Die Vielfalt der Werkzeuge für den Active-Directory-Administrator ist umfangreich. Das fängt bei den integrierten Verwaltungstools von Windows Server an und geht hin zu einer Vielzahl an kostenlosen sowie kommerziellen Programmen. Wunderbar abrunden lässt sich dieser Werkzeugkoffer mit den kostenlosen NetTools: in Summe mehr als 90 kleinere und größere Helfer, die Fehlersuche und Verwaltung vereinfachen.
Erste Sympathiepunkte sammelt NetTools [1] direkt nach dem Download. Einmal heruntergeladen, erwartet den Administrator nur eine EXE-Datei. Weder eine Installation der Werkzeugpalette ist notwendig noch gibt es Abhängigkeiten zu einem Framework oder irgendwelche DLLs. Es handelt sich auch nicht um ein Sammelsurium an Kommandozeilentools, sondern alles befindet sich in einer zentralen Verwaltung und lässt sich somit aus einem Kontext heraus handhaben. Einziges Anhängsel ist eine INI-Datei mit Arbeitsdaten zur aktuellen Konfiguration und benutzerspezifischen Infos. Ist die "nettools.ini" nicht vorhanden, wird sie beim Programmstart neu erstellt. So einfach kann Software sein. Hierdurch ist auch die Installation auf einem Domänencontroller weniger kritisch, da sichergestellt ist, dass dieser nicht durch Mitbringsel in Schieflage gerät.
Auf der Webseite erwartet Sie eine sehr gute und vor allem aktuelle Dokumentation – nicht unbedingt selbstverständlich in der Welt von Freeware. Besonders für Neueinsteiger ist die FAQ-Sektion hilfreich und erleichtert die erste Orientierung. Komplettiert wird der Informationsfundus mit einer Liste aller Funktionen und einem sorgfältig gepflegten Blog. Hier zeigt der Autor Tipps und Tricks zu den Werkzeugen, gepaart mit reichlich Beispielen. Die NetTools fangen genau dort an, wo die Bordmittel aufhören. Sie verstehen sich also nicht als eine Alternative zu bereits vorhandenen Werkzeugen, sondern sollen bewusst Funktionslücken schließen.
Zielgerichtete Profile
Standardmäßig arbeitet der Administrator mit der Toolbox in dem Kontext, mit dem er angemeldet ist. Sie können aber für ein höheres Maß an Flexibilität Profile anlegen, die neben einem Benutzerkonto auch Verbindungsdaten zu einem spezifischen Domänencontroller oder gar einer anderen Domäne beinhalten. Ein Profil lässt sich im Zuge einer bestimmten Aktion angeben und somit muss ein Administrator nicht interaktiv mit einem Domänen-Admin angemeldet sein, um in dessen Berechtigungskontext zu agieren. Alle Profilinformationen landen in der bereits erwähnten INI-Datei – abgesehen von den Passwörtern. Diese sind nirgends gespeichert, sondern jedes Mal erneut einzutippen.
Erste Sympathiepunkte sammelt NetTools [1] direkt nach dem Download. Einmal heruntergeladen, erwartet den Administrator nur eine EXE-Datei. Weder eine Installation der Werkzeugpalette ist notwendig noch gibt es Abhängigkeiten zu einem Framework oder irgendwelche DLLs. Es handelt sich auch nicht um ein Sammelsurium an Kommandozeilentools, sondern alles befindet sich in einer zentralen Verwaltung und lässt sich somit aus einem Kontext heraus handhaben. Einziges Anhängsel ist eine INI-Datei mit Arbeitsdaten zur aktuellen Konfiguration und benutzerspezifischen Infos. Ist die "nettools.ini" nicht vorhanden, wird sie beim Programmstart neu erstellt. So einfach kann Software sein. Hierdurch ist auch die Installation auf einem Domänencontroller weniger kritisch, da sichergestellt ist, dass dieser nicht durch Mitbringsel in Schieflage gerät.
Auf der Webseite erwartet Sie eine sehr gute und vor allem aktuelle Dokumentation – nicht unbedingt selbstverständlich in der Welt von Freeware. Besonders für Neueinsteiger ist die FAQ-Sektion hilfreich und erleichtert die erste Orientierung. Komplettiert wird der Informationsfundus mit einer Liste aller Funktionen und einem sorgfältig gepflegten Blog. Hier zeigt der Autor Tipps und Tricks zu den Werkzeugen, gepaart mit reichlich Beispielen. Die NetTools fangen genau dort an, wo die Bordmittel aufhören. Sie verstehen sich also nicht als eine Alternative zu bereits vorhandenen Werkzeugen, sondern sollen bewusst Funktionslücken schließen.
Zielgerichtete Profile
Standardmäßig arbeitet der Administrator mit der Toolbox in dem Kontext, mit dem er angemeldet ist. Sie können aber für ein höheres Maß an Flexibilität Profile anlegen, die neben einem Benutzerkonto auch Verbindungsdaten zu einem spezifischen Domänencontroller oder gar einer anderen Domäne beinhalten. Ein Profil lässt sich im Zuge einer bestimmten Aktion angeben und somit muss ein Administrator nicht interaktiv mit einem Domänen-Admin angemeldet sein, um in dessen Berechtigungskontext zu agieren. Alle Profilinformationen landen in der bereits erwähnten INI-Datei – abgesehen von den Passwörtern. Diese sind nirgends gespeichert, sondern jedes Mal erneut einzutippen.
Der erste Rundgang in der grafischen Oberfläche der Tools zeigt sich aufgeräumt und die Schaltflächen sind selbsterklärend. Für Neulinge ist es trotzdem ratsam, die Hilfe auf der Webseite zu konsultieren, die einen Einstieg in die GUI vereinfacht. Hierzu gehören auch Hinweise zu dem Umgang mit den erwähnten Profilen.
Integrierte GUI-Funktionen
Die Funktionen der NetTools bestehen nicht nur aus den einzelnen Werkzeugen, die auf der linken Seite in der GUI auf ihren Einsatz warten. Nützliches ist auch direkt in der GUI eingebettet, beispielsweise in den Kontextmenüs zu einem Objekt. Schauen wir uns das am Beispiel eines Benutzerobjekts an. Dieses lässt sich leicht suchen, indem Sie den Namen oder einen Teil davon, ohne Wildcards, in der Suchleiste am oberen Bildschirmrand eintippen. Im Hauptfenster erscheint das Ergebnis und aus dieser Liste selektieren Sie ein Element mit der rechten Maustaste. Das Kontextmenü lässt das Herz jeden Admins höherschlagen, wenn er sieht, welche Infos er hier zu Tage fördern kann.
Der Punkt "Last logon" etwa zeigt detaillierte Informationen zum jeweiligen Objekt: Wann und wie oft hat der Benutzer sich zuletzt angemeldet? Welcher Domänencontroller hat das verarbeitet? Wurde das Password falsch eingegeben oder wann wurde dieses zuletzt geändert? Das Menü "Use with" hält aber noch mehr parat: Unter dem Menüpunkt "Group Changes" erfahren Sie neben den Gruppenmitgliedschaften auch die Historie der Gruppenzuweisungen. So ist schnell ersichtlich, wann der Benutzer aus einer Gruppe entfernt oder hinzugefügt worden ist. Die vielfältigen Optionen des Kontextmenüs laden zum Stöbern und Ausprobieren ein.
Unterschiede finden
In der Praxis ein recht häufig anzutreffendes Szenario ist ein Vergleich von zwei Objekten. Bleiben wir bei dem Benutzerobjekt. Und schauen wir uns das an einem Beispiel im Zusammenhang mit Berechtigungen im Active Directory an. Ein Vergleich in den NetTools beinhaltet immer zwei Arbeitsschritte. Zuerst wählen Sie aus der angezeigten Liste mit Benutzern (oder anderen Objekten) ein Element aus, auch hier wieder über das Kontextmenü, diesmal mit dem Menüpunkt "Select left SD to Compare". SD steht für "Security Descriptor", der Ort für ein Benutzerobjekt, an dem die Berechtigungen gespeichert werden.
Nachdem Sie den Befehl gewählt haben, merkt sich die GUI das Objekt. In dem Beispiel gehen wir davon aus, dass wir hier das Benutzerkonto "Christa" selektiert haben. Nun können Sie mit einer weiteren Suche das zweite Objekt anzeigen. Öffnen Sie für dieses das Kontextmenü erneut, erwartet Sie der Punkt "Compare to 'Christa' SD". Daraufhin liefert ein neues Fenster tabellarisch die Unterschiede zwischen den beiden Benutzerobjekten. Diese Ansicht enthält am oberen Rand eine Spaltenüberschrift und beachtenswert hier ist die Spalte mit dem "*". Sie zeigt über spezielle Symbole einen Vergleich der Werte in den Spalten zueinander an.
Sind Berechtigungen identisch, teilweise identisch oder bei einem der beiden zu vergleichenden Objekte nicht vorhanden, erkennen Sie dies an dem jeweiligen Symbol. Möglichkeiten gibt es hier einige und deshalb hat der Entwickler sich für diese Symbolik entschieden. Ein Klick auf den "*" zeigt Hinweise zu den verschiedenen Symbolen und mehr noch, Sie haben die Option, ein Zeichen zu wählen, um dadurch die Anzeige zu filtern. So reduzieren Sie die Liste auf Elemente der Objekte, die identisch oder auch eben nicht identisch sind.
Weitere Möglichkeiten für Vergleiche
Vergleichen hilft oft bei der Fehlersuche. Das gilt auch in Bezug auf Gruppenmitgliedschaften: Worin unterscheiden sich zwei Benutzerkonten in Bezug auf ihre Gruppenzugehörigkeit? Um das herauszufinden, ist die Vorgehensweise ähnlich zu dem, was wir eben kennengelernt haben. Wieder über den Menüpunkt "Use With" und diesmal "Group Compare" werden die Mitgliedschaften aufgelistet und der Admin sieht direkt, was Sache ist, bezogen auf die beiden Objekte.
Das waren jetzt nur ein paar Beispiele, die zeigen, auf welche Art sinnvolle Funktionen in die Ansicht und in das Kontextmenü integriert sind. Da wartet noch einiges mehr, beispielsweise, ob es bezogen auf die E-Mail-Adresse eines Benutzerkontos einen Konflikt mit Konten einer anderen Domäne gibt – als Test vor einer Migration beispielsweise. Ein Blick in das Kontextmenü eines Objekts, übrigens nicht nur Benutzer, auch Computerkonten, lohnt sich auf jeden Fall, um das ganze Potenzial zu entdecken.
Verbindungscheck zwischen DCs
Domänencontroller (DC) pflegen eine rege Kommunikation untereinander. Aus diesem Grund kann es für Administratoren zur Herausforderung werden, wenn insbesondere zwischen entfernten Standorten Firewallregeln zu viel des Guten tun und wichtige Ports geschlossen sind. Daraus entstehende Fehlerbilder sind schwer zu deuten und zeigen sich meist an ganz anderen Stellen. In den NetTools ist eine Funktion integriert, die die Connectivity zwischen Domänencontrollern testet und bei einzelnen Fehlern diese auf Port-Ebene darstellt. Zugegeben, das Cmdlet "Test-NetConnection" erledigt die gleiche Arbeit, ist aber nicht so übersichtlich in die GUI integriert. Alle für die AD-Kommunikation wichtigen Ports sind bereits enthalten. Der Administrator hat zudem die Möglichkeit, individuelle Ports anzugeben, die in den Test einfließen.
Bleiben wir beim Netzwerk, so ist bezogen auf die Standorttopologie eine korrekte Zuordnung von Subnetzen, Standort und Domänencontroller immens wichtig. Dies stellt unter anderem auch sicher, dass Computer den für sie zuständigen Domänencontroller finden. Ist ein IP-Adressbereich teilweise mehreren Subnetzen zugeordnet, kommt es zu überlappenden Subnetzen, und das kann zu schwer nachvollziehbaren Effekten führen. Zwar droht dadurch kein unmittelbarer Schaden, aber unnötiger Netzwerkverkehr kann die Geduld der Anwender strapazieren und jeder Computer sollte mit dem DC kommunizieren, der ihm am nächsten ist. Hierbei hilft die Funktion "Overlapping Subnets", ebenfalls zu finden in der Seitenleiste bei den Funktionen. Hier werden die Subnetze und die jeweiligen Masken kalkuliert und Überschneidungen angezeigt. Sie müssen dabei keinen Netzwerkbereich angeben, da die Funktion auf die Subnetzinformationen der Topologie zugreift und eventuelle Überschneidungen errechnet.
Ersatz für GPOTool
Es ist schon eine geraume Zeit her und der eine oder andere wird sich noch an das Windows Server 2003 Ressource Kit erinnern. Teil dieses Kits war ein Tool namens "GPOTool.exe", das Gruppenrichtlinien unter die Lupe genommen und getestet hat. Microsoft hat jedoch nach dem Einstellen des Ressource Kits nicht für einen Ersatz dieser Funktion gesorgt. Doch gibt es eine ähnliche Funktion in den NetTools, namens GPOExplorer.
Nach dem Aufruf erhält der Administrator einen Überblick über die Gesamtsituation bezogen auf GPOs. Dies scheint zunächst der Group Policy Management Console (GPMC.MSC) zu ähneln. Doch beim genaueren Betrachten werden kleine, aber feine Unterschiede sichtbar. Mit wenigen Klicks zeigen Sie zugewiesene GPOs an, deren Inhalte Sie durch schnelles Blättern und Wechseln zwischen den Policies ausgeben und vieles mehr. Ein Tab namens "Test" gestattet es, ein einzelnes GPO zu testen. Alternativ markieren Sie zuvor den Knoten mit dem Domänennamen, dann wird die gesamte Umgebung gecheckt – und zwar, in dem einer oder mehrere DCs oder nur eine bestimmte Anzahl an GPOs in den Test integriert werden.
Replikation auf die Finger geschaut
Die Replikation, und somit das Verteilen von Änderungen im Active Directory, ist eine der wichtigsten Funktionen im Verzeichnisdienst. Dies gilt besonders für Infrastrukturen, deren Standorte und somit Domänencontroller weit entfernt voneinander ihren Dienst verrichten. Leider sind Ungereimtheiten bei der Synchronisation auch eine sehr unangenehme Störung, deren Ursache vielschichtige Gründe haben kann. Netzwerk, DNS oder auch Richtlinien können hier schon mal dazwischenfunken. NetTools liefert einige Funktionen in der Rubrik "AD Replication", die dabei helfen können, Licht ins Dunkel zu bringen.
Die Funktionen gehen in den Bereich Monitoring und reichen vom "Health Check" eines Standortes bis hin zur Analyse der Replikation auf Ebene von Attributen. Ein Blick ins Detail gestattet hier die Funktion "Attribute Replication". Hierzu wird der Distinguished Name (DN) eines zu untersuchenden Objekts angegeben. Ein Detailfenster zeigt daraufhin nicht nur die Attribute des Objekts, sondern in der linken Leiste auch eine Liste der Domänencontroller. Hier können Sie entscheiden, welcher der DCs an einem Vergleich teilnehmen soll. Mittels "Compare" werden anschließend die Inhalte der Attribute von jedem DC angezeigt.
Etwas simpler, aber trotzdem genauso hilfreich ist "Domain Changes". Hierbei wird ein Domänencontroller angegeben und Informationen zur Replikation geliefert, wenn denn eine Änderung stattgefunden hat. Möchten Sie wissen, wie lange Änderungen in einer Partition benötigen, um repliziert zu werden, sind Sie bei "Replication Latency" richtig. Sie müssen hier den DN eines Objekts angeben und dieses wird dann sowohl angelegt als auch wieder gelöscht. Beide Schreibvorgänge können zeitlich überwacht werden. Auf diese Art lassen sich Vergleiche vornehmen und etwaige Schwachstellen bei regionalen Netzwerkverbindungen orten.
Je nach Einsatzszenario lässt sich jeweils aus der Palette das beste Werkzeug nutzen. In der aktuellen Version 1.31 beinhaltet die Toolbox zehn Funktionen, die der Replikation vielseitig auf den Zahn fühlen. Dies ist für den Administrator umso wertvoller, weil die Bordmittel diesbezüglich wenig zu bieten haben.
LDAP-Verzeichnis ohne Schnörkel
NetTools ermöglichen über diverse LDAP-Funktionen vielfältigen Zugriff auf LDAP-Verzeichnisse. Der Fokus liegt dabei auf dem Active Directory, allerdings sind Sie nicht darauf beschränkt, sofern das anzuzapfende Verzeichnis dem LDAP-API-Standard folgt. Ein LDAP-Browser liefert die Verzeichnisinformationen in Form von Rohdaten, anders als die Active-Directory-Admintools, die Daten hier und dort formatiert aufhübschen und Benutzereingaben vor Änderungen validieren. Die in die NetTools integrierte "LDAP Search"-Funktion beispielsweise unterstützt SSL-basierte Zugriffe und sogar Schreibzugriffe sind aus dem Client heraus möglich.
Administratoren benötigen keinerlei Kenntnisse der LDAP-Syntax. Die Abfragekriterien werden in der GUI über Dropdown-Listen erstellt. Hilfreich sind die über 280 vordefinierten LDAP-Queries, die sich bei den "Favoriten" befinden. Darunter ist nicht nur jede Menge Anschauungsmaterial, sondern auch viel Nützliches für den Alltag.
Das Herz des Administrators dürfte höherschlagen, wenn er einen Blick auf den Katalog mit den LDAP-Queries wirft. Sie möchten eine Liste der Gruppen ohne Mitglieder haben? Sie möchten wissen, welche GPOs in den letzten zehn Tagen modifiziert wurden? Diese Infos und vieles mehr fördern die vordefinierten Abfragen ans Licht. Es ist leicht, die Abfragen zu ändern und sie dem Katalog modifiziert als neue Abfrage hinzuzufügen. Import und Export der LDAP Statements über die Zwischenablage runden die Funktionalität ab. Da dürften kaum noch Wünsche offenbleiben. Mit der Möglichkeit, die Ausgabe zusätzlich in Dateien zu schreiben, ist der Administrator obendrein nicht auf die GUI in dem Tool beschränkt, sondern kann die Infos beispielsweise in Excel weiter verarbeiten.
Advanced View 2.0
Kommen wir zu einem weiteren Gimmick der NetTools. Ähnlich wie in der Standardkonsole "Users and Computers (DSA.MSC)" besteht auch in den diversen Funktionen der NetTools die Möglichkeit, Objekteigenschaften anzuzeigen. In DSA.MSC gibt es bekanntlich eine erweiterte Variante der Anzeige, wenn Sie im "View-Menü" die "Advanced Features" einschalten. Auf diese Weise liefert der Eigenschaften-Dialog von einem Benutzerkonto nicht nur die grundlegenden Infos, sondern gestattet es, weitere Inhalte wie zum Beispiel die Objektattribute anzuzeigen.
Dieses und noch einiges mehr erwartet Sie auf ähnliche Art in den NetTools. Dies ist hier analog im Eigenschaften-Dialog integriert und variiert je nachdem, welche Art von Objekt Sie betrachten. Bei einem Benutzerkonto beispielsweise haben Sie zusätzlich die Möglichkeit, das Datum der letzten Passwortänderung anzuzeigen, die "Fine Grained Password Policy", sofern für den Benutzer zutreffend, oder an welchem Domänencontroller und wie oft sich der User angemeldet hat. Diese Informationen können dabei helfen, individuelle Fehler einzugrenzen.
Gruppen auf Änderungen prüfen
Zuvor haben wir von einem Benutzerobjekt ausgehend die Historie bezogen auf Gruppenmitgliedschaften betrachtet. Diese Sichtweise funktioniert auch aus der anderen Richtung, also von einer Gruppe ausgehend. Um herauszufinden, welche Bewegungen es zum Beispiel in der Gruppe der Domänenadministratoren gab, müssen wir die Gruppe in einer der Ansichten mit den NetTools sichten. Am einfachsten geht dies über das Suchfeld oben in der Symbolleiste. Entfernen Sie den Haken bei "Return Users Only", sonst bleibt die Suche erfolglos. Sie müssen hier auch auf die Schreibweise der Gruppennamen achten. In unserem Fall war der erste Domänencontroller unseres AD ein deutscher Server, entsprechen lautet unser Gruppenname "Domänen-Admins". Dies sei nur am Rande erwähnt.
Um nun herauszufinden, welche Aktivitäten rund um diese Gruppe stattgefunden haben, navigieren Sie per Rechtsklick zum Kontextmenü und wählen "AD Properties". In den Eigenschaften bringen Sie den Tab "Members" in den Fokus und haben somit Einblick auf die aktuellen Mitglieder der Gruppe. Anders als in der "Users and Computers"-Konsole werden hier bereits im Feld "Removals" die letzten Konten angezeigt, die aus der Gruppe entfernt wurden. Noch detaillierter geht es über die Schaltfläche "Changes". Ein weiteres Fenster liefert noch einmal die Daten, wann Konten hinzugefügt und entfernt worden sind.
In diesem Zusammenhang sei nochmal der LDAP-Katalog mit den vielfältigen Abfragen erwähnt. Er enthält auch Abfragen rund um die Administration von Gruppen, besonders der administrativen Gruppen. Beachten Sie auch hier, dass bei der Sprache des Domänencontrollers die Gruppennamen in den Abfragen anzupassen sind. Die LDAP-Abfragen basieren alle auf englischen Built-in-Gruppennamen.
Dem Schema unter die Haube geschaut
Jeder Administrator kennt bestimmt den Verlauf und die Updates seines Schemas, schließlich ist es "sein" Active Directory und diese Infos sind elementar. Was aber ist, wenn Sie das Schema, die Versionen und den Updateverlauf eines fremden AD unter die Lupe nehmen? Dabei können die Funktionen in der Kategorie "Schema" hilfreich sein. Der Punkt "Schema Ver-sions" hilft dabei herauszufinden, welche Änderungen am Schema stattgefunden haben, sowohl was das Active Directory als auch das Exchange-Schema betrifft. Die "Schema History" geht einen Schritt weiter und stellt den Verlauf des Schemas dar, also wann welches Update am Schema vorgenommen wurde.
Neben den doch recht umfangreichen Funktionen der NetTools gibt es eine Reihe kleinerer Funktionen, die Ihnen als Administrator den Alltag versüßen können. Da wäre zum Beispiel der SID-Converter, der zu einem Active-Directory-Objekt dessen eindeutige "Security Identifier" anzeigt oder andersherum zu einer SID den Namen liefert. Wer war nicht schon einmal im Eventlog eines Domänencontrollers unterwegs und dort wurde ein Problem des Benutzers mit der SID "123 et cetera" erwähnt. Nur, um welchen Benutzer handelt es sich? Hier gibt es natürlich Cmdlets für die PowerShell oder auch das Kommando wmic useraccount mit den Parametern "get sid" oder "get name". Aber es ist gut zu wissen, dass die NetTools einen Converter bereithalten, besonders wenn der Admin sowieso gerade in der NetTools-GUI unterwegs ist und mit Identitäten arbeitet. Apropos Converter: Der "Time Converter" gestattet es, eine Uhrzeit in andere Formate, darunter in 64 Bit, umzuwandeln. Dies ist bestimmt keine Funktion, die täglich zum Einsatz kommt. Aber falls einmal Bedarf besteht, ist es auch hier gut zu wissen, in welcher Werkzeugkiste sich diese Funktion findet.
Fazit
Bei der Arbeit mit den NetTools wird deutlich, welchen Fundus an Informationen das Active Directory bietet. Erfahrene Administratoren, die bislang ohne NetTools ausgekommen sind, dürften viel Freude daran haben. Sie werden sich über den Strauß an Utilities wundern, die das Active Directory mit den letzten Informationen ausquetschen.
In den Funktionen selbst verbirgt sich viel Liebe zum Detail, was dem Administrator bezogen auf die Bedienung hilft. Bei allem Lob suchen viele bekanntlich ja auch nach Dingen, die sich verbessern ließen. Und da nicht jeder Admin gerne die Maus schubst, könnte hier der Ruf nach der Kommandozeile laut werden, denn die NetTools verstehen sich als ein rein GUI-basiertes Werkzeug.