Suchen

Active Directory effektiver und sicherer betreiben Schnell umsetzbare Tipps für Domänencontroller

| Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

In Windows gibt es zahlreiche Bordmittel, mit denen sich Domänencontroller überwachen, Fehler beheben und Informationen auslesen lassen. In diesem Beitrag zeigen wir einige Tipp, die schnell umsetzbar und einfach anzuwenden sind.

Firma zum Thema

Domänencontroller und Active-Directory-Umgebungen lassen sich auch mit Bordmitteln umfassend verwalten. Wir geben Tipps.
Domänencontroller und Active-Directory-Umgebungen lassen sich auch mit Bordmitteln umfassend verwalten. Wir geben Tipps.
(Bild: Microsoft / Joos)

Domänencontroller lassen sich auch mit Bordmitteln umfassend verwalten. Es gibt dazu jedoch einige Vorgehensweisen, mit denen die Arbeit erleichtert und Fehler schneller gefunden werden. Dabei sollten Profis neben den Tools für die grafische Oberfläche auch auf die PowerShell und die Eingabeaufforderung setzen. Auch im Windows Admin Center gibt es Möglichkeiten zur Verwaltung von Active Directory. Diese sind derzeit aber noch eingeschränkt, werden jedoch sukzessive erweitert.

Schneller Überblick zu Domänen und Gesamtstrukturen in der PowerShell – inklusive Betriebsmaster

In der PowerShell kann mit zwei Cmdlets sehr schnell ein Überblick über die Active Directory-Gesamstruktur und die einzelnen Domänen gewonnen werden. Mit „Get-ADDomain“ werden die Betriebsmaster der Domäne (Infrastruktur, RID und PDC) angezeigt, der DNS-Name, die Domänencontroller, der Betriebsmodus, die wichtigsten Organisationseinheiten und weitere Informationen.

Bildergalerie

Bildergalerie mit 8 Bildern

Mit „Get-ADForest“ wird zusätzlich noch der Domänennamenmaster, der Schemamaster, die Standorte, UPN-Suffixe und die Domänen angezeigt. Die beiden Cmdlets liefern also in wenigen Sekunden alle relevanten Informationen zu Domänen, Strukturen und Gesamtstrukturen.

Wer noch einen tiefergehenden Überblick zu den Domänencontrollern erhalten will, verwendet noch das Cmdlet „Get-ADController“. Hier wird zudem die IP-Adresse angezeigt. Auch die Betriebsmaster, die auf dem Domänencontroller aktiv sind, zeigt das Cmdlet an. Außerdem wird angezeigt, ob der Domänencontroller auch als globaler Katalog konfiguriert ist, welches Betriebssystem und welche Edition installiert ist, welchem Standort er zugewiesen wurde, und auf welche Ports er im Netzwerk hört.

Alle Cmdlets, die Informationen zu Active Directory anzeigen, lassen sich mit dem Befehl

get-command -module activedirectory -name get*

abrufen.

Konfiguration der AD-Kennwortrichtlinien steuern und anzeigen

In der PowerShell können mit „Get-ADDefaultDomainPasswordPolicy“ die Einstellungen der Kennwortrichtlinie in der aktuellen Domäne angezeigt werden. Die Einstellungen werden in der Gruppenrichtlinienverwaltungskonsole (gpmc.msc) für die entsprechende Richtlinie gesteuert. Der Pfad für die Konfiguration der Kennwortrichtlinie lautet „Computerkonfiguration/Richtlinien/Windows-Einstellungen/Sicherheitseinstellungen/Kontorichtlinien/Kennwortrichtlinien“.

Domänencomputer in der PowerShell anzeigen und zählen

Mit dem Befehl „Get-ADComputer -Filter *“ werden alle Computer und deren SID angezeigt, die Mitglied in der aktuellen Active-Directory-Domäne sind. Dadurch lässt sich in Erfahrung bringen, ob die Domänencontroller fehlerfrei abgefragt werden können. Mit dem Cmdlet „(Get-ADComputer -Filter *).count“ werden die Objekte gezählt und die Gesamtzahl der Computer angezeigt, die Mitglied in Active Directory sind.

SRV DNS-Einträge für Domänencontroller in Active Directory kontrollieren

Die DNS-Einträge in Active Directory spielen eine wichtige Rolle, damit Domänencontroller sich untereinander verbinden können, und damit Clients mit den Servern eine Verbindung aufbauen können. Die Überprüfung kann in der Befehlszeile mit „nslookup“ durchgeführt werden:

  • Starten Sie „nslookup“
  • Geben Sie „set type=all“ ein
  • Geben Sie „_ldap._tcp.dc._msdcs.<Name der Domäne> ein, zum Beispiel „_ldap._tcp.dc._msdcs.joos.int“

Verwaltungstools einfacher aufrufen – dsa.msc, dssite.msc, domain.msc

Um Active Directory zu verwalten, Fehler zu beheben, oder Informationen abzurufen, stehen vor allem die bekannten Verwaltungstools der Managementkonsole zur Verfügung. Dazu gehören die Verwaltung der Benutzer und Computer mit der Konsole „Active Directory-Benutzer und Computer (dsa.msc), und die Verwaltung der Standorte und Dienstes mit „Active-Directory-Standorte und -Dienste (dssite.msc)“ oder das Active-Directory-Verwaltungscenter (dsac.exe). Diese Tools werden am häufigsten verwendet, und lassen sich über ihre Startdatei aufrufen. Die Befehle können in der Eingabeaufforderung, im Suchfeld der Taskleiste und in der PowerShell aufgerufen werden. Die DNS-Verwaltung starten Sie mit „dnsmgmt.msc“, Die Konsole „Active Directory-Domänen und -Dienste“ mit „domain.msc“.

nformationen zum eigenen Benutzer in der Befehlszeile abrufen: Kennwortablauf, Gruppenmitgliedschaft und mehr in Erfahrung bringen

Mit dem einfachen Befehl „net user %username% /domain“ kann jeder Benutzer in der Befehlszeile überprüfen, ob sein Konto aktiv ist, wann das Kennwort abläuft, in welchen Gruppen er Mitglied ist, und wann die letzte Anmeldung erfolgt ist. Das ist besonders für Administratoren interessant, die dadurch auch in Erfahrung bringen können, ob das entsprechende Konto in allen notwendigen Gruppen Mitglied ist.

Active Directory im Fokus

Bildergalerie mit 35 Bildern

(ID:46675181)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist