Active Directory und die PowerShell – Einstieg
2. März 2017Der Einsatz der Windows Powershell (PS) vereinfacht den Administratoren das Management, die Grundkonfiguration und das Verändern von Funktionen im Active Directory (AD). Denn auf diese Weise müssen sich die Systembetreuer nicht mit der grafischen Oberfläche (GUI) „herumschlagen“. Sind doch in der GUI oftmals die benötigten Funktionen in verschiedene Untermenüs verschachtelt. Auch falls etwa eine neue Gesamtstruktur erstellt werden soll, müssen die Systembetreuer nacheinander die benötigten Parameter im entsprechenden Assistenten eingeben, dies ist in der regel zeitintensiv. Schneller gehen derartige Konfigurationsschritte von der Hand, wenn die einzelnen Parameter in ein PS-Skript integriert werden, und dieses im Anschluss daran nur noch ausgeführt wird. Für das AD stehen dabei sehr viele Möglichkeiten zur Verfügung.
Um eine Gesamtstruktur mit Hilfe der Powershell zu erstellen, setzen die Systembetreuer den Befehl „Install-AdddnssForest“ ein. An dieser Stelle sind unterschiedliche Optionen verfügbar. So lassen sich die benötigten Daten für die Gesamtstruktur definieren. Eine Testumgebung könnten die Administratoren mit folgendem Skript erstellen:
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath "C:\Windows\NTDS" -DomainMode "6" -DomainName "testlabor.local" -DomainNetbiosName "testlab" -ForestMode "6" -InstallDns:$true -LogPath "C:\Windows\NTDS" -NoRebootOnCompletion:$false -SysvolPath "C:\Windows\SYSVOL" -Force:$true
Bei den Parameter wie etwa „-DomainMode“ oder„-ForrestMode“ können entweder Werte von „2″ bis „6″ angegeben werden, oder die Systembetreuer fügen den gewünschten Funktionslevel aus (etwa „Win2012R2„). genauere Informationen zu diesem Cmdlet, sowie eine Erklärung aller parameter finden die Systembetreuer auf der entsprechenden Technet-Seite. Nun müssen die Systembetreuer das Passwort für den Verzeichnisdienstwiederherstellungsmodus angeben. Danach werden die Domäne und die Gesamtstruktur erstellt. Die benötigten Neustartvorgänge zum Erstellen der Gesamtstruktur führt der Server an dieser Stelle automatisch aus.
Um die Installation der AD-Rolle zu komplettieren wird noch der DNS-Dienst benötigt. Nach dem heraufstufen zum Domänencontroller (DC), wird die DNS-Zone der Domäne automatisch konfiguriert. Somit können sich neue Clients in der DNS-Zone registrieren –aber nur wenn sie bereits Mitglied der Domäne sind.
Domänencontroller in bestehende Domänen integrieren
Um in einer vorhandenen Domäne einen neuen Domänencontroller zu installieren, kommt beispielsweise das Cmdlet „Install-ADDSDomainController“ zum Einsatz. An dieser Stelle definieren die Systembetreuer noch die benötigten „Umgebungsparameter“. Beispielsweise ist es nötig, den Domänen-Namen sowie das Passwort für den Verzeichnisdienst-Wiederherstellungsmodus anzugeben. Diese Angaben müssen sicherheitshalber dabei als „SecureString“ konfigurieret werden:
Install-ADDSDomainController -Domainname <DNS-Domänen-Name> -SafeModeAdministratorPassword (read-host -prompt Password -assecurestring)
Weitere Skripte und Cmdlets– etwa um „neue“ Mitgliedsserver zur Domäne hinzuzufügen, oder Befehle zum Umbenennen von vorhandenen Servern – finden Interessierte in nächsten Teil dieser Beitragsreihe.
Florian Huttenloher