Active-Directory-Papierkorb: Gelöschte Objekte wiederherstellen

Andreas Kroschel, 09.07.2010
Tags: , ,
I like Google Plus

AD Recycle Bin Thumbnail © MicrosoftSeit Windows Server 2008 R2 gibt es eine neue Active-Directory-Funktion: einen Papierkorb für Objekte. Er erlaubt es, versehentlich gelöschte Objekte im laufenden Betrieb wiederherzustellen, das heißt ohne einen Domain Controller für eine autorisierende Wiederherstellung von Objekten aus dem AD-Backup offline nehmen zu müssen oder eine Tombstone-Reanimation durchführen zu müssen. Letztere erfordert zwar keine Downtime, ist aber nicht zuverlässig, da Attribute verlorengehen können.

Der AD-Papierkorb ist in der Voreinstellung nicht eingeschaltet. Die folgende Anleitung zeigt, wie man ihn aktiviert und gelöschte Objekte wiederherstellt, wobei wichtig ist, dass ein einmal aktivierter AD-Papierkorb nicht wieder abgeschaltet werden kann.

Gesamtstrukturfunktionsebene heraufstufen

Zunächst ruft man „Active Directory-Domänen und -Vertrauensstellungen“ auf, …… um die Gesamtstrukturfunktionsebene auf Windows Server 2008 R2 heraufzustufenDer AD-Papierkorb steht nur zur Verfügung, wenn man die Funktionsebene der Gesamtstruktur auf Windows Server 2008 R2 heraufstuft. Das bedeutet, dass man alle DCs auf Windows Server 2008 R2 aktualisieren oder sie außer Dienst stellen muss. Die Funktionsebene stuft man unter „Active Directory-Domänen und -Vertrauensstellungen“ herauf. Achtung: Dies ist nicht reversibel.

AD-Papierkorb einschalten

Für AD-Aufgaben halt Windows spezielle Powershell-Module bereitDer AD-Papierkorb wird per PowerShell-Befehl eingeschaltet – der Vorgang ist irreversibelUm den AD-Papierkorb einzuschalten, benötigt man PowerShell mit geladenen Active-Directory-Modulen. Dafür stellt Windows bereits eine Verknüpfung zur Verfügung; am einfachsten findet man sie, indem man in das Suchfeld „power“ eintippt. Der PowerShell-Befehl zum Einschalten des Papierkorbs lautet 

Enable-ADOptionalFeature –Identity 'CN=Recycle Bin Feature,
CN=Optional Features,CN=Directory Service,CN=Windows NT,
CN=Services,CN=Configuration, DC=contoso,DC=com'
–Scope ForestOrConfigurationSet –Target 'contoso.com'

Der Befehl gehört auf eine Zeile und ist hier nur der Lesbarkeit wegen umbrochen. Hinter „DC“ und „Target“ gehören jeweils die Daten für die eigene Organisation.

Gelöschtes Objekt wiederherstellen

Auch die Wiederherstellung eines gelöschten AD-Objekts geschieht per PowerShellAuch die Wiederherstellung eines gelöschten AD-Objekts funktioniert per PowerShell. Eine GUI gibt es nicht, es sei denn, man zählte den steinigen Weg per ldp.exe als solche. Das Cmdlet, um ein Objekt zu ermittelt, heißt Get-ADObject, wiederhergestellt wird mit Restore-ADObject. Beispielsweise würde man einen gelöschten Benutzer „John Doe“ mit dem Befehl 

Get-ADObject -Filter {displayName -eq "John Doe"}
 –IncludeDeletedObjects

ermitteln und mit 

Get-ADObject -Filter {displayName -eq "John Doe"}
 –IncludeDeletedObjects | Restore-ADObject

wiederherstellen. Auch diese beiden Befehle gehören jeweils auf eine Zeile.

Wichtig ist, dass jedes Objekt in eine nicht gelöschte Eltern-Struktur restauriert wird. Will man also einen ganzen Baum wiederherstellen, muss man mit dessen Wurzel anfangen. Ein Beispiel-Script für ein solches Szenario sowie eine ausführliche Dokumentation des AD-Papierkorbs bietet Microsoft im TechNet.

Keine Kommentare

Kommentar hinzufügen

Der Inhalt dieses Feldes wird nicht öffentlich zugänglich angezeigt. Wenn mit der von Ihren angegebenen Mail-Adresse ein Gravatar verknüpft ist, dann wird dieser neben Ihrem Kommentar eingeblendet.
  • Internet- und E-Mail-Adressen werden automatisch umgewandelt.
  • Zulässige HTML-Tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Zeilen und Absätze werden automatisch erzeugt.
  • Mail-Adressen werden im Seitenquelltext unkenntlich gemacht, um sie vor dem automatischen Erfassen durch Spammer zu schützen.

Weitere Informationen über Formatierungsoptionen