Active-Directory-Papierkorb: Gelöschte Objekte wiederherstellen

Der AD-Papierkorb steht nur zur Verfügung, wenn man die Funktions­ebene der Gesamt­struktur auf Windows Server 2008 R2 heraufstuft. Das bedeutet, dass man alle DCs auf Windows Server 2008 R2 aktualisieren oder sie außer Dienst stellen muss. Die Funktionsebene stuft man unter "Active Directory-Domänen und -Vertrauensstellungen" herauf.

Achtung: Dieser Vorgang ist nicht reversibel.

AD-Papierkorb einschalten

Um den AD-Papierkorb einzuschalten, benötigt man PowerShell mit geladenen Active-Directory-Modulen. Der PowerShell-Befehl zum Einschalten des Papierkorbs lautet:

Enable-ADOptionalFeature –Identity 'CN=Recycle Bin Feature, `
CN=Optional Features,CN=Directory Service,CN=Windows NT, `
CN=Services,CN=Configuration, DC=contoso,DC=com' `
–Scope ForestOrConfigurationSet –Target 'contoso.com'

Hinter "DC" und "Target" gehören jeweils die Daten für die eigene Organisation.

Gelöschtes Objekt wiederherstellen

Auch die Wiederherstellung eines gelöschten AD-Objekts funktioniert per PowerShell. Eine GUI gibt es nicht, es sei denn, man zählte den steinigen Weg per ldp.exe als solche. Das Cmdlet, um ein Objekt zu ermittelt, heißt Get-ADObject, wiederhergestellt wird mit Restore-ADObject. Beispielsweise würde man einen gelöschten Benutzer "John Doe" mit dem Befehl

Get-ADObject -Filter {displayName -eq "John Doe"} –IncludeDeletedObjects

ermitteln und mit

Get-ADObject -Filter {displayName -eq "John Doe"} –IncludeDeletedObjects |
Restore-ADObject

wiederherstellen. Auch diese beiden Befehle gehören jeweils auf eine Zeile.

Wichtig ist, dass jedes Objekt in eine nicht gelöschte Eltern-Struktur restauriert wird. Will man also einen ganzen Baum wiederherstellen, muss man mit dessen Wurzel anfangen. Ein Beispiel-Script für ein solches Szenario sowie eine ausführliche Dokumentation des AD-Papierkorbs bietet Microsoft im TechNet.