====== AD-FAQ ======

===== Alte DCs löschen (Nach Bedarf angepassen) =====
DCs und FSMO-Rollen werden über ntdsutil verwaltet. Der ausführende Benutzer muss die Rollen Schema-Admin und Organisation-Admin inne haben, um die entsprechenden Änderungen vornehmen zu können:\\
CMD "als Administrator ausführen\\

__**1. Rollen verschieben**__
Bevcor eine DC aus dem AD entfernt wird, sollten seine Rollen auf einen verbleibenden DC verschoben werden. Die aktuellen Rolleninhaber lassen sich mit dem folgenden Befehl abfragen:
<code>netdom query fsmo</code>

Ist der ursprüngliche Rolleninahber noch verfügbar verfügbar, können die Rollen über die folgenden Befehle übertragen werden:
<code>
ntdsutil
roles
connections
connect to server NEUER-ROLLENINHABER
fsmo maintenance
q
transfer rid master
transfer pdc
transfer infrustructure master
transfer shema master
transfer domain master
</code>
Ist der ursprüngtliche Rolleninhaber nciht mehr verfügbar, muss das "transfer" durch ein "seize" ersetzt werden, um die Übertragung zu erzwingen.

__**Alte Einträge aus dem AD entfernen**__
Ist der alte DC nicht mehr ansprechbar müssen seine früheren Funktionen aus dem AD entfernet werden. Auch dieser Schritt wird sinnvoll mit NTDSUTIL durchgeführt:
<code>
ntdsutil: metadata cleanup
metadata cleanup: connections
server connections: connect to server FUNKTIONIERENDER-SERVER
server connections: q
metadata cleanup: select operation target
select operation target: list domains
select operation target: select domain ‹x›
select operation target: list sites
select operation target: select site ‹y›
select operation target: list servers in site
select operation target: select server ‹z›
q
remove selected server
</code>

__**Alten Server aus AD entfernen:**__\\
  - Alten Server unter "Active Directory-Standorte und Dienste" löschen
  - Alten Server aus "Active Directory Benutzer und Computer" löschen
  - Alten Server aus "DNS" löschen

===== Alte Domänenkonten löschen (Nach Bedarf angepassen) =====
Zeitraum für die Abfrage in einer Variablen speichern (Hier 365 Tage):\\
:!: Die Variable gilt nur in der aktuellen Session. Wird die Powershell geschlossen, muss die Variable vor dem Ausführen der folgenden Zeilen neu gesetzt werden.
<code powershell>$v_time = (Get-Date).AddDays(-365)</code>
Erzeugen und Speichern einer Liste der zum Suchmuster passenden AD-Konten (Hier unter d:\result.csv):
<code Powershell>Get-ADComputer -Property Name,lastLogonDate -Filter {lastLogonDate -lt $v_time} | Select-Object Name,OperatingSystem,OperatingSystemServicePack,OperatingSystemVersion,LastLogonDate | Select-Object Name,LastLogonDate | Export-CSV d:\result.csv -NoTypeInformation </code>
Wenn in der Liste nur AD-Konten enthalten sind, die gelöscht werden sollen, die Suche wiederholen und an die gefundenen Maschinen-Konten löschen lassen:
<code Powershell>Get-ADComputer -Property Name,lastLogonDate -Filter {lastLogonDate -lt $v_time} | Remove-ADComputer</code>
Vor dem Löschen der Computerkonten erfolgt noch eine Sicherheitsabfrage.\\

__Sonderfall: AD-Konto wurde noch nie genutzt__\\
<code powershell>Get-ADComputer -Filter * -Property * | where-object lastlogondate -eq $null | Select-Object Name,LastLogonDate | Export-CSV d:\result.csv -NoTypeInformation -Encoding UTF8</code>

===== Wiederherstellung gelöschter AD-Objekte =====
=== Wiederherstellung einzelner Objekte ===
Sind nur wenig Objekte gelöscht worden, können sie am besten über das Tool ADRestore.Net wiederhergestellt werden (Nicht auf den DCs installieren!)\\
Das Tool ist selbsterklärend.\\
{{ :ad:tools:adrestore.net.zip |AD-Restore.Net}}


=== Wiederherstellung vieler Objekte ===
Sind AD-Objekte gelöscht worden, bleiben sie für "X" Tage im AD-Papierkorb.\\
Sie lassen sich per Befehlszeile zurückholen:
<code powershell>
Get-ADObject -Filter {givenname -eq 'Test1'}
Get-ADObject -Filter {givenname -eq 'Test1'} -IncludeDeletedObjects
Get-ADObject -Filter {givenname -eq 'Test1'} -IncludeDeletedObjects | Restore-ADObject

Get-ADObject -Searchbase 'CN=Deleted Objects,DC=SG,DC=test,DC=intra' -LdapFilter '(objectclass=organizationalUnit)' -IncludedeletedObjects

Get-ADObject -Searchbase 'CN=Deleted Objects,DC=SG,DC=test,DC=intra' -LdapFilter '(objectclass=user)' -IncludedeletedObjects
Get-ADObject -filter 'name -like "Test*"' -searchbase 'CN=Deleted Objects,DC=SG,DC=test,DC=intra' -Includedeletedobjects -properties lastknownparent
</code>
:!: Wichtig:\\
Diese Befehle funktioniern nur in der Powershell, wenn die entsprechenden AD-Erweiterungen geladen wurden\\
{{:ad:ad-recover-01.png?400|}}

==== Gruppenrichtlinien verwalten/prüfen ====
''cmd '' oder ''powershell'' "als Administrator ausführen" :!:
Update der Gruppenrichtlinien:
<code>gpupdate /force</code>
Prüfung der Gruppenrichtlinien:
<code>gpresult /r</code>

''powershell'' "als Administrator ausführen" :!:
<code powershell>Get-GPResultantSetOfPolicy -ReportType Html -Path $env:USERPROFILE\desktop\report.html</code>
Gruppenrichtlinie für Remotesystem abfragen:
<code powershell>Get-GPResultantSetOfPolicy -computer script01 -ReportType Html -Path -Path $env:USERPROFILE\desktop\report.html</code>
:!: der Benutzer muss an dem System schon einmal eingelogt gewesen sein

===== AD-CA =====
**AD-CA-Server finden:**
<code>certutil -config - -ping</code>