Archive for August 2009

Windows Server 2008 Command Lines for Administrative Consoles

Så lige dette link, som giver et godt overblik over de enkelte kommandoer i Windows 2008/R2.
http://msmvps.com/blogs/ad/archive/2008/06/20/windows-server-2008-command-lines-for-administrative-consoles.aspx

AdRmsAdmin.msc

Active Directory Rights Management Services

Adsiedit.msc 

ADSI Edit

Azman.msc

Authorization Manager

Certmgr.msc

Certmgr (Certificates)

Certtmpl.msc

Certificates Template Console

CluAdmin.msc

Failover Cluster Management

Comexp.msc

Component Services

Compmgmt.msc

Computer Management

Devmgmt.msc

Device Manager

Dfsmgmt.msc

DFS Management

Dhcpmgmt.msc

DHCP Manager

Diskmgmt.msc

Disk Management

Dnsmgmt.msc

DNS Manager

Domain.msc

Active Directory Domains And Trusts

Dsa.msc

Active Directory Users And Computers

Dssite.msc

Active Directory Sites And Services

Eventvwr.msc

Event Viewer

Fsmgmt.msc

Shared Folders

Fsrm.msc

File Server Resource Manager

Fxsadmin.msc

Microsoft Fax Service Manager

Gpedit.msc

Local Group Policy Editor

Lusrmgr.msc

Local Users And Groups

Napclcfg.msc

NAP Client Configuration

Nfsmgmt.msc

Services For Network File System

Nps.msc

Network Policy Server

Ocsp.msc

Online Responder

Perfmon.msc

Reliability And Performance Monitor

Pkiview.msc

Enterprise PKI

Printmanagement.msc

Print Management

Remoteprograms.msc

TS RemoteApp Management

Rsop.msc

Resultant Set of Policy

Secpol.msc

Local Security Policy

ServerManager.msc

Server Manager

StorageMgmt.msc

Share And Storage Management

Services.msc

Services

StorExpl.msc

Storage Explorer

Tapimgmt.msc

Telephony

Taskschd.msc

Task Scheduler

Tmp.msc

Trusted Platform Module (TPM) Management

Tsadmin.msc

Terminal Services Management

Tsconfig.msc

Terminal Services Configuration

Tsgateway.msc

TS Gateway Manager

Tsmmc.msc

Remote Desktops

Uddi.msc

UDDI Services Console

Wbadmin.msc

Windows Server Backup

Wdsmgmt.msc

Windows Deployment Services

Winsmgmt.msc

WINS Manager

WmiMgmt.msc

WMI Control

Windows XP to Windows 7 Migration

Nedenstående guide giver et rigtigt godt overblik for de enkelte step i det samlede migrerings projekt.
Der er også link til en række hjælpe applikationer/tools. Se guiden her.
http://technet.microsoft.com/en-us/ee150430.aspx

Active Directory Recycle Bin + GUI Tools

“Active Directory Recycle Bin” er en ny spændende feature som kommer med Windows 2008 R2.
Det betyder at man nu kan restore AD objekter (ex. OU’s, grupper, brugere) uden nedetid.
Med nedetid menes der at skulle boote DC’eren i DSRM eller stoppe AD/DS servicen i forbindelse med restore udfra et mounted snapshots.
En anden fordel skal også ses i forhold til backup.
Sletter jeg feks en OU om aften og min sidste gode backup er fra aften før, så vil ændringer for denne OU jeg har lavet i løbet af dagen være tabt i forbindelse med en restore.
Er der så en længere periode imellem den sidste gode system state backup, så kan det gå hen og blive en rigtig dårlig dag. Dette problem undgår man med “AD Recycle Bin”.
For at kunne aktivere denne funktion, kræver det “R2 forest functional level”, som igen betyder at man ikke kan have nogle 2003/2008 dc’ere i sit miljø.

For et 2003/2008 gælder følgende procedure for et slettet objekt, kort fortalt.
Et objekt (feks en user account) bliver slettet i AD. I den forbindelse bliver de fleste “User Attributes” fjernet (telephone, e-mail, link til security groups mfl.).
Objektet bliver herefter flyttet til “Deleted Object containeren” (CN=Deleted Objects), som en “tombstone”.
Levetiden for en “tombstone”, er default 180 dage, hvorefter processen “Garbage Collector” fjerner den fra Active Directory (ntds.dit).
Nedenstående billede viser dette.

For Windows 2008 R2 med “AD Recycle Bin” aktiveret, bliver der lagt en ny cyklus ind, som kaldes “Recycled”.
Det betyder at et slettet user objekt bliver flyttet til “Deleted Object containeren”, men bibeholder alle sine “User Attributes”.
Recycle perioden for slettet objekter er default 180 dage. Attributten “ms-DS-deletedObjectLifetime” bestemmer Recycle perioden.
Hvis denne værdi er blank benytter den “tombstoneLifetime” værdien, som default også er 180 dage.
DeletedObjectLifetime og TombstoneLifetime attributterne kan ændres. Se nedenstående links.

Determine the tombstone lifetime for the forest.
http://technet.microsoft.com/en-us/library/cc784932(WS.10).aspx

PowerShell – Tombstone Periods.
http://richardsiddaway.spaces.live.com/blog/cns!43CFA46A74CF3E96!2473.entry

Modifying the tombstone lifetime and deleted object lifetime
http://technet.microsoft.com/en-us/library/dd392260(WS.10).aspx

Efter DeletedObjectLifetime (Recycled) perioden er overstået, bliver de fleste “User Attributes” fjernet og objektet får nu status som en “tombstone”, som vi kender det fra tidligere.
Under Recycled perioden kan man restore objekter uden nedetid, feks via LDP eller PowerShell.
Nedenstående billede viser den nye Recycle cyklus.

 
AD Recycle Bin, er ikke aktiveret default. Det vil man bla kunne se i eventloggen under “Directory Service” med eventid’en 2120 og 2121.

 

Med en powershell kommando vil vi ligeledes kunne se at “AD Recycle Bin” ikke er aktiveret.
Get-ADOptionalFeature “Recycle Bin Feature”. Man vil her kunne se at “EnabledScopes” har en null værdi.

For at aktivere Recycle Bin funktionen, skal man skrive nedenstående PS Kommando. Mit domæne hedder i dette eksempel win.local.
Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=win,DC=local’
–Scope ForestOrConfigurationSet –Target ‘win.local’

Svar herefter y for “yes”
 

Læg også mærke til at denne handling ikke kan disables bagefter.
Kommandoen Get-ADOptionalFeature “Recycle Bin Feature viser at vi nu har fået et enabled scope for Recycle Bin” og dermed har aktiveret denne feature.

Eventid 2119 under eventlog “Directory Service” melder også at “AD Recycle Bin” er blevet aktiveret.

Jeg er nu nået til det punkt, hvor jeg vil slette brugeren “demo01” og genskaber objektet igen bagefter.
Jeg benytter her 2 metoder i form af LDP og PowerShell.
Der er endnu ingen restore integration fra feks “Active Directory Users and Computers” (ADUC interfacet).
Jeg starter først ADExplorer og ser at “demo01”  ligger i “Deleted Object containeren”.

 

 

Jeg tilretter herefter følgende Atributter via LDP.exe.
– distinguishedName (denne værdi indsætter/kopiere jeg fra “lastKnownParent” – CN=demo01,OU=Users,OU=Salg,OU=WinRoot,DC=win,DC=local)
– isDeleted (Jeg sletter her TRUE værdien)

LDP resultatet er vist på nedenstående billede.

Jeg har nu genskabt brugeren demo01 inklusiv de grupper han var medlem af.
En rigtig god guide til LDP metoden med screendump kan ses her.
http://www.policelli.com/blog/?p=316

Jeg har nu slettet brugeren demo01 igen og vil genskabe objektet via PowerShell.
Først lister jeg alle deleted objeckt via nedenstående PowerShell kommando.
Get-ADObject –SearchBase “CN=Deleted Objects,DC=win,DC=local” –ldapFilter “(objectClass=*)” -includeDeletedObjects

 

Kopier herefter objectGUID ud i en tekstfil. Restore demo01 med følgende kommando.
Restore-ADObject –Identity objectGUID.
Restore-ADObject –Identity d75a12cd-c80c-4769-99d0-1897f38cbb28

Hvis man vil restore en OU, skal man først genskabe OU objektet og herefter genskabe child objekterne.
For mere info se nednstående link.
http://blogs.technet.com/niraj_kumar/archive/2009/02/03/new-feature-active-directory-recycle-bin-in-windows-2008-r2.aspx

Restore metoden via LDP og PowerShell virker, men det kan være lidt bøvlet hvis det er mange objekter man skal restore.
Alternativt er der 2 gode GUI Tools, som kan downloades fra nedenstående links.

Object Restore for Active Directory (freeware).
http://www.quest.com/object-restore-for-active-directory/

ADRecycleBin (freeware).
http://www.overall.ca/index.php?option=com_docman&task=doc_download&gid=68&Itemid=11

Jeg har testet begge GUI tools og de virker uden problemer. Man kan dog med “ADRecycleBin” lave bulk recovery, hvilket er en klar fordel og gør den til min favorit.
Nedenstående billede viser interfacet for “Object Restore for Active Directory “.

Her vises interfacet for ADRecycleBin + restore report med CSV export. Jeg kan her vælge alle objekter på en gang og restore dem, genialt.
Guide til ADRecycleBin med screendumps kan ses her.
http://www.overall.ca/index.php?option=com_content&view=article&id=40:adrecyclebin&catid=15:adrecyclebinexe&Itemid=64


 

Jeg har testet Active Directory Recycle Bin på Windows 2008 R2 RC.
Referencer til ovenstående.

Active Directory Recycle Bin Step-by-Step Guide.
http://technet.microsoft.com/en-us/library/dd392261(WS.10).aspx

Active Directory Recycle Bin For Server 2008 R2.
http://www.frickelsoft.net/blog/?p=169.com