Getty Images
Active Directory: Den AD Explorer zur Navigation nutzen
Das Dienstprogramm erleichtert die Navigation in der AD-Datenbank und bietet Snapshot-Funktionen mit einer Vergleichsfunktion, um festzustellen, wo Änderungen Probleme verursachen.
Wenn Sie eine schnelle Lösung für eine Schlüsselkomponente in Ihrer Windows-Infrastruktur benötigen, gibt es oft ein Dienstprogramm, das genau auf diesen Bedarf zugeschnitten ist.
Das Active Directory (AD) ist eine grundlegende Technologie in Windows Server mit scheinbar zahllosen Funktionen und Vorteilen für das Unternehmen. Sein Zustand ist entscheidend für die Sicherheit und das allgemeine Wohlergehen des Unternehmens. Es ist wichtig, ein Tool zu haben, das das Identity-and-Access-Management-Plattform und die darin gespeicherten Objekte für das Troubleshooting und andere Verwaltungsaufgaben navigiert. Microsoft AD Explorer ist ein kostenloses, aber praktisches Dienstprogramm mit Suchfunktionen und anderen Funktionen, die das Troubleshooting und andere Aufgaben erleichtern.
Was ist Microsoft AD Explorer?
Microsoft AD Explorer ist ein Dienstprogramm, das Teil der Sysinternals-Suite ist. Der AD Explorer macht das Auffinden und Anzeigen von AD-Objekten effizienter, indem er die Verzeichnisstruktur umgeht, um die Attribute auf Genauigkeit zu überprüfen. Neben der Suche nach Objekten und dem Speichern dieser Abfragen kann AD Explorer einen Snapshot der AD-Datenbank mit der Option erstellen, Snapshots zu vergleichen, um Änderungen zu identifizieren, einschließlich der ursprünglichen und aktualisierten Attributwerte.
AD Explorer ermöglicht zwar keine direkten Rollbacks, bietet aber die Informationen, die Sie benötigen, um unbeabsichtigte oder fehlgeschlagene Änderungen an AD-Objekten rückgängig zu machen.
Weitere Funktionen des AD Explorers umfassen Folgendes:
- Anzeigen von AD-Objekten, einschließlich Attributen, Eigenschaften und Abhängigkeiten
- Verwalten von Berechtigungen für AD-Objekte
Was sind die Vorteile von Microsoft AD Explorer?
Die Fähigkeiten des AD Explorers, Snapshots zu erstellen und ein granulares Werkzeug für die Suche nach Objekten bereitzustellen, sind nicht seine einzigen Vorteile.
Wenn Sie ein Objekt auswählen, können Sie seine Attribute anzeigen, ohne dass Sie mit der rechten Maustaste klicken oder die Eigenschaften des Objekts durchsuchen müssen. Das ist viel schneller und bequemer als andere Werkzeuge.
AD Explorer erkennt die Drag-and-Drop-Funktionalität, um Objekte zwischen Containern zu verschieben.
Das Dienstprogramm speichert außerdem einen Verlauf der Objekte, auf die zuletzt zugegriffen wurde, um sie während einer Verwaltungssitzung schnell wiederzufinden.
Abschließend kann Microsoft AD Explorer Container und Organisationseinheiten (OUs), die Sie regelmäßig verwenden, mit Lesezeichen versehen.
So installieren Sie Microsoft AD Explorer
Die Sysinternals-Tools sind kostenlos. Sie können den AD Explorer direkt herunterladen. Speichern und entpacken Sie die gezippte Datei, und doppelklicken Sie dann auf das Programm ADExplorer.exe, um die Anwendung zu starten.
AD Explorer fordert Sie auf, eine Verbindung zu einer AD-Datenbank oder einem vorhandenen Datenbank-Snapshot herzustellen. Geben Sie den Namen eines Domänencontrollers, zum Beispiel DC1, und Ihre Anmeldedaten ein. Sobald Sie mit Ihrer AD-Instanz verbunden sind, können Sie die Struktur durchsuchen.
Die AD-Partitionen sind auf dem Domänencontroller gespeichert, einschließlich Schema, Konfiguration und Domänenpartitionen. Erweitern Sie den Domänencontroller-Knoten im Baumfenster, um Container und OUs anzuzeigen.
So verwenden Sie den Microsoft AD Explorer
Beginnen Sie mit dem AD Explorer, indem Sie die verschiedenen Objekte und Container durchsuchen. Die Struktur sollte Ihnen vertraut sein, wenn Sie schon einmal das Microsoft Management Console Snap-In Users and Computers (ADUC), die AD Domains and Trusts Console oder das AD-PowerShell-Modul verwendet haben.
Erweitern Sie den Domänencontroller-Knoten, um die Container und OUs anzuzeigen. Durchsuchen Sie die AD-Struktur nach einer OU Ihrer Wahl, und zeigen Sie die darin gespeicherten Objekte an.
In diesem Beispiel wurde die OU Benutzer (Users) ausgewählt, eine untergeordnete OU innerhalb der OU Vertrieb (Sales). Innerhalb der untergeordneten OU befinden sich zwei Benutzerkonten. Wenn ich ein Konto innerhalb der OU auswähle, zeigt AD Explorer seine Attribute an.
Diese Schnittstelle ist ein schnellerer Weg, um diese Attribute über ADUC, AD Administrative Center oder PowerShell anzuzeigen.
Wählen Sie eines der Attribute aus, um weitere Details anzuzeigen. Ähnliche Ergebnisse sind für Computerkonten oder jedes andere AD-Objekt verfügbar.
Sie können die Infrastruktur durchsuchen, wenn Sie wissen, in welchem Container oder welcher OU sich das gewünschte Objekt befindet. In vielen Fällen müssen Sie jedoch nach bestimmten Objekten suchen.
Wie man AD mit Microsoft AD Explorer durchsucht
Die Suchfunktion des Microsoft AD Explorer ist äußerst umfassend. Sie können nach jedem beliebigen Attribut suchen und Ihre Ergebnisse mit detaillierten Kriterien filtern.
Sie können die folgenden Suchkriterien im AD Explorer verwenden:
- Class: AD-Objektklasse, wie zum Beispiel OU
- Attribute: jedes beliebige Objektattribut
- Relation: ist oder ist nicht wie
- Value: Objektname oder anderer Wert, je nach Attribut
Verwenden Sie für die Suche die Symbolleiste oder klicken Sie mit der rechten Maustaste auf einen Container oder eine OE.
Im ersten Beispiel wird eine Suche nach einer OU anhand ihres Namens durchgeführt. Diese Funktion ist besonders praktisch in großen Unternehmensnetzwerken, in denen es Hunderte von OUs geben kann, die in mehreren Ebenen verschachtelt sind.
Speichern Sie Ihre Suchanfrage, wenn Sie sie regelmäßig verwenden möchten.
Angenommen, Sie möchten ein Benutzerkonto finden, wissen aber nicht, in welcher OU es gespeichert ist. Sie kennen auch nicht den vollständigen Namen des Benutzers, sondern nur seinen Vornamen. Wählen Sie im Suchmenü in der Symbolleiste die Option Container suchen (Search Container) und legen Sie dann die Suchparameter fest.
AD Explorer zeigt alle Benutzer an, die den Kriterien für den Vornamen entsprechen. Für andere Suchen, zum Beispiel nach einem Computerkonto, ist der Vorgang ähnlich.
Snapshots mit dem Microsoft AD Explorer erstellen
Ein häufiges Szenario beim Troubleshooting in AD besteht darin, zu untersuchen, warum etwas, das vorher funktionierte, nicht mehr funktioniert. Bei einer so komplexen Technologie wie dem Active Directory kann das eine schwer zu beantwortende Frage sein. Der Vergleich von Snapshots ist eine Möglichkeit, dieses Problem zu klären.
Ein Snapshot ist eine Aufzeichnung der AD-Datenbank zu einem bestimmten Zeitpunkt. Es handelt sich dabei nicht um ein Backup, da man damit keine Wiederherstellung oder ein Rollback durchführen kann, aber es ist hilfreich, zwei Snapshots zu vergleichen, um festzustellen, wo Änderungen aufgetreten sind. AD Explorer hilft Ihnen dabei, diese Änderungen zu finden.
Wenn Sie mit AD Explorer in einem Labor experimentieren, erstellen Sie einen Snapshot. Erstellen Sie dann ein neues Benutzerkonto und machen Sie einen weiteren Snapshot.
So führen Sie einen Vergleich in AD Explorer durch:
1. Öffnen Sie den AD Explorer für Ihre Datenbank, wählen Sie im Menü Datei (File) die Option Verbinden (Connect) und suchen Sie nach den Snapshot-Dateien. Laden Sie mindestens zwei Snapshots, um einen Vergleich durchzuführen.
2. Wählen Sie im Menü Vergleichen (Compare) die Option Snapshot vergleichen (Compare Snapshot), um anzuzeigen, was sich zwischen den Snapshots geändert hat.
Die Funktion Snapshot vergleichen wählt Klassen und Änderungstypen aus, um die Suche einzugrenzen. Diese Option ist nützlich, um Leistungsprobleme beim Vergleich großer Snapshots zu vermeiden.
Im folgenden Beispiel nehmen wir an, dass Sie Snapshots nach dem Erstellen einer neuen OU namens ProjectsTeam untersuchen möchten. Laden Sie zunächst die beiden Snapshots in AD Explorer. Fügen Sie dann den Snapshot hinzu, der mit dem aktuellen Snapshot verglichen werden soll. Der Bildschirm mit den Vergleichsergebnissen des AD Explorers zeigt die neue ProjectsTeam-OU.
Wie lassen sich ähnliche Tools mit Microsoft AD Explorer vergleichen?
Es gibt andere Dienstprogramme, die Administratoren zum Durchsuchen und Durchführen von Operationen in AD verwenden können.
JXplorer ist ein Java-basierter Open-Source-Editor für LDAP-Datenbanken (Lightweight Directory Access Protocol), wie zum Beispiel AD. Die aktuelle Version stammt aus dem Jahr 2013, das Tool ist aber immer noch in Produktion und mit Dokumentation und einem Administratorhandbuch erhältlich. JXplorer ist in zwei Versionen erhältlich: als kostenloser und quelloffener JXplorer-Download oder als kostenpflichtige JXWorkBench Enterprise Edition.
Administratoren, die gemischte LDAP-Umgebungen verwalten, werden den LDAP Explorer (LEX) zu schätzen wissen. Während die aktuelle Version mit Windows Server 2016 und Windows 10 kompatibel ist, kann man davon ausgehen, dass sie auch mit neueren AD-Versionen funktioniert. Es funktioniert auch mit OpenLDAP. Die Entwickler haben an LEX2 gearbeitet, das Microsoft Entra ID – früher Azure AD – und Microsoft-365-Abonnements unterstützen soll.
Hilfsprogramme von Drittanbietern können oft die integrierten Funktionen von Microsoft verbessern, aber in diesem Fall empfehle ich die Verwendung von AD Explorer, der weiterhin von Microsoft entwickelt wird. Das Alter von JXplorer und die Kosten von LEX sind ein Problem. Diese Tools können jedoch wertvoll sein, wenn Sie eine andere LDAP-Datenbank, wie zum Beispiel OpenLDAP, verwenden oder planen, diese zu verwenden.
