• administration
  • migration
  • powershell
  • kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • administration
  • migration
  • powershell
  • kontakt
  • EN

Active Directory Schema synchronisieren

Apr 9, 2014 (Letztes Update) | Posted by Peter Schäfer Administration |

 

Active Directory Schema synchronisieren

Kürzlich wollte ich eine Active-Directory Test-Domäne erstellen. Diese sollte den identischen Inhalt einer bestehenden Domäne haben.

Dabei stößt man schnell auf folgendes Problem:
Wie kann ich sicherstellen, dass mein Test-Directory dasselbe LDAP-Schema wie die Referenz-Domäne hat?

Mit Bordmitteln lässt sich das AD Schema synchronisieren, bzw. exportieren und importieren.

 

Hierbei ist ein Tool sehr hilfreich, das Bestandteil der Server-Rolle  AD-LDS ( früher ADAM ) ist.
Wenn diese Rolle installiert ist, findet man im Ordner C:\Windows\ADAM ein Programm mit dem Namen: ADSchemaAnalyzer.exe
Damit lassen sich AD Schemen exportieren und importieren.

 

AD Schema als Kopie von Produktiv-Domäne einrichten

Mit dem Tool ADSchemaAnalyzer kann ich die Schema-Differenz zwischen zwei LDAP-Directories (AD-DS / AD-LDS) ermitteln und in eine LDIF-Datei exportieren.
Die LDIF-Datei wird dann mit dem Tool ldifde.exe in das Zielverzeichnis importiert.
ldifde.exe ist ein Kommandozeilen-Tool und auf jedem Domain-Controller vorhanden.

 

Einführung ADSchemaAnalyzer

Etwas irreführend können die verwendeten Begriffe sein.
Ich möchte diese kurz erklären:

Target Schema
Das Target Schema bezeichnet die Quelle, bzw. das Referenz- oder Original Schema.
Target bedeutet hier, dass mein Base-Schema am Ende wie das Target aussehen soll
Base Schema
Das Basis Schema ist das zu bearbeitende Schema, also die Kopie, bzw. die Test-AD-Domäne.
Diese soll so erweitert werden, dass sie die gleichen Inhalte wie das Target hat.

 

Tutorial LDAP Schema synchronisieren und einrichten

  1. ADSchemaAnalyzer starten


    ADSchemeAnalyzer Start

     

  2. Das Schema des Target-Verzeichnisses laden

    File->Load target schema…
    Benutzername, Kennwort und Domäne eintragen
    Mit OK bestätigen

    load target schema

    Das Ergebnis könnte so aussehen:

    ADSchemeAnalyzer loaded

     

  3. Das Schema des Test-Verzeichnisses laden
    File->Load base schema…
    Nach erfolgreicher Eingabe der Verbindungsangaben zum Test-Verzeichnis wird die Schema-Differenz ermittelt.

    load base scheme 

    AD Schema Differenz
    Das Tool zeigt nun alle Klassen und Attribute mit deren Status an.

    Mit der Option Schema->Hide present elements lassen sich im Ziel bereits vorhandenen Einträge ausblenden.
    Danach kann man manuell die gewünschte Klassen oder Attribute auswählen.
    Alternativ können mit Schema->Mark all non-present elemts as included alle fehlenden hinzufügt werden.
     

  4. Danach kann per File->Create LDIF file.. die LDIF-Import Datei erstellt werden.
     

Beispiel-Datei (gekürzt):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
# ==================================================================
#
#  This file should be imported with the following command:
#    ldifde -i -u -f Fa-Schema.ldf -s Server-Name  -j . -c "cn=Configuration,dc=X" #configurationNamingContext
#  LDIFDE.EXE from AD/AM V1.0 or above must be used.
#  This LDIF file should be imported into AD or AD/AM. It may not work for other directories.
#
# ==================================================================
#
# ==================================================================
#  Attributes
# ==================================================================
 
# Attribute: faAdresse2
dn: cn=FaAdresse2,cn=Schema,cn=Configuration,dc=X
changetype: add
objectClass: attributeSchema
attributeId: 1.3.6.1.4.1.18871.1.1.1.41
ldapDisplayName: faAdresse2
attributeSyntax: 2.5.5.12
adminDisplayName: FaAdresse2
# schemaIDGUID: 21d94f36-80d8-408e-a8e9-b272a0e1e8c0
schemaIDGUID:: Nk/ZIdiAjkCo6bJyoOHowA==
oMSyntax: 64
isSingleValued: TRUE
systemOnly: FALSE
…

Diese Datei enthält im Kopf bereits den Kommandozeilenaufruf für Ldifde:

ldifde -i -u -f Fa-Schema.ldf -s Server-Name  -j . -c “cn=Configuration,dc=X” #configurationNamingContext

Wichtig ist hierbei, dass der Zielserver die AD-Rolle “Schema-Master” besitzt und der ausführende Benutzer Schema-Administrator (Gruppe Schema-Admins) ist.

 

Achtung:

Änderungen am AD-Schema können nicht rückgängig gemacht werden! Alle Aktionen sorgfältig prüfen!
Der Autor übernimmt keinerlei Haftung für Datenverlust, unerwünschte Nebeneffekte oder sonstige Garantien. Das Risiko trägt der Anwender.

 

Active Directory Schemaerweiterung
Erweiterungen im AD ermöglichen es andere Applikationen und Systeme direkt anzubinden.
Es können Mitarbeiterstatus, Personalnummern, Kostenstellen uvm. genutzt werden.
Nutzen Sie das AD als führendes System für Stammdatenpflege.
Eine einfache Administration bietet Firstware-Admin.

 

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 10.04.2014
Tags: ADAMADSchemeAnalyzerLDAPldifde.exeSchemaSchemaerweiterung
0

You also might be interested in

Kerberos: Probleme nach Schema-Update auf Server 2012 R2

Sep 28, 2015

Nach einem Schema-Update von Windows 2008 R2 auf Windows 2012[...]

AD DS und AD LDS im Direktvergleich

AD DS und AD LDS im Direktvergleich

Apr 9, 2019

In diesem Artikel werden die Unterschiede zwischen den Verzeichnisdiensten Active[...]

AD Schema: Server 2012 R2 DC in Domäne aufnehmen

AD Schema: Server 2012 R2 DC in Domäne aufnehmen

Dez 17, 2015

In der vergangenen Zeit musste ich häufiger die folgende Frage[...]

Leave a Reply

Danke für Ihre Anregungen, Fragen und Hinweise.
Infos zum Datenschutz

Cancel Reply

Wer schreibt ?

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM-, Migrations- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen umfangreichen, wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • Neuen Exchange-Ordner im Postfach automatisch anlegen
  • AD Gruppenverwaltung delegieren
  • Mailversand über O365 automatisieren
  • AD LDS Installation und Backup mit Powershell
  • E-Mail-Adresse mit PowerShell prüfen


FirstAttribute

AD Identity Management | Jobs

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Berechtigung Berechtigungen Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange 2016 Exchange Migration Federation FirstWare Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP lokale Gruppen Microsoft Azure Migration New-ADUser Novell NTFS O365 Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • Sebastian Goras bei IsMember – Gruppenmitgliedschaft des Benutzers prüfen
  • Paul bei Powershell – Home Directory anlegen und Berechtigungen vergeben
  • Steve König bei AD PowerShell Basics 1: New-ADUser
Login
Impressum
Datenschutzerklärung

© 2020 · Active-Directory-FAQ by firstattribute.com

Prev Next