Nmedia - Fotolia
Tool-Tipp: Mit ADSI Edit Ordnung ins Active-Directory-Chaos bringen
Vor allem ältere Active-Directory-Datenbanken weisen oft fehlerhafte Einträge auf. Mit ADSI Edit kann das Active Directory wieder aufgeräumt werden.
Microsofts Verzeichnisdienst Active Directory wurde mit Windows 2000 Server eingeführt und ist damit sicherlich keine Neuigkeit mehr. Manche Unternehmen haben Active Directory sogar schon seit mehr als 15 Jahren im Einsatz. Mit steigendem Alter häufen Active-Directory-Datenbanken allerdings zunehmend chaotische Einträge und Beschädigungen an, beispielsweise durch nur teilweise entfernte Nutzer, fehlerhaft installierte/deinstallierte Applikationen oder einfach auch durch Admin-Fehler.
Dazu kommen Probleme, die gar nicht vom Active Directory selbst ausgehen müssen, beispielsweise durch einen fehlerhaften Exchange-Server, der nicht ordnungsgemäß aus der Umgebung entfernt wurde und dadurch Referenzen im Active Directory hinterlassen hat. Diese zurückgelassenen Referenzen können von Load Balancing bis Versions-Upgrades anschließend enorme Probleme mit anderen Exchange-Servern verursachen.
Windows Server bietet verschiedene interne Tools, mit denen sich fehlerhafte oder unnötige Einträge im Active Directory anzeigen lassen, aber mit diesen Tools lassen sich ungewollte Daten nicht aus dem Active Directory entfernen. Das dürfte verschiedene Ursachen haben, liegt aber wohl auch an der abgebrochenen Kette relationaler Objekte sowie an internen Sicherheitsmechanismen, die Active-Directory-Datenbanken vor potenziell schädlichen administrativen Eingriffen schützen sollen.
Active-Directory-Datenbanken mit ADSI Edit aufräumen
Microsoft ADSI Edit ist ein kostenfreies Programm, mit dem sich Active-Directory-Einträge aufräumen lassen, auch wenn übliche Active-Directory-Tools versagen. Im Kern ist ADSI Edit ein LDAP-Editor (Leightweight Directory Access Protocol) für die Active-Directory-Datenbank.
ADSI Edit umgeht die Sicherheitsmechanismen der üblichen Active-Directory-Tools, was die Software enorm mächtig, aber auch potenziell sehr zerstörerisch macht. Bevor ADSI Edit zum Einsatz kommt, sollte also dringend ein Backup des Active Directory angelegt werden. Falsch verwendet, kann ADSI Edit das gesamte Active Directory unbrauchbar machen.
Tatsächlich ist auch ADSI Edit (Active Directory Service Interfaces Editor) standardmäßig Teil von Windows Server. Um das Tool zu starten, muss der adsiedit.msc-Befehl in der Eingabeaufforderung des Domänen-Controllers eingegeben werden. ADSI Edit lässt sich auch auf einem Server ausführen, der nur Mitglied der Domäne ist, aber dies erfordert normalerweise das manuelle Registrieren der adsiedit.dll-Datei.
Nachdem ADSI Edit gestartet wurde, erfolgt die Verbindung zum Active Directory über einen Rechtsklick auf den ADSI Edit Container in der Menüleiste, anschließend kann per Connect to das Active Directory ausgewählt werden.
Abbildung 1: Verbindung mit dem Active Directory herstellen
Im nächsten Schritt werden Einstellungen wie Server oder Domäne ausgewählt, die editiert werden sollen. Hier können zum Beispiel auch die Standardeinstellungen behalten werden. Anschließend wird die Auswahl mit einem Klick auf OK bestätigt.
Abbildung 2: Auswahl der grundlegenden Einstellungen
Abbildung 3 zeigt, dass ADSI Edit die gleichen Container anzeigt, die auch Standardtools zum Bearbeiten des Active Directory bieten. Ein Klick auf einen Container erweitert diesen und bietet Zugriff auf Active-Directory-Objekte oder darunterliegende Container.
Abbildung 3: Blick auf Active-Directory-Container mit ADSI Edit
Mit ADSI Edit lassen sich abhängig vom Objekt-Typ unterschiedliche Management-Aufgaben durchführen, meist wird es wohl um das Löschen nicht mehr benötigter Objekte gehen, möglich wären aber auch andere Aktionen, wie das Zurücksetzen eines Passwortes.
Abbildung 4: Kontextmenü mit möglichen Aktionen in ADSI Edit
Um die möglichen Aktionen für ein Objekt oder einen Container zu sehen, muss über einen Rechtsklick das Kontextmenü aufgerufen werden. Standardaktionen wären zum Beispiel auch Verschieben, Löschen, Umbenennen oder Anzeigen der Eigenschaften.
Folgen Sie SearchDataCenter.de auch auf Twitter, Google+ und Facebook!