Sie sind auf Seite 1von 5

Abstrakte Klassen können durch erweiterungsklassen zu einer Strukturellen Klasse erweitert

werden
durch diese Strukturellen Klassen kann man Objekte im im Active Directory ablegen

Beispiel.
AS Klasse top
ab hier entstehen durch hinzufügen von Atributen
AS Klasse person
AS Klasse organ.person mit

Attribute für Kurs


mcitp.DriversLicense |
mcitp.certifications | ---> Diese in neue klasse mcitp
mcitp.hobby |

Attribute können an abstrakte klassen als Eigenschaften oder als erweiterungsklasse angefügt
werden
sauberer sind die erweiterungsklassen.

Für Schema

mmc->
Datei snapin hinzufürgen AD Schema

PS C:\Users\Administrator> Import-Module act* <---- importidert active directory ins


PowerShell
PS C:\Users\Administrator> get-command enab* -module act* <---zeigt alle commands die mit
enable beginnen im modul active directory

Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target


'mcitp03.tst'
löscht alles in Recycle bin

Get-ADObject -LDAPFilter:"(msDS-LastKnownRDN=Produktion)" -IncludeDeletedObjects |


Restore-ADObject

Restored die gelöschte Organisationseinheit


Get-ADObject -Filter {lastknownParent -eq "OU=Produktion,OU=AD Users,DC=mcitp03,DC=tst"}
-IncludeDeletedObjects | Restore-ADObject
restore die inhalte der organisationseinheit

recyclebin funktioniert nur ab W2008 r2

----------------------------------------------
Sys Atribute ändern die normalerweise nicht änderbar ist

ion ldp. exe nach verbinden


rechtklich ändern ohne auswahl
schemaUpdateInProgress
wert 1
------------------------
Kenwort Richtlinmien
=======================
NAME

New-ADFineGrainedPasswordPolicy

ÜBERSICHT

Erstellt eine neue abgestimmte Active Directory-Kennwortrichtlinie.

SYNTAX

New-ADFineGrainedPasswordPolicy [-Name] <string> [-Precedence] <System.Nullable[int]> [-


AuthType {Negotiate | Basic

}] [-ComplexityEnabled <System.Nullable[bool]>] [-Credential <PSCredential>] [-Description


<string>] [-DisplayName

<string>] [-Instance <ADFineGrainedPasswordPolicy>] [-LockoutDuration


<System.Nullable[System.TimeSpan]>] [-Lockout

ObservationWindow <System.Nullable[System.TimeSpan]>] [-LockoutThreshold


<System.Nullable[int]>] [-MaxPasswordAge <

System.Nullable[System.TimeSpan]>] [-MinPasswordAge
<System.Nullable[System.TimeSpan]>] [-MinPasswordLength <System

.Nullable[int]>] [-OtherAttributes <hashtable>] [-PassThru <switch>] [-PasswordHistoryCount


<System.Nullable[int]>]

[-ProtectedFromAccidentalDeletion <System.Nullable[bool]>] [-ReversibleEncryptionEnabled


<System.Nullable[bool]>]

[-Server <string>] [-Confirm] [-WhatIf] [<CommonParameters>]

BESCHREIBUNG

Das Cmdlet "New-ADFineGrainedPasswordPolicy" erstellt eine neue abgestimmte Active


Directory-Kennwortrichtlinie. Si

e können häufig verwendete Eigenschaftenwerte für abgestimmte Kennwortrichtlinien mithilfe


der Cmdlet-Parameter fes

tlegen. Eigenschaftenwerte, die keinen Cmdlet-Parametern zugeordnet sind, können mit dem
OtherAttributes-Parameter

festgelegt werden.

============

Kennwortrichtlinien an Gruppen Hängen!

unter ADSI
CN=System
CN=PasswortSettingsContainer
Neu Objekt
Zeiten mit : ändern Tage:Stunden:Minuten:Sekunden (bis auf tage alles immer zweistellig)
anhängen an eine Gruppe:
Erweiterte Atribute: nach msds_PSO suchen, distinguished name für die jeweilige gruppe
eingeben

man kann als unlock für accounts nicht 0 angeben, ist bei befehlszeilen programm möglich

befehlszeile in Powershell:
PS C:\Users\Administrator> New-ADFineGrainedPasswordPolicy -Name PS_Buchhaltung
-ComplexityEnabled $False -LockoutDuration "0.03:00:00" -LockoutObservationWindow
"0.01:00:00" -LockoutThreshold 5 -MaxPasswordAge "30.00:00:00" -MinPasswordAge
"1.00:00:00" -MinPasswordLength 4 -PasswordHistoryCount 5 -ReversibleEncryptionEnabled
$False -ProtectedFromAccidentalDeletion $True -Precedence 2

umlagern von AD datenbank:


zuerst ntds stoppen mit net stop ntds
in ntds util mit file in nächste ebene wechseln
mit move db to E:\ datenbank verschieben
mit move logs to E:\logs\ logs ändern

net start ntds um wieder zu starten


=============
snapshot erstellen

Abstände nicht vergessen, zeiten getrennt nach Tage.Stunden:Minuten:Sekunden

in ntdsutil auf ebene snap wechseln

snapshot erstellen (erstell schatten kopie)


create

wird auf 3 teile aufgeteilt GUID 1 ist das gesammte abbild


mit mount kann man die snapshout mounten

wenn man irrtümlich löscht kann man schatten kopie starten um irttum zu beseitigen

==========================
zusatz (150610)
Systemstate sollte immer gespeichert werden

Nach löschung einer Organisation Einheit(OU) wird von einem DC auf anderen Repliziert, ohne
Recycle Bin sind diese Inhalte der OU verloren
nicht authorritative Löschung
wiederherstellen DC runter fahrn und Verzeichnisdienstwiederherstellung starten (funktioniert nur
mit EINEM DC da sonst zweit DC wieder zurück repliziert um zu löschen)
mit mehreren DC
unter ntdsutil mit authorative restore möglic ohne das Löschung von DC 2 repliziert wird, da
Updatesequenznumber erhöht werden kann
-->restore subtree DN(distinguished name) OU
Nur bei dem was wieder hergestelt werden soll Updatesequencenumber erhöhen
--->thombstoneLifetime gibt an nach welcher Zeit gelöschte Objekte endgültig aus dem AD
entfernt werden

===================
auoriteres wiederherstellen
authoritative restore: ?

? - Zeigt diese Hilfeinformationen an.


Create ldif file(s) from %s - Erstellt LDIF-Datei(en) unter Verwendung einer angegebenen
autorisiert wiederhergestellten Objektliste, um rückwärtige
Verknüpfungen auf diese Objekte erneut zu erstellen.
Help - Zeigt diese Hilfeinformationen an.
List NC CRs - Listet Partitionen und Querverweise auf. Sie benötigen
die Querverweise einer Anwendungsverzeichnispartition,
um sie wiederherzustellen.
Quit - Zum vorherigen Menü wechseln
Restore object %s - Autorisierende Wiederherstellung eines Objekts
Restore object %s verinc %d - ... und Überschreiben der Versionserhöhung
Restore subtree %s - Autorisierende Wiederherstellung einer
untergeordneten Struktur
Restore subtree %s verinc %d - ... und Überschreiben der Versionserhöhung
Toggle recycled objects flag - Legen Sie dieses Kennzeichen fest, um die Wiederherstellung oder
die autorisierende Wiederherstellung wieder verwendeter Objekte
zuzulassen.

Dies wird nicht empfohlen und kann zum


Verlust verknüpfter Werte nach der Wiederherstellung bzw. nach der
autorisierenden Wiederherstellung führen.

authoritative restore: restore subtree %s "OU=AD Users,DC=mcitp03,DC=tst"


Fehler beim Verarbeiten der Eingabe - Ungültige Syntax.
authoritative restore: restore subtree "OU=AD Users,DC=mcitp03,DC=tst" verinc 1000000

Die DIT-Datenbank wird geöffnet... Der Vorgang ist abgeschlossen.

Aktuelle Zeit 06-15-10 12:32.56.


Die letzte Datenbankaktualisierung erfolgte um 06-15-10 10:25.39.
Die Versionsnummern des Attributs werden um 1000000 erhöht.

Die zu aktualisierenden Datensätze werden gezählt...


Gefundene Einträge: 0000000015
Der Vorgang ist abgeschlossen.

15 Einträge wurden für die Aktualisierung gefunden.

Datensätze werden aktualisiert...


Verbleibende Datensätze: 0000000000
Der Vorgang ist abgeschlossen.

15 Datensätze wurden einwandfrei aktualisiert.

Die folgenden Textdatei, die eine Liste autorisiert wiederhergestellter Objekte enthält, wurde im
aktuellen Arbeitsverzeichnis erstellt:
ar_20100615-123256_objects.txt

Mindestens ein angegebenes Objekt in dieser Domäne verfügt über rückwärtige Verknüpfungen.
Die folgenden LDIF-Dateien mit Verknüpfungswiederherstellungsvorgängen wurden im aktuellen
Arbeitsverzeichnis erstellt:
ar_20100615-123256_links_mcitp03.tst.ldf