vorbedingungen, die auf dem Server vorhanden sein müssen, damit eine Installation gelingen kann: Dazu gehören der Native Client des Microsoft SQL Server 2008, das Dotnet-Framework in der Version 3.5 SP1, SQL Server Compact 3.5 SP1, die SQL Server System CLR Types, SQL Server 2008 Management Objects und Windows Power Shell 1.0.

Allerdings braucht sich der Administrator von dieser imposanten Liste an Vorbedingungen nicht erschrecken zu lassen, alle Softwareprodukte werden mitgeliefert, und das Installationsprogramm bringt sie automatisch mit auf das System. Das Setup der Lösung verlangt etwa auf der Hälfte der Installationen einen Neustart des Systems, fährt danach aber sofort an der Stelle mit der Installation fort, an der es diesen Reboot initiierte. Eine Lizenzdatei stellt die entsprechende Erlaubnis zum Einsatz des Programms zur Verfügung.

Diese augenfällig längere Installationszeit für den Recovery Manager zeigt aber nicht nur, dass es sich hier um ein größeres Softwareprodukt mit viel mehr Features handelt, als dies bei unserem ersten Testkandidaten der Fall ist. Das wurde sofort klar, als wir das Produkt nach erfolgreicher Installation zum ersten Mal starteten: Allein fünf unterschiedliche neue Icons, jeweils benannt nach ihren verschiedenen Aufgaben, standen uns danach auf dem System zur Verfügung:

  • Backup eines aktiven Active Directory,

  • Restore von AD-Objekten,

  • Restore von Objekten des Typs AD LDS (Lightweight Directory Services) und Active Directory Application Mode (ADAM),

  • Wiederherstellung von Gruppenrichtlinien und die

  • Wiederherstellung von Active Directory

Unser Autor hat den Test dann sofort damit begonnen, dass er in einem ersten Schritt das Backup eines Active Directories anlegte. Dabei gefiel es ihm besonders gut, dass der Administrator hier jeden Domänen-Controller einzeln sichern kann. Weiterhin steht dem Anwender an dieser Stelle die Möglichkeit offen, einen bestimmten Container innerhalb eines Verzeichnisses zu sichern, sowie ein ADAM-Directory oder auch eine spezielle Maschine mittels einer Textdatei abzuspeichern.

Dabei kann der Administrator ein derartiges Backup sofort direkt ausführen lassen oder einen entsprechenden Zeitplan erstellen. Schließlich kann er hier eine Gruppe von Computersystemen festlegen, auf denen sich die Domänen-Controller befinden werden. Diese Vorgehensweise ist dann nützlich, wenn er die Domänen-Controller einer ganz bestimmten AD-Site sichern möchte und diese Backups dann auf einem zentralen Speicherplatz innerhalb dieser Site ablegen will.

Bild 3. Zwei Freeware-Lösungen: Das Werkzeug „Adrestore“ von Mark Russinovich und „Object Restore for Active Directory“ von Quest stellen beide rudimentäre Wiederherstellungsmöglichkeiten zur Verfügung – einmal ohne und einmal mit GUI.

Nach der Sicherung: Vielfältige Möglichkeiten zur vollständigen Wiederherstellung

Nach dem der Systembetreuer eine derartige Sicherung eingerichtet und zeitlich festgelegt hat, kann er entweder darauf warten, dass sie ausgeführt wird, oder sie über die Aufgabensteuerung manuell anstoßen. Um diese Funktionalität zu untersuchen, haben wir innerhalb unseres Testszenarios eine Reihe von Benutzern angelegt und das Backup manuell angestoßen. Die Sicherung lief dabei innerhalb der kleinen Testdomäne sehr schnell ab. Danach haben wir einen Anwender wieder gelöscht. Wir fanden dann im Bereich „Active Directory-Benutzer und -Computer“ am Kopf des Verzeichnisbaumes einen neuen Container mit der Bezeichnung Deleted Objects.

Nachdem wir diesen Container ausgewählt hatten, wurden uns alle gelöschten Objekte angezeigt. Ein Rechtsklick auf den von uns zuvor gelöschten Benutzer erlaubte es nun, diesen wiederherzustellen. Der Administrator kann natürlich direkt aus diesem Assistenten heraus auch den eingebauten Papierkorb verwenden, und das Objekt einfach mit „undelete“ wiederherstellen. Aber wie wir im Lauf dieses Artikels bereits mehrfach ausgeführt haben, würde das ja nur das Objekt, nicht aber dessen Attribute wieder zum Leben erwecken. Wir haben deshalb in unserem Test die Möglichkeit „Restore Object from Selected backup“ gewählt, wie es auch in Bild 2 zu sehen ist.

In einem nächsten Schritt stand der Tester dann vor der Wahl, sich zwischen einer Wiederherstellungsmethode unter Einsatz eines Agenten oder ohne Agenten zu entscheiden. Der Recovery Manager von Quest Software wird mit einem umfangreichen „Deployment Guide“ ausgeliefert, der dem Systemverwalter die Vor- und Nachteile jeder dieser Methoden darstellt. Kurz zusammengefasst liegen die Unterschiede darin, dass bei der agentenlosen Methode LDAP zum Einsatz kommt. Der Einsatz von LDAP verursacht natürlich keine so weit reichenden Veränderungen auf dem System, wie sie von der Installation eines Agenten hervorgerufen würden. Aber kommt kein Softwareagent zum Einsatz, so erfordert das eine Schema-Erweiterung im AD, wenn der Administrator die SID-Historie (Security Identifier) oder die Passwörter der Anwender wiederherstellen möchte.

Wer sich nicht sicher ist, ob es für seine Anwendungsfälle wirklich wichtig ist, die SID-Historie wiederherzustellen und wann es wichtig werden kann, dies auf jeden Fall zu tun, findet dazu umfangreiche Informationen in einem Artikel „Zusammenführen von zwei AD-Strukturen“, der ebenfalls von Eric Rux geschrieben wurde und auf Nt4admins bereitsteht. Wer nun hingegen die agentengestützte Methode zur Wiederherstellung einsetzt, muss dazu keinerlei Änderung am Schema seines Active Directory vornehmen. Zudem ist diese Methode deutlich schneller als der Einsatz von LDAP. Wird diese Methode gewählt, so wird der Softwareagent während der Wiederherstellung automatisch auf dem Domänen-Controller installiert und ebenso automatisch auch wieder entfernt, wenn dieser Vorgang beendet ist.

In unserem Test war der gelöschte Account in wenigen Sekunden wiederhergestellt, wobei nach der „Wiederbelegung“ alle individuellen Attribute ebenfalls zur Verfügung standen. Hat sich der Systembetreuer dazu entschieden, das Schema seines Verzeichnisses zu erweitern, um die Wiederherstellung der Passwörter der Anwender und der SID-Historie ohne Einsatz eines Agenten zu ermöglichen, so stellt ihm die Lösung dafür eine einfache Benutzeroberfläche zur Verfügung. Eine weitere zusätzliche Anwendung, die in diesem Programmpaket enthalten ist, nennt sich „Clone Wizard“. Jeder Administrator, der nach einem kompletten Systemzusammenbruch schon einmal gezwungen war, ein bestehendes Active Directory auf einer veränderten oder komplett neuen Hardware zu installieren, wird dieses Werkzeug lieben. Auch wenn es darum geht, zur Erstellung einer Test-Umgebung die eigenen AD-Infrastruktur zu clonen, ist dieses Werkzeug geradezu ideal.

Mit dem Recovery Manager stellt Quest Software dem Systemadministrator ein ausgereiftes und umfangreiches Werkzeug zur Verfügung, mit dessen Hilfe er in der Lage ist, alle Teile einer Verzeichnisstruktur komplett wiederherzustellen. Das reicht von einer kompletten Domäne bis herunter zu einzelnen individuellen Objekten innerhalb dieser Struktur. Die Software hat einen deutlich höheren Preis als die zuvor vorgestellte Lösung von Netwrix, bietet dem Systembetreuer dafür aber auch eine viel größere Auswahl an Features und Möglichkeiten: Dazu zählen unter anderem die Möglichkeit mit AD-Sites umzugehen (Ad Site Awareness), das Klonen ganzer Domänen-Controller, Sicherung von Gruppenrichtlinien und die direkte Integration der Software in den Bereich Active Directory-Benutzer- und –Computer der Servers.

Bild 3. Zwei Freeware-Lösungen: Das Werkzeug „Adrestore“ von Mark Russinovich und „Object Restore for Active Directory“ von Quest stellen beide rudimentäre Wiederherstellungsmöglichkeiten zur Verfügung – einmal ohne und einmal mit GUI.

Zwei Kandidaten: Der Kleinwagen und die große Limousine

Es ist normalerweise so, dass wir bei Produkttests mit mehreren Produkten einen klaren Gewinner haben und ihn dann als das Produkt unserer Wahl, dem „Editor’s Choice“, präsentieren. Das kann aber wirklich nur dann funktionieren, wenn wir die Gelegenheit haben, Äpfel auch wirklich mit Äpfeln zu vergleichen. Bei den zwei hier vorgestellten Produkten wird ein direkter Vergleich einfach nicht funktionieren, denn sie spielen in grundverschiedenen Ligen. Das Netwrix-Produkt stellt sehr gute Möglichkeiten zum Rollback zur Verfügung und ragt damit weit über die in AD integrierten Möglichkeiten zur Rettung unabsichtlich gelöschter Daten hinaus. Zusammen mit sehr guten Reporting-Möglichkeiten und einem günstigen Preis pro Anwender machen diese Features die Software zur logischen Wahl, wenn das Budget gering und das Netzwerk nicht zu komplex ist. Wenn das eigene AD nicht zu groß, umfangreich und komplex ist, dann sollte ein IT-Verantwortlicher den Einsatz dieses „Kleinwagen“ in Betracht ziehen.

Das zweite Produkt unseres Test, der Quest „Recovery Manager for Active Directory“, ist hingegen eine „mächtige Limousine“, die für deutlich größere Systemumgebungen entwickelt wurde. Vielleicht schreckt manche Administratoren und auch IT-Verantwortliche zunächst der verhältnismäßig hohe Preis der Lösung ab – doch man sollte immer bedenken, welche Kosten und vor allen Dingen Einschränkungen ein Zusammenbruch des Active Directory in einem komplexen Firmennetzwerk verursachen wird: Im Prinzip kann dann niemand mehr mit seinem System im und mit dem Netzwerk arbeiten.

In diesem Licht betrachtet, rechnen sich die Kosten für ein derartiges Werkzeug sehr schnell. Für beide Produkte stellen die Anbieter die verschiedenen Unterstützungen zur Verfügung: Bei beiden finden die IT-Profis eine Wissensdatenbank mit umfangreichen Erläuterungen, in denen auch neue Incidents gepostet werden können. Zudem stellen beide Firmen auch einen Telefonsupport für die Produkte bereit. So bleibt die Entscheidung, welches dieser beiden Werkzeuge das richtige ist, einzig und allein von den Gegebenheiten im eigenen Netzwerk abhängig: Reicht die einfachere und günstigere Lösung aus oder ist das Active Directory so umfangreich und vielfältig, dass die sehr stabile und teurere Lösung gebraucht wird? In beiden Fällen steht den Administratoren ein wertvolles Werkzeug sowohl für die tägliche Arbeit als auch für den Fall eines absoluten Desasters zur Verfügung.

Eine Ergänzung: Der freie Lösungen für die Arbeit mit AD

Wer den Tombstone Recycle Bin, der seit Windows Server 2003 zum Standardrepertoire des AD gehört, in seiner täglichen Praxis einsetzen will, und dabei keine zusätzlichen Features benötigt, der sollte eine der drei von uns vorgestellten Freeware-Lösungen testen. Es wird wahrscheinlich noch mehr freie Lösungen im Internet geben, die solche Aufgaben erfüllen können, und wir sind dankbar für entsprechende Hinweise aus der täglichen Praxis unserer Leser: Im Moment haben wir uns aber auf die folgenden drei Lösungen konzentriert, die es unserer Meinung nach einer näheren Betrachtung wert sind.

Schon am Anfang dieses Artikels wurde die Microsoft-Lösung AdRestore aus der Entwicklung des Teams rund um Mark Russinovich erwähnt. Die Software steht aktuell in der Version 1.1 zum Download bereit. Es handelt sich hierbei um eine einfache Lösung, die direkt an der Kommandozeile zu bedienen ist. Dazu muss der Administrator nur das Programm adrestore.exe im Kommandozeilen-Fenster ausführen und bekommt dann die Objekte angezeigt, die zur Wiederherstellung bereitstehen. Danach kann der Administrator diese durch Aufruf von:

adrestore.exe -r

recht einfach und schnell wiederherstellen, wie auch der Screenshot in Bild 3 sehr schön zeigt.

Auch Quest Software stellt den Systemverwaltern eine kostenlose Lösung aus diesem Umfeld zur Verfügung. Sie nennt sich Quest Object Restore for Active Directory und arbeitet in sehr ähnlicher Art und Weise wie das Tool aus der Softwareschmiede von Mark Russinovich. Allerdings stellt diese Software dem Administrator eine grafische Oberfläche zur Verfügung (Bild 3), was die Bedienung dann doch deutlich vereinfachen kann. Sie steht auf den Webseiten von Quest nach einer Registrierung zum kostenlosen Download bereit.

Bei unseren Tests konnten wir keinen Unterschied bei den grundsätzlichen Funktionalitäten dieser beiden Lösungen feststellen. Aber Quest Software bietet noch eine weitere Lösung in diesem Umfeld an, die sich Active Directory Recycle Bin Power Pack nennt. Diese Software erweitert die sogenannte PowerGUI Admin Console des Herstellers und kann über die PowerGUI-Webseite heruntergeladen werden.

In einem ersten Schritt müssen dabei zunächst das sowohl das Powerpack als auch die PowerGUI heruntergeladen werden. Nach einer Installation der PowerGUI kann dann das PowerPack direkt in der Powershell importiert und eingesetzt werden. Bei einem kurzen Test dieser Lösung hat es unserem Autor besonders gut gefallen, dass dieses Tool bei einem Einsatz auf dem Windows Server 2008 in der R2-Version zunächst überprüft, ob das Recycle-Bin-Feature (das standardmäßig deaktiviert ist) auf dem Server angeschaltet wurde.

Trifft das nicht zu, bietet die Software an, dieses Einschalten für den Administrator durchzuführen. Das mag zunächst trivial klingen, aber diese Aktion des „Papierkorb-Aktivierens“ ist nicht umkehrbar und benötigt zudem nicht nur einen simplen Klick sondern eine ganze Reihe von Aktionen. Administratoren sollten deshalb unbedingt die entsprechenden „Hausaufgaben erledigen“, bevor sie dieses Feature im AD des Windows Servers 2008 R2 einschalten. Nähere Informationen dazu stellt Microsoft in einem detaillierten Technet-Beitrag bereit. 

Eric Rux/ fms

Netwrix Active Directory Change Reporter

Anbieter: Netwrix
Webadresse: www.netwrix.com


Pro:

  • Stellt einen einfachen und kostengünstigen Schutz gegen das versehentliche Löschen von Daten aus dem AD zur Verfügung, der über die Möglichkeiten der Freeware-Lösungen hinausgeht.

  • Vielseitige Berichte zeigen dem Administrator, was in „seinem“ Active Directory passiert.

Kontra:

  • Diese Software ist grundsätzlich nicht dafür konzipiert, dass mit ihrer Hilfe ein Active Directory komplett mit allen Eigenschaften wiederhergestellt wird.

Unsere Empfehlung:

Wer vor allen Dingen vielseitige Report-Möglichkeiten sucht, einen besseren Schutz als beim Einsatz von Freeware-Lösungen benötigt und dafür nur ein kleines Budget besitzt, der findet hier das Werkzeug seiner Wahl.

Bewertung:

    vier von fünf möglichen Punkten

Quest Recovery Manager for Active Directory

Anbieter: Quest Software
Webadresse: www.questsoftware.de

Pro:

  • Recovery und Backup des Active Directory auf Unternehmens-Level und –Niveau auch für sehr komplexe Strukturen geeignet.
  • Ein sehr professionelles Clone-Tool macht es sehr leicht möglich, ein AD im Fall eines Desasters oder zu Testzwecken im Labor komplett zu kopieren.

Kontra:

  • Für kleinere Firmen mit entsprechend einfachem Netzwerk und Active Directory bietet das hochpreisige Werkzeug viel zu viele Möglichkeiten, die dort nicht benötigt werden.

Unsere Empfehlung:

IT-Verantwortliche und Administratoren, die sich nicht zuletzt wegen der Komplexität ihrer AD-Infrastruktur nicht sicher sind, ob es im Desaster-Fall wirklich möglich wäre, diese Struktur wiederherzustellen, sollten ernsthaft die Anschaffung dieser Lösung erwägen.

Bewertung:

    vier von fünf möglichen Punkten

Lesen Sie auch