Abstrakte Klassen können durch erweiterungsklassen zu einer Strukturellen Klasse erweitert 

werden
durch diese Strukturellen Klassen kann man Objekte im im Active Directory ablegen

Beispiel.
AS Klasse top
ab hier entstehen durch hinzufügen von Atributen
AS Klasse person
AS Klasse organ.person mit

Attribute für Kurs

mcitp.DriversLicense |
mcitp.certifications   | ---> Diese in neue klasse mcitp
mcitp.hobby            |

Attribute können an abstrakte klassen als Eigenschaften oder als erweiterungsklasse angefügt
werden
sauberer sind die  erweiterungsklassen.

Für Schema

mmc->
Datei snapin hinzufürgen AD Schema

PS C:\Users\Administrator> Import-Module act*   <---- importidert active directory ins

PowerShell
PS C:\Users\Administrator> get-command enab* -module act* <---zeigt alle commands die mit
enable beginnen im modul active directory
 

Enable-ADOptionalFeature 'Recycle Bin Feature' -Scope ForestOrConfigurationSet -Target

'mcitp03.tst'
löscht alles in Recycle bin

 Get-ADObject  -LDAPFilter:"(msDS-LastKnownRDN=Produktion)" -IncludeDeletedObjects |

Restore-ADObject

Restored die gelöschte Organisationseinheit

 Get-ADObject -Filter {lastknownParent -eq "OU=Produktion,OU=AD Users,DC=mcitp03,DC=tst"}
-IncludeDeletedObjects | Restore-ADObject
restore die inhalte der organisationseinheit

recyclebin funktioniert nur ab W2008 r2

----------------------------------------------
Sys Atribute ändern die normalerweise nicht änderbar ist

ion ldp. exe nach verbinden

rechtklich ändern ohne auswahl
schemaUpdateInProgress
wert 1
------------------------
Kenwort Richtlinmien
=======================
NAME

    New-ADFineGrainedPasswordPolicy

ÜBERSICHT

    Erstellt eine neue abgestimmte Active Directory-Kennwortrichtlinie.

SYNTAX

    New-ADFineGrainedPasswordPolicy [-Name] <string> [-Precedence] <System.Nullable[int]>

[-AuthType {Negotiate | Basic

    }] [-ComplexityEnabled <System.Nullable[bool]>] [-Credential <PSCredential>] [-Description

<string>] [-DisplayName

    <string>] [-Instance <ADFineGrainedPasswordPolicy>] [-LockoutDuration

<System.Nullable[System.TimeSpan]>] [-Lockout

    ObservationWindow <System.Nullable[System.TimeSpan]>] [-LockoutThreshold

<System.Nullable[int]>] [-MaxPasswordAge <

    System.Nullable[System.TimeSpan]>] [-MinPasswordAge

<System.Nullable[System.TimeSpan]>] [-MinPasswordLength <System

    .Nullable[int]>] [-OtherAttributes <hashtable>] [-PassThru <switch>] [-

PasswordHistoryCount <System.Nullable[int]>]

     [-ProtectedFromAccidentalDeletion <System.Nullable[bool]>] [-ReversibleEncryptionEnabled

<System.Nullable[bool]>]

    [-Server <string>] [-Confirm] [-WhatIf] [<CommonParameters>]

BESCHREIBUNG

    Das Cmdlet "New-ADFineGrainedPasswordPolicy" erstellt eine neue abgestimmte Active

Directory-Kennwortrichtlinie. Si

    e können häufig verwendete Eigenschaftenwerte für abgestimmte Kennwortrichtlinien mithilfe

der Cmdlet-Parameter fes

    tlegen. Eigenschaftenwerte, die keinen Cmdlet-Parametern zugeordnet sind, können mit dem
OtherAttributes-Parameter

    festgelegt werden.

============

Kennwortrichtlinien an Gruppen Hängen!

unter ADSI
CN=System
    CN=PasswortSettingsContainer
Neu Objekt
Zeiten mit : ändern Tage:Stunden:Minuten:Sekunden (bis auf tage alles immer zweistellig)
anhängen an eine Gruppe:
Erweiterte Atribute: nach msds_PSO suchen, distinguished name für die jeweilige gruppe
eingeben

man kann als unlock für accounts nicht 0 angeben, ist bei befehlszeilen programm möglich

befehlszeile in Powershell:
PS C:\Users\Administrator> New-ADFineGrainedPasswordPolicy -Name PS_Buchhaltung
-ComplexityEnabled $False -LockoutDuration "0.03:00:00" -LockoutObservationWindow
"0.01:00:00" -LockoutThreshold 5 -MaxPasswordAge "30.00:00:00" -MinPasswordAge
"1.00:00:00" -MinPasswordLength 4 -PasswordHistoryCount 5 -ReversibleEncryptionEnabled
$False -ProtectedFromAccidentalDeletion $True -Precedence 2

umlagern von AD datenbank:

zuerst ntds stoppen mit net stop ntds
in ntds util mit file in nächste ebene wechseln
mit move db to E:\ datenbank verschieben
mit move logs to E:\logs\  logs ändern

net start ntds um wieder zu starten

=============
snapshot erstellen

Abstände nicht vergessen, zeiten getrennt nach Tage.Stunden:Minuten:Sekunden

in ntdsutil auf ebene snap wechseln

snapshot erstellen (erstell schatten kopie)

create

wird auf 3 teile aufgeteilt GUID 1 ist das gesammte abbild

mit mount kann man die snapshout mounten

wenn man irrtümlich löscht kann man schatten kopie starten um  irttum zu beseitigen

==========================
zusatz (150610)
Systemstate sollte immer gespeichert werden

Nach löschung einer Organisation Einheit(OU) wird von einem DC auf anderen Repliziert, ohne
Recycle Bin sind diese Inhalte der OU verloren
nicht authorritative Löschung
wiederherstellen DC runter fahrn und Verzeichnisdienstwiederherstellung starten (funktioniert nur
mit EINEM DC da sonst zweit DC wieder zurück repliziert um zu löschen)
mit mehreren DC
unter ntdsutil mit authorative restore möglic ohne das Löschung von DC 2 repliziert wird, da
Updatesequenznumber erhöht werden kann
-->restore subtree DN(distinguished name) OU
Nur bei dem  was wieder hergestelt werden soll Updatesequencenumber erhöhen
--->thombstoneLifetime gibt an nach welcher Zeit gelöschte Objekte endgültig aus dem AD
entfernt werden

===================
auoriteres wiederherstellen
authoritative restore: ?

 ?                             - Zeigt diese Hilfeinformationen an.

 Create ldif file(s) from %s   - Erstellt LDIF-Datei(en) unter Verwendung einer angegebenen
                                 autorisiert wiederhergestellten Objektliste, um rückwärtige
                                 Verknüpfungen auf diese Objekte erneut zu erstellen.
 Help                          - Zeigt diese Hilfeinformationen an.
 List NC CRs                   - Listet Partitionen und Querverweise auf. Sie benötigen
                                 die Querverweise einer Anwendungsverzeichnispartition,
                                 um sie wiederherzustellen.
 Quit                          - Zum vorherigen Menü wechseln
 Restore object %s             - Autorisierende Wiederherstellung eines Objekts
 Restore object %s verinc %d   - ... und Überschreiben der Versionserhöhung
 Restore subtree %s            - Autorisierende Wiederherstellung einer
                                 untergeordneten Struktur
 Restore subtree %s verinc %d  - ... und Überschreiben der Versionserhöhung
 Toggle recycled objects flag  - Legen Sie dieses Kennzeichen fest, um die Wiederherstellung oder
                                 die autorisierende Wiederherstellung wieder verwendeter Objekte
zuzulassen.

                                 Dies wird nicht empfohlen und kann zum

                                 Verlust verknüpfter Werte nach der Wiederherstellung bzw. nach der
                                 autorisierenden Wiederherstellung führen.

authoritative restore: restore subtree %s "OU=AD Users,DC=mcitp03,DC=tst"

Fehler beim Verarbeiten der Eingabe - Ungültige Syntax.
authoritative restore: restore subtree "OU=AD Users,DC=mcitp03,DC=tst" verinc 1000000

Die DIT-Datenbank wird geöffnet... Der Vorgang ist abgeschlossen.

Aktuelle Zeit 06-15-10 12:32.56.

Die letzte Datenbankaktualisierung erfolgte um 06-15-10 10:25.39.
Die Versionsnummern des Attributs werden um 1000000 erhöht.

Die zu aktualisierenden Datensätze werden gezählt...

Gefundene Einträge: 0000000015
Der Vorgang ist abgeschlossen.

15 Einträge wurden für die Aktualisierung gefunden.

Datensätze werden aktualisiert...

Verbleibende Datensätze: 0000000000
Der Vorgang ist abgeschlossen.

15 Datensätze wurden einwandfrei aktualisiert.

Die folgenden Textdatei, die eine Liste autorisiert wiederhergestellter Objekte enthält, wurde im
aktuellen Arbeitsverzeichnis erstellt:
        ar_20100615-123256_objects.txt

Mindestens ein angegebenes Objekt in dieser Domäne verfügt über rückwärtige Verknüpfungen.
Die folgenden LDIF-Dateien mit Verknüpfungswiederherstellungsvorgängen wurden im aktuellen
Arbeitsverzeichnis erstellt:
        ar_20100615-123256_links_mcitp03.tst.ldf