Ab Server 2008 R2 das AD leichter verwalten
20. Juli 2010Für die Verwaltung des Active Directory (AD) bringt Windows Server 2008 Release 2 (R2) drei massive Verbesserungen. Der Active Directory-Papierkorb (AD Recycle Bin) hilft beim Wiederherstellen von AD-Objekten, und der AD Best Practices Analyzer stellt ein extrem wertvolles Tool dar, um sozusagen den Gesundheitszustand des AD zu überwachen. Die dritte Optimierung bekommt der Systembetreuer mit dem Active Directory-Verwaltungscenter (Active Directory Administrative Center, abgekürzt ADAC) zur Verfügung gestellt. Dieses Werkzeug erleichtert dem Administrator die tägliche Verwaltungsarbeit am AD. Das ADAC lässt sich nur auf Intel- oder AMD-basierten 64-Bit-Systemen mit Windows Server 2008 R2 installieren. Verfügbar ist es in den Editionen Standard, Enterprise und Datacenter – in der Web-Server-Edition und den Versionen für Intels Itanium-Prozessor ist dieses Tool nicht enthalten. Wird die Serverrolle AD DS (Active Directory Domain Services) auf ein System aufgespielt, kommt das ADAC auch standardmäßig zum Einsatz. Zudem ist das ADAC in den RSAT-Feature (Remote Server Administration Tools) enthalten.
Mit dem ADAC bekommt der Administrator eine sehr gute Alternative zum traditionellen MMC-Snap-in „Active Directory-Benutzer und -Computer“ (Active Directory User and -Computer, ADUC) in die Hände, wenn es darum geht, AD-Objekte zu verwalten. Damit lassen sich Aufgaben erledigen, die zum Beispiel Benutzer, Computer, Gruppen und Organisationseinheiten (OU; Organizational Units) betreffen. Allerdings eignet sich die aktuelle Version des ADAC nur für Instanzen des Active Directory Verzeichnisdienste (AD DS) und nicht für die Verwaltung der Instanzen des AD LDS (Lightweight Directory Service).
Der große Vorteil des ADAC ist sein aufgabenzentrischer Ansatz. Damit wird der Aufwand an den Arbeiten in diesem Kontext um einige Schritte reduziert – effizienteres Verwalten ist das Resultat. Dazu fokussiert das ADAC-Interface auf die wesentlichen Verwaltungsaufgaben am AD. So bringt zum Beispiel die Benutzerschnittstelle für zwei häufige Aufgaben – das Zurücksetzen von Kennwörtern und das Suchen im AD nach einem bestimmten Objekt – die passenden Dialoge (siehe Abbildung 1).
Dagegen war beim ADUC weitaus mehr Klickarbeit nötig: Zuerst musste der Administrator für das Zurücksetzen des Kennworts dieses im AD finden, dann war ein rechten mausklick darauf nötig und dann aus dem Kontextmenü der Punkt Kennwort zurücksetzen zu selektieren. Erst dann konnte der Administrator im folgenden Dialog die Informationen zum neuen Kennwort eingeben. Beim ADAC dagegen lässt sich das alles bereits im Rahmen des Startbildschirms erledigen.
Das ADUC agiert dagegen eher als ein Daten-orientiertes Werkzeug. Es zeigt einem an, wie das AD organisiert ist. Mit dem ADAC ist diese Sicht auf das AD allerdings auch machbar. Der klassische Blick auf die Inhalte des AD ist über die Konsolenansicht des ADAC zu erkennen. Hier wird das AD in einer Baumstruktur angezeigt. Außer der Fokussierung auf die wesentlichen Aufgaben im Bereich des AD bringt das ADAC noch zwei Unterschiede zum ADUC: Zum einen ist das ADAC viel anpassbarer und es besteht die Option, sich gleichzeitig mit mehreren Domänen zu verbinden.
Gleichzeitiges Verbinden zu mehreren Domänen
In Sachen Erweiterbarkeit setzten die Microsoft-Entwickler auf die Taskpads (Aufgabenblöcke) der MMC (Microsoft Management Console). Doch so richtig etabliert hat sich dieser Ansatz bei den Administratoren nicht. Zudem waren verschiedene Instanzen nötig, um Objekte über mehrere Domänen hinweg verwalten zu können. Das ADAC dagegen erlaubt die gleichzeitige Verbindung zu verschiedenen Domänencontrollern (DCs) in verschiedenen Domänen – und das von einer einzigen Instanz des ADAC.
Aber auch die zu Grunde legende Architektur von ADUC und ADAC sind verschieden. Das ADAC basiert nicht auf der MMC, sondern es verwendet ein Explorer-ähnliches Interface. Unter der Oberfläche benützt die ADAC die Powershell von Windows und die neue Schnittstelle Active Directory Web Services (ADWS). Dabei handelt es sich um einen neuen Dienst von Windows, der ein Webservice-Interface zum AD bereit stellt.
Um das ADAC in einer Domäne einsetzen zu können, muss zumindest einer der DC in der Domäne den ADWS am Laufen haben. ADWS ist standardmäßig beim Windows Server 2008 R2 enthalten. Von Microsoft gibt es aber auch zusätzliche ADWS-Pakete für Windows Server 2003 (SP2), Windows 2003 R2 (SP2), Windows Server 2008 und Windows Server 2008 (SP2). Dieses Paket trägt die Bezeichnung Active Directory Management Gateway Service.
Das hat zur Folge, dass das ADAC auch AD-Instanzen auf anderen Windows-Server-Plattformen als Windows Server 2008 R2 verwalten kann. Der Windows Server 2008 R2 bringt einen neuen Satz von Powershell-Cmdlets für die Verwaltung des AD mit. Sie sind alle in der Komponente „Active Directory Module for Windows Powershell” zusammengefasst. Dieses Modul benötigt seinerseits das Dotnet-Framework 3.5.1 und die ADWS, um auf die AD-Kernkomponente zuzugreifen.
Die Powershell-Engine wird beim Windows Server 2008 R2 automatisch installiert: Kommt auf einem Server mit diesem Betriebssystem auch die AD DS zum Einsatz, werden zudem das „Active Directory Module for Powershell“, das Dotnet-Framework 3.5.1 sowie die ADWS mit installiert.
Der Zugang zu diesen Diensten ist auch gegeben, wenn man das Feature „Remote Server Administration Tools“ (RSAT) auf einem Windows Server 2008 R2 oder auf einem System mit Windows 7 installiert. RSAT ist Bestandteil des Windows Server 2008 R2. Weitere Informationen zum Einsatz von RSAT mit Windows 7 gibt es bei Microsoft auf der Website. Den Download von RSAT für Windows 7 ermöglicht Microsoft ebenfalls kostenlos.
Arbeiten mit ADAC
Die ADAC auf einem Windows Server 2008 R2 ist über das Startmenü (Programme, Verwaltung, Active Directory-Verwaltungsconsole) aufzurufen. Es ist aber auch der Aufruf über die Kommandozeile nötig, hier muss der Administrator dsac.exe aufrufen. Das Programm startet mit einer ersten Übersichtsseite (siehe Abbildung 1). Sie zeigt drei Bereiche:
- Kennwort zurücksetzen (Reset Password),
- Globale Suche (Global Search) und
- Erste Schritte (Getting Started).
Dabei handelt es sich um die Aufgaben, die ein Administrator in der Regel am meisten ausführen muss. Diese Voreinstellungen lassen sich aber auch modifizieren. Dazu gibt es in dem Fenster rechts oben den Punkt „Inhalt hinzufügen“ („Add Content“, ein Drop-Down-Punkt).
Im linken Bereich der Übersichtsseite befindet sich der Navigationsbereich der ADAC sowie die persönlichen Navigations-Knoten. Diese Navigations-Knoten sind nichts anderes als Verknüpfungen auf Container in der lokalen AD-Domäne oder den AD-Domänen, zu denen eine Vertrauensstellung besteht. Mit einem Klick auf einen derartigen Knoten bringt einem die ADAC zum entsprechenden AD-Container und stellt seine Inhalte im rechten Bereich dar (siehe Abbildung 2).
Um eigene Navigations-Knoten anzulegen, muss man auf den Punkt „Navigationsknoten hinzufügen“ (Add Navigation Nodes…) klicken und dann über den nächsten Dialog den Navigationsbereich anpassen. Wenn man mit einem rechten Mausklick auf einen Navigationsknoten klickt, kann er ihn umbenennen oder auch entfernen, er kann einen Knotenduplizieren oder ihn im Navigationsbereich nach oben oder nach unten verschieben.
Das Durchsuchen im Navigationsbereich und seinen Knoten ist in Form einer Strukturansicht machbar – ähnlich wie sie von der ADUC-Konsolenstruktur her bekannt ist. Wer sich mit der ADUC-Konsolenstruktur auskennt, für den kann die Ansicht im ADAC mitunter etwas verwirrend sein. Denn ein bestimmter AD-Container kann unter Umständen mehrere Male in der Strukturdarstellung des ADAC auftauchen. Zudem ist der Wechsel von der ADAC-Listendarstellung und der Strukturansicht wechseln. Dazu braucht er nur auf den entsprechenden Reiter im linken Bereich zu klicken (sie sind über Piktogramme zu unterscheiden). Die Listendarstellung ist der linke Reiter, der Strukturansicht ist der rechte Reiter.
In der Listendarstellung des ADAC gibt es eine spaltenartige Darstellung, auch „Column Explorer“ genannt. Damit lässt sich eine AD-Container-Hierarchie wie beim Startmenü erreichen (siehe Abbildung 3; hier ist auf einem englischsprachigen System eine komplexere Darstellung einer Gesamtstruktur zu sehen). Mit dem Column Explorer wird das Durchsuchen der AD-Hierarchie einfacher, weil alle untergeordneten Container eines gegebenen übergeordneten Containers in einer einzigen Spalte angezeigt werden. Und je weiter man in der Hierarchie des AD nach unten geht, umso mehr Spalten werden angezeigt.
Zudem besitzt der Column Explorer den Dialog „In dieser Spalte suchen“ (Find in this column). Hier kann der Administrator den Namen des gewünschten Container-Objekts eingeben. Dabei filtert die ADAC die aktuelle Ansicht während der Administrator den Begriff eintippt. In der Abbildung 3 wird nach der OU Seattle gesucht und ADAC filtert den Inhalt der Washington-OU und bringt dann die OUs Seattle und Spokane, wenn der Buchstabe S in der Dialogbox eingetragen wird.
Vor allem wenn man es mit umfangreichen Datenmengen zu tun hat, erweist sich diese Methode als wertvoll: Der Administrator muss nicht mehr durch eine umfangreiche Liste mit OUs scrollen, um die gewünschte OU zu finden. Eine andere versteckte Änderung, die sich als nützlich im Umgang mit umfangeichen AD-Datenmengen erweist, ist die Begrenzung der Objekte: Das ADAC macht Schluss mit dem Anzeige-Limit von 2000 Objekten pro OU, wie es bei der ADUC gegeben war.
In der Listendarstellung ist es zudem noch möglich, die letzten drei Container anzuzeigen, auf die in einem bestimmten Navigations-Modus zugegriffen wurde. In einem weiteren Beispiel in Abbildung 4 (erneut das Beispiel mit dem komplexen AD auf einem englischsprachigen System) sind diese drei zuletzt benutzten Container im Navigations-Knoten EMEA Belgium\Brussels, Spain und Germany.
Im Kopfbereich des ADAC gibt es ein Feld, das einem direkt auf einen speziellen Container in der lokalen Domäne (oder zu einer vertrauenswürdig erachteten Domäne) zugreifen lässt. Dazu ist nur die Angabe eines LDAP-Pfads oder ein DN (Distinguished Name) beziehungsweise der hierarchische Pfad zum AD-Container anzugeben. In dem Beispiel aus Abbildung 4 lautet der hierarchische Pfad in diesem Feld “Active Directory Domain Services\dc-Americas\USA\Washington\Redmond\Tech”.
Man kann dieses Feld nutzen, um zu den Containern zu gehen, die Teil des Domänen-AD-Namenskontext einer lokalen Domäne (oder einer zu der eine Vertrauensbeziehung besteht) sind. Damit lässt sich aber nicht zum Konfigurations-, Applikations- oder Schema-Namenskontext gehen.
Weitere Anpassungen
Wenn der Administrator in der AD-Verwaltungsconsole die Eigenschaften eines AD-Objekts anzeigen möchte, (das lässt sich mit einem Doppelklick auf das betreffende Objekt oder mit einem Klick auf den Eigenschaften-Link im Aufgabenbereich erreichen), dann sieht man schon auf den ersten Blick den massiven Unterschied zur Darstellung, wie sie das Snap-in ADUC in der MMC liefert.
In Abbildung 5 ist die Darstellung auf einem englischsprachigen System (für den Benutzer Peter Kent) zu sehen, Abbildung 6 bringt die Darstellung auf einem deutschsprachigen System für den Benutzer Peter Pellmann.
Die ADAC zeigt nur die wichtigsten Eigenschaften und gruppiert diese Eigenschaften in einzelne Bereiche. Um die gängigen Verwaltungsaufgaben – wie das Löschen, Verschieben eines Objekts oder das Zurücksetzen des Kennworts – auszuführen, ist das Dropdown-Menü für die Aufgaben anzuklicken. Es befindet sich oben rechts auf der Eigenschaften-Seite.
Wer sich mit dieser neuen Darstellungsart nicht anfreunden kann, für den gibt es im letzten Bereich der Eigenschaften-Seite der ADAC unter der Bezeichnung Erweiterungen (Extensions) das gewohnte Bild mit den vielen Reitern, wie sie vom ADUC her bekannt sind. Allerdings kann der Administrator sich mit dieser Reiter-basierten Darstellung nur die Eigenschaften des Objekts für die Verwaltung der Eigenschaften verwenden, die nicht bereits in den anderen Bereichen enthalten sind.
Allerdings versetzt einem die ADAC auch in die Lage, die Eigenschaften-Seite für ein Objekt anzupassen. Es lassen sich Seiten-Bereiche ausblenden oder anzeigen – dazu gibt es verschiedene Buttons rechts oben bei jedem Bereich oder man kann das Dropdown-Menü für „Abschnitte hinzufügen“ einsetzen (es findet sich rechts oben in der Eigenschaften-Seite).
Doch für die meisten Administratoren wird eine mächtige Suchfunktion im AD den größten Wert aufweisen. Die Suchmaschine in der ADAC trägt die Bezeichnung Globale Suche (Global Search, siehe Abbildung 7). Sie ist sehr flexibel und bietet eine Vielzahl von Funktionen. Der Zugriff darauf erfolgt entweder über die Übersichtsseite des Verwaltungscenters oder über den Link zur Globalen Suche im Navigationsbereich.
Über diese Globale Suche lassen sich Anfragen an das AD erstellen, bei denen man spezielle Schlüsselwörter und Suchkriterien verwenden kann. Dazu stehen auch vorgefertigte Kriterien zur Verfügung, wie etwa „Benutzer, deren Kennwort ein Ablaufdatum bzw. kein Ablaufdatum besitzen“ oder „Benutzer mit aktivierten, jedoch gesperrten Konten“.
Gibt der Administrator die Option „In LDAP konvertieren“ an, wandelt die Globale Suche die ausgewählten Suchkriterien in einen LDAP-Abfrage-String um. Der lässt sich dann noch weiter optimieren – im Fenster „LDAP Abfrage eingeben“. Eine weitere interessante Funktion der Globalen Suche: Die Abfragen lassen sich speichern und stehen anschließend erneut zur Verfügung. Das Speichern der Abfrage ist recht einfach: Der Administrator muss nur auf den Button mit dem Diskettensymbol klicken. Um die gespeicherten Abfragen wiederzuverwenden, ist ein Klick auf den Punkt „Abfragen“ nötig und alle bisher abgespeicherten Abfragen stehen zur Auswahl.
Mit der ADAC steht eine einzigen Verwaltungsschnittstelle zur Verfügung, über die sich der Administrator mit mehreren Domänen verbinden kann. Sie bietet effiziente Werkzeuge für das Suchen und Bearbeiten von AD-Objekten auch in umfangreichen AD-Datenbanken. Allerdings unterscheidet sich das ADAC vom Snap-in ADUC, daher wird der Administrator sicher einige Zeit brauchen, um sich an das neue Tool zu gewöhnen.
Eine Kleinigkeit wünscht sich der Administrator allerdings: Die Refresh-Option. Das wäre sehr hilfreich, wenn man ADUC und ADAC gleichzeitig im Einsatz hat und wenn man Objekte im ADUC hinzufügt oder sie modifiziert. Auch für eine weitergehende Automation bestimmter Verwaltungsaufgaben wäre es noch schön, wenn man Zugriff auf den zugrundeliegenden Powershell-Code bekäme. Doch das könnte ja eine zweite Version dieses Werkzeugs mit sich bringen.