Kategorie: 
Translate ENActive Directory ist ein wartungsarmer Dienst. Die meisten Aufgaben geschehen automatisch im Hintergrund oder lassen sich bequem über die grafische Oberfläche erledigen. In manchen Fällen muss aber ein Spezialwerkzeug eingesetzt werden, das etwas eigen in der Bedienung ist: NTDSUTIL. Das Kommandozeilenprogramm erfordert genaue Kenntnisse über die internen Abläufe und Zusammenhänge des Windows-Verzeichnisdienstes. Dieser Artikel stellt die einzelnen Funktionen des Programms kurz vor und gibt Hinweise, wo Details nachzuschlagen sind.
Die allgemeine Verwendung von NTDSUtil ist in einigen TechNet-Artikeln beschrieben:
- TechNet: Verwenden von Ntdsutil
- TechNet: Ntdsutil
Am 10. Januar 2007 erschien auf TechNet ein deutschsprachiger Webcast zum Thema "Active Directory: Wartung Ihres Verzeichnisdiensts mit NTDSUtil", den ich gehalten habe. Er kann nachträglich offline angesehen werden (kurze kostenlose Registrierung erforderlich). Der Webcast stellt den Umgang mit NTDSUtil vor und beschreibt die wichtigsten Funktionen in Kürze.
Hier ein Überblick über die wesentlichen Funktionen von NTDSUtil:
| Funktion | Modus | Beschreibung | Bemerkung |
| Authoritative Restore | Offline | Markiert wiederhergestellte Objekte als aktuell | Das Authoritative Restore setzt die vorherige Wiederherstellung des AD von einer Datensicherung voraus. http://www.faq-o-matic.net/content/category/8/77/45/ |
| Configurable settings | Online | Setzt bestimmte Detailwerte | Die Werte können meist auch über ADSI Edit gesetzt werden; derzeit nur Werte für sehr spezielle Zwecke
Voraussetzung: Verbindung zu Ziel-DC oder -Domäne muss hergestellt sein |
| Domain management | Online | Bereitet Anwendungspartitionen oder neue DCs vor | i. d. R. nur nötig für Management von Anwendungspartitionen |
| Files | Offline | Verwaltung der Datenbankdateien | TechNet: NTDSUtil/files |
| LDAP Policies | Online | Setzt die LDAP-Abfragerichtlinie, um die DC-Performance zu steuern | MS-KB 315071
Voraussetzung: Verbindung zu Ziel-DC oder -Domäne muss hergestellt sein Achtung: Nach dem Ändern müssen neue Werte explizit mit "commit changes" bestätigt werden |
| Metadata cleanup | Online | Entfernen verwaister Domänen oder Domänencontroller | Voraussetzung: Verbindung zu Ziel-DC oder -Domäne muss hergestellt sein
Zusätzlich muss mit "select operations target" das Zielobjekt festgelegt werden |
| Popups | Beide | Ermöglicht, Bestätigungsrückfragen abzuschalten, damit ntdsutil-Skripts automatisch ablaufen können | - |
| Roles | Online | Verwaltung der Betriebsmasterrollen | Voraussetzung: Verbindung zu Ziel-DC oder -Domäne muss hergestellt sein |
| Security Account Management | Online | Prüfen auf doppelte SIDs (nach Problemen mit dem RID-Master) | Doppelte SIDs werden nach Suche in einer Logdatei aufgelistet
Voraussetzung: Verbindung zu Ziel-DC oder -Domäne muss hergestellt sein Hinweis: In der Beschreibung ist von "SAM" die Rede, gemeint ist aber Active Directory |
| Semantic database analysis | Offline | Überprüfen der Datenbankinhalte | MS-KB 315136 |
| Set DSRM Password | Online | Setzen des AD-Recovery-Kennworts | MS-KB 322672 |
Verwandte Beiträge:
- NTDSUtil zeigt andere FSMO-Rolleninhaber an als LDIFDE?
[aus einem Original von http://www.frickelsoft.net/blog/?p=236] Dies ist eine Anfrage aus den Microsoft-Newsgroups, die ein Communitymitglied stellte. Sinngemäß: Ich habe versucht... - Wie kann ich abfragen, welche Rechner welches Service Pack haben?
csvde-Methode von Nils Kaczenski Im AD wird eine Angabe über das Service Pack in den Computereigenschaften gespeichert. Um eine Abfrage... - Wie kann ich Betriebsmasterrollen offline übertragen?
Die Betriebsmasterrollen (FSMO) sollten, wenn möglich, nur dann auf einen anderen DC übertragen werden, wenn sowohl der momentane Rolleninhaber als... - Welche Windows-7-Edition kann was?
Auch Windows 7 ist wie sein Vorgänger in einer schwer zu überblickenden Versionsvielfalt erschienen. Je nach Ausgabe gehören bestimmte Funktionen... - Wie kann ich beeinflussen, welche Attribute beim Kopieren eines Benutzers kopiert werden?
Wenn man in Active Directory ein vorhandenes Benutzerobjekt kopiert, dann wird eine Untermenge der verfügbaren Attribute in das neue Objekt...
http://faq-o-matic.net/?p=616
