• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Active Directory Schema synchronisieren

Apr 9, 2014 (Letztes Update) | Posted by Peter Schäfer Administration |

 

Active Directory Schema synchronisieren

Kürzlich wollte ich eine Active-Directory Test-Domäne erstellen. Diese sollte den identischen Inhalt einer bestehenden Domäne haben.

Dabei stößt man schnell auf folgendes Problem:
Wie kann ich sicherstellen, dass mein Test-Directory dasselbe LDAP-Schema wie die Referenz-Domäne hat?

Mit Bordmitteln lässt sich das AD Schema synchronisieren, bzw. exportieren und importieren.

 

Hierbei ist ein Tool sehr hilfreich, das Bestandteil der Server-Rolle  AD-LDS ( früher ADAM ) ist.
Wenn diese Rolle installiert ist, findet man im Ordner C:\Windows\ADAM ein Programm mit dem Namen: ADSchemaAnalyzer.exe
Damit lassen sich AD Schemen exportieren und importieren.

 

AD Schema als Kopie von Produktiv-Domäne einrichten

Mit dem Tool ADSchemaAnalyzer kann ich die Schema-Differenz zwischen zwei LDAP-Directories (AD-DS / AD-LDS) ermitteln und in eine LDIF-Datei exportieren.
Die LDIF-Datei wird dann mit dem Tool ldifde.exe in das Zielverzeichnis importiert.
ldifde.exe ist ein Kommandozeilen-Tool und auf jedem Domain-Controller vorhanden.

 

Einführung ADSchemaAnalyzer

Etwas irreführend können die verwendeten Begriffe sein.
Ich möchte diese kurz erklären:

Target Schema
Das Target Schema bezeichnet die Quelle, bzw. das Referenz- oder Original Schema.
Target bedeutet hier, dass mein Base-Schema am Ende wie das Target aussehen soll
Base Schema
Das Basis Schema ist das zu bearbeitende Schema, also die Kopie, bzw. die Test-AD-Domäne.
Diese soll so erweitert werden, dass sie die gleichen Inhalte wie das Target hat.

 

Tutorial LDAP Schema synchronisieren und einrichten

  1. ADSchemaAnalyzer starten


    ADSchemeAnalyzer Start

     

  2. Das Schema des Target-Verzeichnisses laden

    File->Load target schema…
    Benutzername, Kennwort und Domäne eintragen
    Mit OK bestätigen

    load target schema

    Das Ergebnis könnte so aussehen:

    ADSchemeAnalyzer loaded

     

  3. Das Schema des Test-Verzeichnisses laden
    File->Load base schema…
    Nach erfolgreicher Eingabe der Verbindungsangaben zum Test-Verzeichnis wird die Schema-Differenz ermittelt.

    load base scheme 

    AD Schema Differenz
    Das Tool zeigt nun alle Klassen und Attribute mit deren Status an.

    Mit der Option Schema->Hide present elements lassen sich im Ziel bereits vorhandenen Einträge ausblenden.
    Danach kann man manuell die gewünschte Klassen oder Attribute auswählen.
    Alternativ können mit Schema->Mark all non-present elemts as included alle fehlenden hinzufügt werden.
     

  4. Danach kann per File->Create LDIF file.. die LDIF-Import Datei erstellt werden.
     

Beispiel-Datei (gekürzt):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
# ==================================================================
#
#  This file should be imported with the following command:
#    ldifde -i -u -f Fa-Schema.ldf -s Server-Name  -j . -c "cn=Configuration,dc=X" #configurationNamingContext
#  LDIFDE.EXE from AD/AM V1.0 or above must be used.
#  This LDIF file should be imported into AD or AD/AM. It may not work for other directories.
#
# ==================================================================
#
# ==================================================================
#  Attributes
# ==================================================================
 
# Attribute: faAdresse2
dn: cn=FaAdresse2,cn=Schema,cn=Configuration,dc=X
changetype: add
objectClass: attributeSchema
attributeId: 1.3.6.1.4.1.18871.1.1.1.41
ldapDisplayName: faAdresse2
attributeSyntax: 2.5.5.12
adminDisplayName: FaAdresse2
# schemaIDGUID: 21d94f36-80d8-408e-a8e9-b272a0e1e8c0
schemaIDGUID:: Nk/ZIdiAjkCo6bJyoOHowA==
oMSyntax: 64
isSingleValued: TRUE
systemOnly: FALSE
…

Diese Datei enthält im Kopf bereits den Kommandozeilenaufruf für Ldifde:

ldifde -i -u -f Fa-Schema.ldf -s Server-Name  -j . -c „cn=Configuration,dc=X“ #configurationNamingContext

Wichtig ist hierbei, dass der Zielserver die AD-Rolle “Schema-Master” besitzt und der ausführende Benutzer Schema-Administrator (Gruppe Schema-Admins) ist.

 

Achtung:

Änderungen am AD-Schema können nicht rückgängig gemacht werden! Alle Aktionen sorgfältig prüfen!
Der Autor übernimmt keinerlei Haftung für Datenverlust, unerwünschte Nebeneffekte oder sonstige Garantien. Das Risiko trägt der Anwender.

 

Active Directory Schemaerweiterung
Erweiterungen im AD ermöglichen es andere Applikationen und Systeme direkt anzubinden.
Es können Mitarbeiterstatus, Personalnummern, Kostenstellen uvm. genutzt werden.
Nutzen Sie das AD als führendes System für Stammdatenpflege.
Eine einfache Administration bietet Firstware-Admin.

 

Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 10.04.2014
Tags: ADAMADSchemeAnalyzerLDAPldifde.exeSchemaSchemaerweiterung
0

You also might be interested in

Kerberos: Probleme nach Schema-Update auf Server 2012 R2

Sep 28, 2015

Nach einem Schema-Update von Windows 2008 R2 auf Windows 2012[...]

LDAP Queries in der [Active Directory Users and Computers] Console

Okt 6, 2011

Der Artikel “Sicherheitslücke : Leeres Passwort im Active Directory trotz[...]

AD DS versus AD LDS

AD DS und AD LDS im Direktvergleich

Apr 9, 2019

In diesem Artikel werden die Unterschiede zwischen den Verzeichnisdiensten Active[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD
  • Microsoft Teams und Teams-Apps mit SSO über Azure AD konfigurieren

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2022 · Active-Directory-FAQ by firstattribute.com

Prev Next