Wiederherstellung von Objekten aus dem Active Directory-Papierkorb delegieren
Mit Server 2008 R2 führte Microsoft den AD-Papierkorb ein, um das Wiederherstellen von gelöschten Objekten zu vereinfachen. Standardmäßig bleibt dieses Feature den Domänen-Admins vorbehalten. Wenn man diese Aufgabe etwa an den Helpdesk delegieren will, muss man die Berechtigungen anpassen.
Wenn sich die Domäne und Gesamtstruktur mindestens auf Funktionsebene 2008 R2 befinden, dann kann man den Papierkorb im Active Directory (unwiderruflich) aktivieren. Er erlaubt die Wiederherstellung von gelöschten Objekten unter Beibehaltung aller Attribute. Das Feature dient quasi als doppelter Boden, wenn man aus Versehen das falsche Objekt gelöscht hat.
Gründe für die Delegierung
Standardmäßig kann nur ein Domänenadministrator ein gelöschtes Objekt aus dem Papierkorb zurückholen. Gerade in größeren Organisationen wird aus Sicherheitsgründen die Rolle des Domänen-Admins restriktiv vergeben. In diesem Fall muss man andere User damit betrauen, Objekte aus dem Recycle Bin zu holen.
Ein anderes Szenario könnte darin bestehen, dass Abteilungen wie der Service Desk gelöschte Objekte aus dem AD-Papierkorb wiederherstellen sollen, um damit andere Abteilungen zu entlasten.
Um dieses Ziel zu erreichen, muss man die betreffenden Benutzer auf den AD-Papierkorb berechtigen. Es empfiehlt sich auch hier, für diesen Zweck keine einzelne Konten, sondern eine AD-Gruppe zu verwenden.
Eine Voraussetzung für die erfolgreiche Delegierung besteht darin, dass die Benutzer, die man berechtigten möchte, Lese-, Schreib- und Listrechte auf die jeweilige Organisationseinheit haben, in welcher sie die Objekte wiederherstellen sollen. Sie ist meistens gegeben, wenn ein Account andere Benutzer im AD anlegen und löschen darf.
Berechtigungen auf den Papierkorb
Um eine Gruppe auf den AD-Papierkorb delegieren zu können, muss dieser mit dem Kommandozeilen-Tool dsacls.exe wie folgt konfiguriert werden. Im ersten Schritt übernimmt der aktuell angemeldete User, falls erforderlich, den Besitz des Recycle Bin, um überhaupt die Berechtigungen für andere Konten vergeben zu können.
dsacls "CN=Deleted Objects,DC=smartsocke,DC=com" /takeownership
Sonstige bereits vorhandene Berechtigungen für den Container Deleted Objects ändern sich dadurch nicht.
Anschließend räumt man der Gruppe, an deren User das Wiederherstellen gelöschter Objekte delegiert werden soll, die benötigten Rechte ein. In unserem Beispiel heißt die Gruppe AD-Papierkorb:
dsacls "CN = Deleted Objects, DC=contoso,DC=com" /g contoso\AD-Papierkorb:LCRPWP
Wiederherstellungsrecht auf Domänenebene
Zum Abschluss weist man dieser Gruppe in Active Directory-Benutzer und -Computer auf der Ebene der Domäne das Recht zum Wiederherstellen ein (dazu muss unter Ansicht die Option Erweiterte Features aktiviert sein). Dazu öffnet man die Eigenschaften aus dem Kontextmenü der Domäne, wechselt zum Reiter Sicherheit und klickt auf Erweitert.
Anschließend öffnet man den Dialog Hinzufügen um wählt dort die vorgesehene Gruppe als Prinzipal aus, in unserem Fall heißt sie AD-Papierkorb. Der Wert für Typ bleibt auf Zulassen und bei Anwenden auf wählt man Dieses und alle untergeordneten Objekte.
Das erforderliche Recht heißt im englischen Original Reanimate Thumbstones, die hanebüchene deutsche Übersetzung lautet Alterungen wiederbeleben.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Mitgliedschaften in AD-Gruppen ohne Neustart oder Abmelden aktualisieren
- BAYOOSOFT Berechtigungsaudit: Vollständige Analyse aller Zugriffsrechte auf Dateien und Verzeichnisse
- Postfachberechtigungen an Gruppen im Active Directory vergeben
- Access Manager: Wiedervorlage für Mitgliedschaften in AD-Gruppen und für NTFS-Rechte
- BAYOOSOFT Access Manager: Zugriff auf Drucker, Verteilergruppen, VPNs etc. über Workflows genehmigen
Keine Kommentare