Skip to content

Verifizierung von Gruppenrichtlinienobjekten mit "GPOTool"

MCSE Dem Gruppenrichtliniencontainer und der Gruppenrichtlinienvorlage werden jeweils Versionsnummern zugewiesen. Bei Änderungen des Gruppenrichtlinienobjekts werden diese um eins erhöht. Man kann das Hilfsprogramm "GPOTool" verwenden, ein Befehlszeilen-Programm um den Zustand der Gruppenrichtlinienobjekte auf Domäne-Controllern zu überprüfen
Download "gpotool.exe"

Treten hier Fehler auf sollte man das letzte funktionierende Backup verwenden um den Systemstatus auf dem Domänencontroller wieder herzustellen.

Container "LostAndFound" in AD-Benutzer und -Computer

MCSE Active Directory-Benutzer und -Computer kennt "Erweiterte Funktionen", die im Menü Ansicht zwei zusätzliche Ordner angezeigt. Einer davon ist der Container "LostAndFound", er enthält Objekte, deren Container gleichzeitig mit dem Erstellen des Objekts gelöscht wurden.

Wenn Active Directory Objekte in eine Organisationseinheit verschoben werden, die nicht mehr existiert (z.B. nach Replikation), landen die Objekte im Container LostAndFound und können aus diesem einfach in eine andere OU verschoben werden

In der Konfigurationsverzeichnispartition gibts für denselben Zweck für gesamtstrukturweite Objekte auch einen Container "LostAndFoundConfig".

Tombstone Lifetime modifizieren mit "ADSIEdit.msc"

MCSE Die ADSI-Bearbeitung ist ein Tool von Microsoft Windows Server, um unformatierte Active Directory-Verzeichnisdienst-Attribute über das ADSI-Protokoll (Active Directory Services Interfaces) anzuzeigen und zu bearbeiten. Da keine Suchfunktionen enthalten sind muss man das Objekt kennen.

Der "AdsiEdit.msc" ist ein Snap-In für die MMC (Microsoft Management Console) und kann mit der Menüoption Snap-In hinzufügen/entfernen von MMC eingefügt werden.Das klappt aber nur wenn die Datei "adsiedit.dll" registriert ist. Bei der Installation der Supporttools wird die ausgeführt oder man kann "adsiedit.dll" mit dem Befehl "regsvr32" registrieren.

Um z.B. Objekte aus dem drei Monate alten Backup wiederherzustellen, muß die Tombstone Lifetime (normalerweise 60 Tage, seit Service Pack 1 vom 2003-Server: 180 Tage) modifiziert werden. Dazu kann man alternativ auch das grafische Tool "ldp" verwenden:
http://www.tecchannel.de/server/windows/443285/index5.html

Benutzern einer OU Rechte entziehen

MCSE Fallbeispiel: Die Mitarbeiter der Marketing-Abteilung soll diverse Funktionen nicht mehr verwenden können. Dazu sollen ihnen z.B. das Recht entzogen werden, die Systemsteuerung aufzurufen:


Außerdem sollen die Benutzer über das Startmenü keinen Zugriff auf die Netzwerkverbindungen erhalten können.


Schließlich soll noch das Symbol Arbeitsplatz soll nicht auf dem Desktop angezeigt und alle Änderungen am Desktop bei der Abmeldung des Benutzers verworfen werden.

Partitionstabelle kaputt - Daten weg?

Software Auch als MCSE sollte man sich gut überlegen ob man die Datenträger-Verwaltung verwendet um Partitionen anzulegen oder zu verändern. Das Wochenende habe ich mir gerade den Luxus geleistet meine Daten wieder herstellen zu müssen nachdem ich nur mal eben eine Linux-Partition zur Datenpartition für Windows machen wollte.
Windows ist eben einfach zu blöde mit mehreren primären Partitionen umzugehen, zumindest wenn diese nicht mit dem Microsoft-Bordwerkzeug erstellt wurden führt dies recht sicher zu Datenverlust. Das war mir auch soweit bekannt, dass es schon reicht einfach nur eine Partition zu aktivieren, war dann doch ein Schreck zu später Stunde.
Nun ist so eine geschrottete Partitionstabelle schon eine unangenehme Sache, vor allem wenn auch kein Backup des MBR mehr existiert, wo man nachgucken könnte wie die Platte denn mal partitioniert war. Der erste Griff ging darum auch zum Backup, das aber nicht mehr so ganz frisch war. Ein Data-Recovery war hier also eindeutig die bessere Lösung.
Es gibt zwar für diesen Zweck auch Programme in der Kiloeuro-Klasse (wie z.B. von Ontrack) die sowas können, aus naheliegenden Gründen aber nicht bei mir verfügbar sind. Nun sind Daten nie wirklich weg, die echten Spezialisten stellen sowieso aus Resten von Computern, die kaum noch als solche erkennbar sind (z.B. aus dem zusammgestürzten World Trade Center) Daten wieder her. Es ist alles nur eine Frage des Aufwands den man treiben möchte.
SuSE-Linux hatte immer für die System-Rettung das "gpart" dabei, ein kleines Kommandozeilen-Tool, das die Festplatte nach Signaturen der Startsektoren verschiedener Systeme absuchen und eine neue Partitionstabelle erstellen konnte. Aber zufällig fiel grad die neue Knoppix aus der c't die grad am Wochenende im Briefkasten steckte. Knoppix ist für solche Operationen eine gute Wahl, weil es einfach von der DVD bootet und alles mitbringt um auf alle Platten zuzugreifen und die Daten auch z.B. übers Netz wegzuschreiben.
Von der Root-Shell lässt sich "TestDisk" starten. Das Programm macht so ziemlich das selbe wie "gpart", aber ist mit einer kleinen Menüführung komfortabler in der Handhabung. Es macht mir auch den Eindruck vom Entwicklungsstand weiter zu sein, das kann ich aber nicht konkret an bestimmten Features fest machen. Auf jeden Fall war hiermit die Wiederherstellung der Partitionstabelle eine Sache von wenigen Sekunden.
Der Programmierer von "TestDisk" hat übrigens noch ein weiteres Programm "PhotoRec", mit dem man Daten von Speicherkarten für Digitalkameras retten kann. Statt nach Startsektoren sucht es nach Headern gängiger Grafikformate - da auf diesen Speichern kaum fragmentiert wird, hat man mit dem Anfang der Datei auch fast immer den Rest zu packen. Interessant auch der Test, den der Programmierer sich für sein eigenes Programm ausgedacht hat: Von ein paar gebrauchten Speicherkarten bei ebay konnte er alles wieder herstellen was da mal so geknipst wurde ...
tweetbackcheck