Papierkorb

Ebenfalls neu im Windows Server 2008 R2 ist der von vielen Admins bisher schmerzlich vermisste Papierkorb für AD-Objekte. Dieser macht es möglich, gelöschte (als "tombstoned" bezeichnete) Objekte wiederherzustellen. Mit dem neuen Papierkorb für AD-Objekte kennzeichnet Windows Server das Objekt vorerst nicht als tombstoned. Vielmehr verbleibt es per Default 180 Tage im Papierkorb. Erst nach Ablauf der Tombstone-Lifetime entfernt Windows Server sämtliche Backlinks. Allerdings taucht der Papierkorb nicht in der grafischen Oberfläche eines der verfügbaren grafischen AD-Tools auf, sondern lässt sich ausschließlich über das Cmdlet »RestoreADObject« bedienen.

Ein weiteres neues Feature im Active Directory 2008 R2 ist der sogenannte Offline-Domänenbeitritt. Bisher war nämlich eine bestehende Netzwerkverbindung unbedingte Voraussetzung, wollte sich ein Client an einer AD-Domäne anmelden. Problematisch ist das insbesondere dann, wenn der Domänenbeitritt schon während der Installation von Windows Vista oder Windows 7 erfolgen sollte, das Netzwerk aber nicht konfiguriert ist. Mit dem neuen Offline-Domänenbeitritt kann der Admin den Domänenbeitritt einfach auf den Zeitpunkt des ersten Rechnerstarts verschieben und die Installation des Clients fortsetzen, wozu das Tool »djoin.exe« dient, das eine Konfigurationsdatei für den Client erstellt und Metadaten für ein Computerkonto im AD anlegt. Neben diesen bedeutenden Neuerungen verfügt das AD-Modul für die Powershell über eine große Anzahl neuer Cmdlets. Eine Übersicht liefert:

Get-Command *-AD*

Wer sich eine Übersicht sämtlicher neuer AD-Funktionen im Windows Server 2008R2 verschaffen möchte, dem stehen im MS Technet unter [3] etliche Step-by-Step-Anleitungen zur Verfügung, die anhand praktischer Beispiele mit den neuen Funktionen vertraut machen.

Fazit

Ein Verzeichnisdienst ist unverzichtbar für die Ressourcenverwaltung in großen Netzen. Während das im Open-Source-Umfeld verbreitete OpenLDAP zwar in dieser Hinsicht unendlich flexibel ist, nutzen die meisten Distributionen LDAP maximal zum Authentifizieren von Posix-, Cyrus oder Samba-Nutzern, gelegentlich auch für Computerkonten. Eine Linux-Distribution, die LDAP intensiv nutzt und ein Domänen-Konzept mit zugehörigen Rollen für Server und Clients umsetzt, ist der im letzten Heft vorgestellte Univention Corporate Server [6].

Bei Microsofts Server-Betriebssystem spielt das Konzept der Domäne zur Verwaltung sämtlicher Ressourcen im Unternehmens-Intranet eine zentrale Rolle, die sich zur Zeit seiner Entstehung durch LDAP nur schwer füllen ließ. Seit Windows 2000 hat sich Active Directory stetig weiterentwickelt und es in Windows Server 2008 R2 unter der Bezeichnung ADDS zu beachtlicher Reife gebracht, die selbst das Verwalten hunderttausender Objekte möglich macht. Besonders überzeugend sind die grafischen Verwaltungswerkzeuge, wenngleich selbst Microsoft in jüngster Zeit wieder die Vorteile der Kommandozeile entdeckt hat und die neue Powershell zu einem zentralen Werkzeug im derzeit fortschrittlichsten Verzeichnisdienst erhebt. (ofr)