Schema-Änderungen im Active Directory

Das Schema eines Active Directory ist ein Regelsatz, der alle Objektklassen und ihre Attribute definiert, also etwa Benutzer, Gruppen, Computer, Drucker, Domänen, OUs usw. Das Schema unmittelbar nach dem Aufsetzen einer neuen Gesamtstruktur enthält die für den AD-Betrieb nötigen Objektklassen per Voreinstellung,

es ist jedoch erweiterbar, sowohl was die Objektklassen an sich als auch deren Attribute betrifft. Die Installation eines Exchange-Servers etwa bringt umfangreiche Schema-Änderungen mit sich, angefangen von einem Postfach pro User-ID bis hin zu dessen Profilphoto.

Schema-Änderungen ermöglichen per regsvr32.exe

Auch als Administrator kann man das Schema verändern, doch nicht ohne weiteres. Fehlerhafte Änderungen der im Schema hinterlegten Definitionen sind ein potentieller Single Point Of Failure nicht nur der Domäne, sondern der Gesamtstruktur. Die zuständige DLL ist deshalb als Voreinstellung nicht in Windows registriert, man muss dies erst per Eingabeaufforderung im Verzeichnis %SystemRoot%\System32 mittels des Befehls

regsvr32.exe schmmgmt.dll

selbst tun. Danach steht in der MMC das Snap-In „Active Directory-Schema“ zur Verfügung. Damit man das Schema wirklich ändern kann, muss der Schema-Master erreichbar sein, da es sich hierbei um eine FSMO-Rolle handelt.

Schema-Änderungen rückgängig machen

Einmal am Schema vorgenommene Änderungen bleiben permanent und können nicht wieder zurückgenommen werden. Das Schema schützt sich insofern selbst, als dass keine Objektklassen oder Attribute gelöscht werden können, hinzugefügte bleiben aber für immer erhalten. Auch die autorisierende Wiederherstellung eines DCs oder des Schema-Masters hilft hier nicht, da sie nur die Objekte selbst, nicht deren Klassen und Attribute erfasst.

Die einzige Möglichkeit, das Schema auf einen früheren Stand zurückzusetzen, besteht im Neuaufbau der Gesamtstruktur, einem Prozess, der Downtime bedeutet und dessen Details Microsoft in einem 58seitigen Dokument beschreibt. Grob sind dazu folgende Schritte nötig:

Alle DCs in der Gesamtstruktur vom Netz trennen
AD auf einem DC der Root-Domäne der Gesamtstruktur von einem Backup vor der Schema-Änderung wiederherstellen,
die Hierarchie hinunter pro Domäne das AD auf einem DC von einem Backup wiederherstellen,
wiederhergestellte DCs wieder online bringen,
wiederhergestellte DCs zu GC-Haltern machen,
die Hierarchien hinunter sukzessive alle DCs in allen Domänen wiederherstellen, allerdings nicht vom Backup, sondern durch Replikation (Neuinstallation der AD-Domänendienste).

Insgesamt hat das Verfahren nichts mehr mit planmäßiger Administration zu tun, sondern es handelt sich hier um Disaster Recovery. Selbstverständlich empfiehlt sich statt eines solchen Szenarios der Einsatz von Virtualisierungstechnik, um sämtliche Schema-Änderungen zunächst gründlich zu testen, bevor man sie einem produktiven Active Directory appliziert.

Google Rezensionen

4.8

Deluxe IT
Ohmstrasse 6, 8050 Zürich, Switzerland

Bewertung abgeben

Beliebte Beiträge

Kontakt

Deluxe IT International AG Ohmstrasse 6 8050 Zürich-Oerlikon

T		+41 44 310 50 60
M		+41 79 405 33 55
e		Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!


Öffnungszeiten:
Mo-Fr		09:00 - 12:30
		13:30 - 18:30
Sa		10:00 - 16:00