Mit Windows Server 2008 bringt Microsoft eine tolle Funktion mit: das Erstellen von Active Directory Snapshots. Mit dieser Funktion lassen sich alte Datenbankstände einsehen und überprüfen, alte Objektstände und deren Attribute, wie Benutzer mit Gruppenmitgliedschaften nachverfolgen, um bei einer versehentlichen Löschung die Originaldaten einsehen zu können. Wie Snapshots unter Server 2008 funktionieren, erfährt man hier:
[faq-o-matic.net » Windows Server 2008: Snapshots des Active Directory]
http://www.faq-o-matic.net/2007/04/30/windows-server-2008-snapshots-des-active-directory/
Leider müssen die Schnappschüsse relativ umständlich mit dem Tool ntdsutil geschossen und bedient werden, anschließend mit LDP untersucht und danach wieder „unmounted“ werden. Für einen kurzen Blick in die Datenbank fast etwas umständlich. Mit dem frei verfügbaren Tool „ADExplorer“ von den Sysinternals (jetzt Microsoft), lässt sich eine ähnliche Funktion herstellen: viel einfacher und schneller.
Dabei bringt ADExplorer nicht nur Read-only-Funktionalität mit, sondern lässt, im Stile der ADSIEdit-MMC-Konsole, Änderungen an der Verzeichnisdatenbank zu. Das Tool kann unter http://technet.microsoft.com/en-us/sysinternals/bb963907.aspx heruntergeladen werden, ist rund 250 KByte groß und benötigt keine Installation. Für die Verbindung zum Domänencontroller benötigt man nach dem Start des Programms lediglich den Servernamen und die Angabe seiner Anmeldedaten:
Geöffnet wird eine Ansicht auf die Verzeichnisdatenbank. Auf der linken Seite der Ansicht ist der Baum zu erkennen, der die drei Namenskontexte, Schema, Configuration und den Domänen-Namenskontext zeigt. Ähnlich wie in „Active Directory Benutzer und Computer“ kann durch die Struktur navigiert werden. Optisch erinnert diese Ansicht an ADSIEdit. Per Klick auf die einzelnen Objekte kann jeweils rechts die „Detailansicht“ auf das Objekt aktualisiert werden. Hier werden alle mit Werten gefüllten Attribute des Objektes angezeigt und aufgelistet.
Um eine Momentaufnahme der AD-Datenbank zu erstellen, kann entweder die Diskette oder der Befehl „Create Snapshot“ im Menü „File“ gewählt werden. Im aufpoppenden „Snapshot“-Fenster lassen sich sowohl eine Beschreibung als auch einen Pfad für die Snapshoterstellung hinterlegen. Wichtig ist, bei der Verwendung des „…“-Knopfes für die Auswahl des Pfades, die Dateiendung „.dat“ händisch anzugeben und diese vor der Snapshoterstellung nochmals zu überprüfen. Das Tool fügt die Erweitung nicht selbstständig hinzu. Anschließend kann der Snapshot erstellt werden.
Die Schnappschüsse können, nachdem sie in der neu erstellten .dat-Datei angelegt wurden, kopiert und sicher verwahrt werden. Sie können anschließend von jeder Maschine, auf der ADExplorer installiert ist, geöffnet und eingesehen werden – es besteht keine Verbindung mehr zur live-AD-Datenbank. Das mag eine nützliche Funktion sein, um komplett „offline“ Daten ansehen zu können, an dieser Stelle sei aber angemerkt, dass der Schnappschuss alle kritischen Daten des Verzeichnisses beinhaltet und deshalb ähnlich sorgfältig und vertraulich wie ein Backup oder der Domänencontroller selbst behandelt werden muss!
Um einen Vorher-Nachher-Vergleich anstellen zu können, muss ein weiterer Snapshot erstellt werden. Das Tool kann nur zwischen zwei Snapshots vergleichen – nicht zwischen einem Snapshot und den aktuellen Datenbankdaten. Es gilt also, wie bereits beschreiben, einen zweiten Snapshot anzulegen.
Für den Vergleich zweier Momentaufnahmen wird ADExplorer neu gestartet. Anstatt jedoch den Server und die eigenen Anmeldedaten anzugeben, muss die zweite Option, „Enter a path of a previous snapshot to load“, gewählt und der „Vorher“-Snapshot gewählt werden. ADExplorer zeigt daraufhin die Daten der drei Namenskontexte an, die es zum Zeitpunkt der Schnappschusserstellung gespeichert hat. An dieser Stelle sei auch angemerkt, dass weitere Snapshots oder die aktuelle Ansicht der AD-Datenbank über den „Öffnen“-Knopf hinzugefügt werden können. Hierdurch lassen sich mehrere Snapshots mit den aktuellen Daten – zumindest von Hand – vergleichen.
Für den automatisierten Vergleich der beiden erstellten Schnappschüsse wählt man „Compare->Compare Snapshot“ aus dem Menü. Hier erfolgt die Auswahl des zweiten Snapshots. An dieser Stelle erlaubt es ADExplorer, nach Änderungen gezielt zu filtern. Es kann auf Objekt- sowie Attributebene ausgewählt werden, welche Veränderungen zwischen den beiden Snapshots vorgenommen wurden. So ist es beispielsweise möglich, nur Änderungen an Benutzerobjekten zu. Dies kann interessant sein, wenn Veränderungen an bestimmten Objekten oder Attributen nachverfolgt werden muss.
Je nach Anzahl der Veränderungen und Größe der Active Directory-Datenbank kann die Vergleicherstellung einige Sekunden dauern. Das folgende Bild zeigt ein Beispielauswertungsergebnis:
Im Beispiel können wir alle Änderungen an allen Objekten zwischen dem ersten und zweiten Schnappschuss sehen. Es wurde keine Filterung an Objekten oder Attributen vorgenommen. Aus dem letzten und ersten Eintrag der Ergebnisses kann man erkennen, dass der Benutzer „Jack Black“ gelöscht wurde („Object missing in second“ deutet darauf hin, dass er aus seiner OU nach dem ersten Snapshort gelöscht und anschließend in „Deleted Objects“ neu erstellt wurde: „Object missing in first“). Desweiteren wurden Änderungen am Benutzerobjekt von Florian F vorgenommen, wie etwa das Einfügen von Adresse, Ort und Telefonnummer. Gut zu erkennen ist auch, dass sich der Administrator der Domäne an unserem Domänencontroller angemeldet hat („logonCount“, mehrfach – wahrscheinlich um ein Tool zur Objektveränderung, wie Active Directory Benutzer und Computer, zu starten :-).
Diese schnell und einfach ausführbare Filterfunktion macht ADExplorer zu einem in vielen Bereichen einsetzbaren Tool: ob man Änderungen einer Applikation in einer Testumgebung mitschneiden möchte, zwei Active Directory-Datenbankstände für forensische Zwecke vergleichen muss oder der Urlaubsvertretung auf die Finger schauen will: ADExplorer kann in all diesen Fällen hilfreich sein.
http://faq-o-matic.net/?p=1096