(0) exportieren Drucken
Alle erweitern

Einführung in die Erweiterungen des Active Directory-Verwaltungscenters (Stufe 100)

Veröffentlicht: Februar 2012

Letzte Aktualisierung: Dezember 2012

Betrifft: Windows Server 2012

ADAC in Windows Server 2012 enthält Verwaltungsfunktionen für die folgenden Punkte:

Versehentliches Löschen von Active Directory-Objekten kommt bei Benutzern von AD DS (Active Directory Domain Services) und AD LDS (Active Directory Lightweight Directory Services) häufig vor. In Windows Server-Versionen vor Windows Server 2008 R2 konnten versehentlich gelöschte Objekte in Active Directory wiederhergestellt werden; die verschiedenen Ansätze hatten jedoch jeweils Vor- und Nachteile.

In Windows Server 2008 konnten Sie mit der Windows Server-Sicherung und dem autorisierenden Wiederherstellungsbefehl ntdsutil Objekte als autorisierend kennzeichnen, um sicherzustellen, dass die wiederhergestellten Daten innerhalb der gesamten Domäne repliziert werden. Der Nachteil des Ansatzes zur autorisierenden Wiederherstellung lag darin, dass dieser im Verzeichnisdienst-Wiederherstellungsmodus (Directory Services Restore Mode, DSRM) ausgeführt werden musste. Während des Verzeichnisdienst-Wiederherstellungsmodus musste der wiederherzustellende Domänencontroller offline bleiben. Deshalb war er nicht in der Lage, Clientanforderungen zu verarbeiten.

In Windows Server 2003 Active Directory und Windows Server 2008 AD DS konnten Sie gelöschte Active Directory-Objekte mittels Wiederbelebung veralteter Objekte (Tombstone-Wiederbelebung) wiederherstellen. Attribute mit verknüpften Werten von wiederbelebten Objekten (beispielsweise Gruppenmitgliedschaften von Benutzerkonten), die physisch entfernt wurden, sowie Attribute mit nicht verknüpften Werten, die gelöscht wurden, wurden jedoch nicht wiederhergestellt. Deshalb konnten sich Administratoren bei versehentlich gelöschten Objekten nicht auf die Wiederbelebung von veralteten Objekten als ultimative Lösung verlassen. Weitere Informationen zur Wiederbelebung veralteter Objekte finden Sie unter Wiederbeleben veralteter Active Directory-Objekte.

Der Active Directory-Papierkorb baut ab Windows Server 2008 R2 auf der vorhandenen Infrastruktur zur Wiederbelebung veralteter Objekte auf und räumt Ihnen mehr Möglichkeiten ein, versehentlich gelöschte Active Directory-Objekte zu erhalten und wiederherzustellen.

Wenn Sie den Active Directory-Papierkorb aktivieren, bleiben alle Attribute mit verknüpften Werten und mit nicht verknüpften Werten der gelöschten Active Directory-Objekte erhalten, und die Objekte werden vollständig in ihrem durchgängig logischen Zustand, den sie vor dem Löschen aufwiesen, wiederhergestellt. So erhalten beispielsweise wiederhergestellte Benutzerkonten automatisch alle Gruppenmitgliedschaften und entsprechenden Zugriffsrechte zurück, die sie unmittelbar vor dem Löschen sowohl innerhalb als auch zwischen den Domänen innehatten. Der Active Directory-Papierkorb kann in AD DS- und in AD LDS-Umgebungen verwendet werden. Eine ausführliche Beschreibung des Active Directory-Papierkorbs finden Sie unter Neues in AD DS: Der Active Directory-Papierkorb.

Neuigkeiten?   In Windows Server 2012 wurde der Active Directory-Papierkorb mit einer neuen grafischen Benutzeroberfläche versehen, in der gelöschte Objekte verwaltet und wiederhergestellt werden können. Benutzer können gelöschte Objekte jetzt in einer Liste anzeigen und an ihren ursprünglichen oder an neuen Standorten wiederherstellen.

Wenn Sie beabsichtigen, den Active Directory-Papierkorb in Windows Server 2012 zu aktivieren, sollten Sie Folgendes beachten:

  • In der Standardeinstellung ist der Active Directory-Papierkorb deaktiviert. Zum Aktivieren müssen Sie die Funktionsebene der Gesamtstruktur Ihrer AD DS- oder AD LDS-Umgebung auf Windows Server 2008 R2 (oder höher) heraufstufen. Dazu wiederum ist es erforderlich, dass alle Domänencontroller in der Gesamtstruktur oder alle Server, die Instanzen von AD LDS-Konfigurationssätzen hosten, Windows Server 2008 R2 (oder höher) ausführen.

  • Das Aktivieren des Active Directory-Papierkorbs kann nicht mehr rückgängig gemacht werden. Nachdem Sie den Active Directory-Papierkorb in Ihrer Umgebung aktiviert haben, können Sie ihn nicht mehr deaktivieren.

  • Zum Verwalten des Papierkorbs über eine Benutzeroberfläche müssen Sie die Version des Active Directory-Verwaltungscenters in Windows Server 2012 installieren.

    noteHinweis
    Sie können den Server-Manager verwenden, um die Remoteserver-Verwaltungstools (Remote Server Administration Tools, RSAT) auf Computern mit Windows Server 2012 zu installieren, damit die Verwaltung des Papierkorbs per Benutzeroberfläche mit der richtigen Version des Active Directory-Verwaltungscenters erfolgt.

    Sie können die Remoteserver-Verwaltungstools auf Computern mit Windows® 8 verwenden, damit die Verwaltung des Papierkorbs per Benutzeroberfläche mit der richtigen Version des Active Directory-Verwaltungscenters erfolgt.

In den folgenden Schritten werden Sie mit dem Active Directory-Verwaltungscenter (ADAC) die folgenden Aufgaben bezüglich des Active Directory-Papierkorbs in Windows Server 2012 durchführen:

noteHinweis
Um die folgenden Schritte durchführen zu können, müssen Sie Mitglied in der Gruppe der Organisations-Admins sein oder über gleichwertige Berechtigungen verfügen.

In diesem Schritt werden Sie die Funktionsebene der Gesamtstruktur heraufstufen. Bevor Sie den Active Directory-Papierkorb aktivieren, müssen Sie die Funktionsebene für die Zielgesamtstruktur auf mindestens Windows Server 2008 R2 erhöhen.

  1. Klicken Sie mit der rechten Maustaste auf das Symbol Windows PowerShell, klicken Sie auf Als Administrator ausführen, und geben Sie dann dsac.exe ein, um ADAC zu öffnen.

  2. Klicken Sie auf Verwalten, klicken Sie auf Navigationsknoten hinzufügen, und wählen Sie die entsprechende Zieldomäne im Dialogfeld Navigationsknoten hinzufügen aus. Klicken Sie anschließend auf OK.

  3. Klicken Sie auf die Zieldomäne im linken Navigationsbereich, und klicken Sie im Bereich Aufgaben auf Gesamtstrukturfunktionsebene heraufstufen. Wählen Sie eine Gesamtstrukturfunktionsebene aus, die mindestens Windows Server 2008 R2 (oder höher) ist, und klicken Sie dann auf OK.

PowerShell-Logo Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Set-ADForestMode –Identity contoso.com -ForestMode Windows2008R2Forest –Confirm:$false

Geben Sie für das Argument –Identity den vollqualifizierten DNS-Namen an.

In diesem Schritt aktivieren Sie den Papierkorb zum Wiederherstellen gelöschter Objekte in AD DS.

  1. Klicken Sie mit der rechten Maustaste auf das Symbol Windows PowerShell, klicken Sie auf Als Administrator ausführen, und geben Sie dsac.exe ein, um ADAC zu öffnen.

  2. Klicken Sie auf Verwalten, klicken Sie auf Navigationsknoten hinzufügen, und wählen Sie die entsprechende Zieldomäne im Dialogfeld Navigationsknoten hinzufügen aus. Klicken Sie anschließend auf OK.

  3. Klicken Sie im Bereich Aufgaben auf Papierkorb aktivieren..., klicken Sie im Warnhinweisfeld auf OK, und klicken Sie dann auf OK, um die ADAC-Meldung zu aktualisieren.

  4. Drücken Sie auf F5, um ADAC zu aktualisieren.

PowerShell-Logo Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Enable-ADOptionalFeature –Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com' –Scope ForestOrConfigurationSet –Target 'contoso.com'

Mit den folgenden Schritten erstellen Sie zwei Testbenutzer. Anschließend werden Sie eine Testgruppe erstellen und ihr die Testbenutzer zuweisen. Außerdem erstellen Sie eine Organisationseinheit.

  1. Klicken Sie mit der rechten Maustaste auf das Symbol Windows PowerShell, klicken Sie auf Als Administrator ausführen, und geben Sie dsac.exe ein, um ADAC zu öffnen.

  2. Klicken Sie auf Verwalten, klicken Sie auf Navigationsknoten hinzufügen, und wählen Sie die entsprechende Zieldomäne im Dialogfeld Navigationsknoten hinzufügen aus. Klicken Sie anschließend auf OK.

  3. Klicken Sie im Bereich Aufgaben auf Neu und dann auf Benutzer.

    Neuer Benutzer
  4. Geben Sie unter Konto die folgenden Informationen ein, und klicken Sie anschließend auf "OK":

    • Vollständiger Name: test1

    • SamAccountName-Anmeldung von Benutzer: test1

    • Kennwort: p@ssword1

    • Kennwort bestätigen: p@ssword1

  5. Wiederholen Sie diese Schritte, um den Benutzer "test2" zu erstellen.

  1. Klicken Sie mit der rechten Maustaste auf das Symbol Windows PowerShell, klicken Sie auf Als Administrator ausführen, und geben Sie dsac.exe ein, um ADAC zu öffnen.

  2. Klicken Sie auf Verwalten, klicken Sie auf Navigationsknoten hinzufügen, und wählen Sie die entsprechende Zieldomäne im Dialogfeld Navigationsknoten hinzufügen aus. Klicken Sie anschließend auf OK.

  3. Klicken Sie im Bereich Aufgaben auf Neu, und klicken Sie dann auf Gruppe.

  4. Geben Sie unter Gruppe die folgenden Informationen ein, und klicken Sie anschließend auf OK:

    • Gruppenname: group1

  5. Klicken Sie auf group1, und klicken Sie dann unter dem Bereich Aufgaben auf Eigenschaften.

  6. Klicken Sie auf Mitglieder, klicken Sie auf Hinzufügen, geben Sie test1;test2 ein, und klicken Sie dann auf OK.

PowerShell-Logo Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Add-ADGroupMember -Identity group1 -Member test1

  1. Klicken Sie mit der rechten Maustaste auf das Symbol Windows PowerShell, klicken Sie auf Als Administrator ausführen, und geben Sie dsac.exe ein, um ADAC zu öffnen.

  2. Klicken Sie auf Verwalten, klicken Sie auf Navigationsknoten hinzufügen, und wählen Sie die entsprechende Zieldomäne im Dialogfeld Navigationsknoten hinzufügen aus. Klicken Sie anschließend auf OK.

  3. Klicken Sie im Bereich Aufgaben auf Neu, und klicken Sie dann auf Organisationseinheit.

  4. Geben Sie unter Organisationseinheit die folgenden Informationen ein, und klicken Sie anschließend auf OK:

    • Name OU1

PowerShell-Logo Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

1..2 | ForEach-Object {New-ADUser -SamAccountName test$_ -Name "test$_" –Path "DC=fabrikam,DC=com" -AccountPassword (ConvertTo-SecureString -AsPlainText "p@ssword1" -Force) -Enabled $true}
New-ADGroup -Name "group1" -SamAccountName group1 -GroupCategory Security -GroupScope Global -DisplayName "group1"
New-ADOrganizationalUnit -Name OU1 -Path "DC=fabrikam,DC=com"

In den folgenden Anleitungen stellen Sie gelöschte Objekte aus dem Container Deleted Objects an ihrem ursprünglichen Speicherort und an einem anderen Speicherort wieder her.

  1. Klicken Sie mit der rechten Maustaste auf das Symbol Windows PowerShell, klicken Sie auf Als Administrator ausführen, und geben Sie dsac.exe ein, um ADAC zu öffnen.

  2. Klicken Sie auf Verwalten, klicken Sie auf Navigationsknoten hinzufügen, und wählen Sie die entsprechende Zieldomäne im Dialogfeld Navigationsknoten hinzufügen aus. Klicken Sie anschließend auf OK.

  3. Wählen Sie die Benutzer test1 und test2 aus, klicken Sie auf Löschen im Bereich Aufgaben, und klicken Sie dann auf Ja, um den Löschvorgang zu bestätigen.

    PowerShell-Logo Gleichwertige Windows PowerShell-Befehle

    Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

    Get-ADUser –Filter 'Name –Like "*test*"'|Remove-ADUser -Confirm:$false
    
  4. Navigieren Sie zu dem Container Deleted Objects, wählen Sie test2 und test1 aus, und klicken Sie dann auf Wiederherstellen im Bereich Aufgaben.

  5. Wenn Sie sich davon überzeugen möchten, dass die Objekte an ihrem ursprünglichen Speicherort wiederhergestellt wurden, navigieren Sie zu der Zieldomäne und überprüfen Sie, dass die Benutzerkonten dort aufgeführt sind.

    noteHinweis
    Wenn Sie zu den Eigenschaften der Benutzerkonten test1 und test2 navigieren und dann auf Mitglied von klicken, können Sie sehen, dass auch deren Gruppenmitgliedschaft wiederhergestellt wurde.

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

PowerShell-Logo Gleichwertige Windows PowerShell-Befehle

Get-ADObject –Filter 'Name –Like "*test*"' –IncludeDeletedObjects | Restore-ADObject

  1. Klicken Sie mit der rechten Maustaste auf das Symbol Windows PowerShell, klicken Sie auf Als Administrator ausführen, und geben Sie dsac.exe ein, um ADAC zu öffnen.

  2. Klicken Sie auf Verwalten, klicken Sie auf Navigationsknoten hinzufügen, und wählen Sie die entsprechende Zieldomäne im Dialogfeld Navigationsknoten hinzufügen aus. Klicken Sie anschließend auf OK.

  3. Wählen Sie die Benutzer test1 und test2 aus, klicken Sie auf Löschen im Bereich Aufgaben, und klicken Sie dann auf Ja, um den Löschvorgang zu bestätigen.

  4. Navigieren Sie zu dem Container Deleted Objects, wählen Sie test2 und test1 aus, und klicken Sie dann auf Wiederherstellen in im Bereich Aufgaben.

  5. Wählen Sie OU1 aus, und klicken Sie dann auf OK.

  6. Wenn Sie sich davon überzeugen möchten, dass die Objekte in OU1 wiederhergestellt wurden, navigieren Sie zu der Zieldomäne, doppelklicken Sie auf OU1 und überprüfen Sie, dass die Benutzerkonten dort aufgeführt sind.

PowerShell-Logo Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Get-ADObject –Filter 'Name –Like "*test*"' –IncludeDeletedObjects | Restore-ADObject –TargetPath "OU=OU1,DC=contoso,DC=com"

Windows Server 2008 bietet Organisationen die Möglichkeit, für verschiedene Gruppen von Benutzern in einer Domäne unterschiedliche Kennwort- und Kontosperrungsrichtlinien festzulegen. In Active Directory-Domänen vor Windows Server 2008 konnten auf alle Benutzer in der Domäne nur eine Kennwortrichtlinie und nur eine Kontosperrungsrichtlinie angewendet werden. Diese Richtlinien wurden in der Default Domain Policy für die Domäne angegeben. Daher mussten Organisationen, die mehrere Kennwort- und Kontosperrungseinstellungen für verschiedene Gruppen von Benutzern haben wollten, entweder einen Kennwortfilter erstellen oder mehrere Domänen bereitstellen. Beide Optionen sind aufwändig.

Mithilfe differenzierter Kennwortrichtlinien können mehrere Kennwortrichtlinien innerhalb einer einzigen Domäne festgelegt und für verschiedene Gruppen von Benutzern in einer Domäne unterschiedliche Einschränkungen bei Kennwort- und Kontosperrungsrichtlinien angewendet werden. So könnten zum Beispiel für privilegierte Konten strengere Einstellungen und für die Konten der anderen Benutzer weniger strenge Einstellungen gelten. In anderen Fällen könnte es für Konten, deren Kennwörter mit anderen Datenquellen synchronisiert werden, eine spezielle Kennwortrichtlinie geben. Eine ausführliche Beschreibung differenzierter Kennwortrichtlinien finden Sie unter AD DS: Differenzierte Kennwortrichtlinien

Neuheiten? Die Verwaltung differenzierter Kennwortrichtlinien ist in Windows Server 2012 einfacher, da AD DS-Administratoren eine Benutzeroberfläche bereitgestellt wird, in der sie die Richtlinien in ADAC verwalten können. Administratoren können jetzt die Richtlinie anzeigen, die sich für einen bestimmten Benutzer ergibt, alle Kennwortrichtlinien innerhalb einer bestimmten Domäne anzeigen und sortieren sowie einzelne Kennwortrichtlinien visuell verwalten.

Wenn Sie beabsichtigen, differenzierte Kennwortrichtlinien in Windows Server 2012 zu verwenden, sollten Sie Folgendes beachten:

  • Differenzierte Kennwortrichtlinien gelten nur für globale Sicherheitsgruppen und Benutzerobjekte (oder inetOrgPerson-Objekte, wenn diese anstatt von Benutzerobjekten verwendet werden). In der Standardeinstellung können differenzierte Kennwortrichtlinien nur von Mitgliedern der Gruppe der Domänen-Admins festgelegt werden. Sie können die Fähigkeit zum Festlegen dieser Richtlinien jedoch auch an andere Benutzer delegieren. Die Domänenfunktionsebene muss Windows Server 2008 (oder höher) sein.

  • Zur Administration differenzierter Kennwortrichtlinien mithilfe einer grafischen Benutzeroberfläche müssen Sie die Windows Server 2012-Version des Active Directory-Verwaltungscenters verwenden.

    noteHinweis
    Sie können den Server-Manager verwenden, um die Remoteserver-Verwaltungstools (Remote Server Administration Tools, RSAT) auf Computern mit Windows Server 2012 zu installieren, damit die Verwaltung des Papierkorbs per Benutzeroberfläche mit der richtigen Version des Active Directory-Verwaltungscenters erfolgt.

    Sie können die Remoteserver-Verwaltungstools auf Computern mit Windows® 8 verwenden, damit die Verwaltung des Papierkorbs per Benutzeroberfläche mit der richtigen Version des Active Directory-Verwaltungscenters erfolgt.

In den folgenden Schritten werden Sie mithilfe des Active Directory-Verwaltungscenters (ADAC) die folgenden Aufgaben bezüglich der differenzierten Kennwortrichtlinie durchführen:

noteHinweis
Um die folgenden Schritte durchführen zu können, müssen Sie Mitglied in der Gruppe der Domänen-Admins sein oder über gleichwertige Berechtigungen verfügen.

In den nachfolgenden Schritten werden Sie die Domänenfunktionsebene der Zieldomäne auf Windows Server 2008 (oder höher) heraufstufen. Damit differenzierte Kennwortrichtlinien aktiviert werden können, muss die Domänenfunktionsebene mindestens Windows Server 2008 lauten.

  1. Klicken Sie mit der rechten Maustaste auf das Symbol Windows PowerShell, klicken Sie auf Als Administrator ausführen, und geben Sie dsac.exe ein, um ADAC zu öffnen.

  2. Klicken Sie auf Verwalten, klicken Sie auf Navigationsknoten hinzufügen, und wählen Sie die entsprechende Zieldomäne im Dialogfeld Navigationsknoten hinzufügen aus. Klicken Sie anschließend auf OK.

  3. Klicken Sie auf die Zieldomäne im linken Navigationsbereich, und klicken Sie im Aufgabenbereich auf Domänenfunktionsebene heraufstufen. Wählen Sie eine Gesamtstrukturfunktionsebene aus, die mindestens Windows Server 2008 (oder höher) ist, und klicken Sie dann auf OK.

PowerShell-Logo Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Set-ADDomainMode -Identity contoso.com -DomainMode 3

Zum Erstellen der für diesen Schritt benötigten Testbenutzer und Gruppe gehen Sie wie in Schritt 3: Erstellen von Testbenutzern, Gruppe und Organisationseinheit beschrieben vor (die Erstellung einer Organisationseinheit ist für die Vorführung der differenzierten Kennwortrichtlinie nicht erforderlich).

In der folgenden Anleitung erstellen Sie mithilfe der grafischen Benutzeroberfläche der Active Directory-Verwaltungstools (ADAC) eine neue differenzierte Kennwortrichtlinie.

  1. Klicken Sie mit der rechten Maustaste auf das Symbol Windows PowerShell, klicken Sie auf Als Administrator ausführen, und geben Sie dsac.exe ein, um ADAC zu öffnen.

  2. Klicken Sie auf Verwalten, klicken Sie auf Navigationsknoten hinzufügen, und wählen Sie die entsprechende Zieldomäne im Dialogfeld Navigationsknoten hinzufügen aus. Klicken Sie anschließend auf OK.

  3. Öffnen Sie im ADAC-Navigationsbereich den Container System, und klicken Sie dann auf Password Settings Container.

  4. Klicken Sie im Bereich Aufgaben auf Neu, und klicken Sie dann auf Kennworteinstellungen.

    Nehmen Sie in den Feldern auf der Eigenschaftenseite die gewünschten Eintragungen oder Änderungen vor, ein neues Objekt für Kennworteinstellungen zu erstellen. Die Felder Name und Rangfolge sind erforderlich.

    Neue FGPP
  5. Klicken Sie unter Direkt anwendbar auf auf Hinzufügen, geben Sie group1 ein, und klicken Sie dann auf OK.

    Dadurch wird das Kennworteinstellungsobjekt mit den Mitgliedern der globalen Gruppe verknüpft, die Sie für die Testumgebung erstellt haben.

  6. Klicken Sie auf OK, um die Erstellung zu übermitteln.

PowerShell-Logo Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

New-ADFineGrainedPasswordPolicy TestPswd -ComplexityEnabled:$true -LockoutDuration:"00:30:00" -LockoutObservationWindow:"00:30:00" -LockoutThreshold:"0" -MaxPasswordAge:"42.00:00:00" -MinPasswordAge:"1.00:00:00" -MinPasswordLength:"7" -PasswordHistoryCount:"24" -Precedence:"1" -ReversibleEncryptionEnabled:$false -ProtectedFromAccidentalDeletion:$true
Add-ADFineGrainedPasswordPolicySubject TestPswd -Subjects group1

In dem folgenden Verfahren zeigen Sie die Kennworteinstellungen an, die sich für einen Benutzer ergeben, der Mitglied der Gruppe ist, der Sie in Schritt 3: Erstellen einer neuen differenzierten Kennwortrichtlinie eine differenzierte Kennwortrichtlinie zugewiesen haben.

  1. Klicken Sie mit der rechten Maustaste auf das Symbol Windows PowerShell, klicken Sie auf Als Administrator ausführen, und geben Sie dsac.exe ein, um ADAC zu öffnen.

  2. Klicken Sie auf Verwalten, klicken Sie auf Navigationsknoten hinzufügen, und wählen Sie die entsprechende Zieldomäne im Dialogfeld Navigationsknoten hinzufügen aus. Klicken Sie anschließend auf OK.

  3. Wählen Sie einen Benutzer (test1) aus, der zu der Gruppe group1 gehört, die Sie in Schritt 3: Erstellen einer neuen differenzierten Kennwortrichtlinie mit einer differenzierten Kennwortrichtlinie verknüpft haben.

  4. Klicken Sie auf Resultierende Kennworteinstellungen anzeigen im Bereich Aufgaben.

  5. Überprüfen Sie die Kennworteinstellungsrichtlinie, und klicken Sie dann auf Abbrechen.

PowerShell-Logo Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Get-ADUserResultantPasswordPolicy test1

In dem folgenden Verfahren bearbeiten Sie die differenzierte Kennwortrichtlinie, die Sie in Schritt 3: Erstellen einer neuen differenzierten Kennwortrichtlinie erstellt haben.

  1. Klicken Sie mit der rechten Maustaste auf das Symbol Windows PowerShell, klicken Sie auf Als Administrator ausführen, und geben Sie dsac.exe ein, um ADAC zu öffnen.

  2. Klicken Sie auf Verwalten, klicken Sie auf Navigationsknoten hinzufügen, und wählen Sie die entsprechende Zieldomäne im Dialogfeld Navigationsknoten hinzufügen aus. Klicken Sie anschließend auf OK.

  3. Erweitern Sie im ADAC-Navigationsbereich das Element System, und klicken Sie dann auf Password Settings Container.

  4. Wählen Sie die differenzierte Kennwortrichtlinie aus, die Sie in Schritt 3: Erstellen einer neuen differenzierten Kennwortrichtlinie erstellt haben, und klicken Sie dann auf Eigenschaften im Bereich Aufgaben.

  5. Ändern Sie unter Kennwortchronik erzwingen den Wert von Anzahl der gespeicherten Kennwörter auf 30.

  6. Klicken Sie auf OK.

PowerShell-Logo Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Set-ADFineGrainedPasswordPolicy TestPswd -PasswordHistoryCount:"30"

  1. Klicken Sie mit der rechten Maustaste auf das Symbol Windows PowerShell, klicken Sie auf Als Administrator ausführen, und geben Sie dsac.exe ein, um ADAC zu öffnen.

  2. Klicken Sie auf Verwalten, klicken Sie auf Navigationsknoten hinzufügen, und wählen Sie die entsprechende Zieldomäne im Dialogfeld Navigationsknoten hinzufügen aus. Klicken Sie anschließend auf OK.

  3. Erweitern Sie im ADAC-Navigationsbereich das Element System, und klicken Sie dann auf Kennworteinstellungscontainer.

  4. Wählen Sie die differenzierte Kennwortrichtlinie aus, die Sie in Schritt 3: Erstellen einer neuen differenzierten Kennwortrichtlinie erstellt haben, und klicken Sie dann im Bereich Aufgaben auf Eigenschaften.

  5. Deaktivieren Sie das Kontrollkästchen Vor versehentlichem Löschen schützen, und klicken Sie auf OK.

  6. Wählen Sie die differenzierte Kennwortrichtlinie aus, und klicken Sie im Bereich Aufgaben auf Löschen.

  7. Klicken Sie im Bestätigungsdialogfeld auf OK.

PowerShell-Logo Gleichwertige Windows PowerShell-Befehle

Die folgenden Windows PowerShell-Cmdlets erfüllen dieselbe Funktion wie das vorhergehende Verfahren. Geben Sie die einzelnen Cmdlets in einer einzelnen Zeile ein, auch wenn es den Anschein hat, dass aufgrund von Formatierungseinschränkungen Zeilenumbrüche vorhanden sind.

Set-ADFineGrainedPasswordPolicy –Identity TestPswd –ProtectedFromAccidentalDeletion $False
Remove-ADFineGrainedPasswordPolicy TestPswd -Confirm

ADAC ist ein Benutzeroberflächentool, das auf Windows PowerShell basiert. In Windows Server 2012 können IT-Administratoren ADAC nutzen, um Windows PowerShell für Active Directory-Cmdlets mithilfe von Windows PowerShell-Verlauf Viewer kennenzulernen. Beim Ausführen von Aktionen in der Benutzeroberfläche werden dem Benutzer die entsprechenden Windows PowerShell-Befehle in Windows PowerShell-Verlauf Viewer angezeigt. Dies ermöglicht es Administratoren, automatisierte Skripte zu erstellen und sich wiederholende Aufgaben zu reduzieren, wodurch sich die IT-Produktivität verbessert. Außerdem können sich Benutzer auf diese Weise schneller mit Windows PowerShell für Active Directory vertraut machen und können so sicherer sein, dass ihre Automatisierungsskripte korrekt funktionieren.

Für die Arbeit mit Windows PowerShell-Verlauf Viewer in Windows Server 2012 sollten Sie Folgendes beachten:

  • Um Windows PowerShell Script Viewer nutzen zu können, müssen Sie die Windows Server 2012-Version von ADAC verwenden.

    noteHinweis
    Sie können den Server-Manager verwenden, um die Remoteserver-Verwaltungstools (Remote Server Administration Tools, RSAT) auf Computern mit Windows Server 2012 zu installieren, damit die Verwaltung des Papierkorbs per Benutzeroberfläche mit der richtigen Version des Active Directory-Verwaltungscenters erfolgt.

    Sie können die Remoteserver-Verwaltungstools auf Computern mit Windows® 8 verwenden, damit die Verwaltung des Papierkorbs per Benutzeroberfläche mit der richtigen Version des Active Directory-Verwaltungscenters erfolgt.

  • Sie sollten über einige grundlegende Kenntnisse zur Windows PowerShell verfügen. So müssen Sie zum Beispiel wissen, wie das Piping in Windows PowerShell funktioniert. Weitere Informationen über Piping in Windows PowerShell finden Sie unter Piping und die Pipeline in Windows PowerShell.

In der folgenden Anleitung verwenden Sie Windows PowerShell-Verlauf Viewer in ADAC, um ein Windows PowerShell-Skript zu erstellen. Bevor Sie damit beginnen, müssen Sie den Benutzer test1 aus der Gruppe group1 entfernen.

  1. Klicken Sie mit der rechten Maustaste auf das Symbol Windows PowerShell, klicken Sie auf Als Administrator ausführen, und geben Sie dsac.exe ein, um ADAC zu öffnen.

  2. Klicken Sie auf Verwalten, klicken Sie auf Navigationsknoten hinzufügen, und wählen Sie die entsprechende Zieldomäne im Dialogfeld Navigationsknoten hinzufügen aus. Klicken Sie anschließend auf OK.

  3. Erweitern Sie unten im ADAC-Bildschirm den Bereich Windows PowerShell-Verlauf.

  4. Wählen Sie den Benutzer test1 aus.

  5. Klicken Sie auf Zu Gruppe hinzufügen… im Bereich Aufgaben.

  6. Navigieren Sie zu group1, und klicken Sie im Dialogfeld auf OK.

  7. Wechseln Sie zu dem Bereich Windows PowerShell-Verlauf, und suchen Sie den Befehl, der gerade generiert wurde.

  8. Kopieren Sie den Befehl und fügen Sie ihn in einen Editor Ihrer Wahl ein, um Ihr Skript zu erstellen.

    So könnten Sie zum Beispiel den Befehl so ändern, dass ein anderer Benutzer zur Gruppe group1 oder der Benutzer test1 zu einer anderen Gruppe hinzugefügt wird.

Siehe auch

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

Anzeigen:
© 2014 Microsoft